ループバック処理について自分なりにまとめてみたよ
ループバックを使うことにより、ユーザーの構成をコンピュータに適用することができる。
グループポリシーにはコンピュータの構成、ユーザの構成の2通りの構成パターンがあるけど、通常コンピュータ→ユーザの順番で適用されるよ。
それは、コンピュータの起動時にコンピュータの構成を読み込み、ユーザのログイン時にユーザの構成を読み込むから。
で、「ユーザーグループポリシーのループバック処理モードを構成する」というポリシーでユーザーの構成を当てなおすということができる。
ユーザログイン時にループバックが設定されているグループポリシーのユーザの構成を適用するといったことをする。
「置換」と「統合」での適用方法がある。
置換:ループバックポリシー適用時にユーザログイン時に適用したユーザの構成をすべて無視する(未適用となる)
統合:ループバックポリシー適用時にユーザログイン時に適用したユーザの構成に加えて適用する
ちなみに、コンピュータの構成で最後に適用されたループバックのモードで適用されるので、打ち消しあうこともできる。
なので、rsop.mscやgpresult /hで適用先のコンピュータで最終的なループバックモードを確認しておくといいかも。
以下のような王道を征くOU構成の場合にループバックを含めたポリシーを適用した場合
最終的なループバックモード:統合
順序 | タイミング | ポリシー名 | 構成 | 適用有無 |
1 | コンピュータ起動時 | コンピュータ用ポリシーA | コンピュータの構成 | 適用される |
2 | コンピュータ起動時 | コンピュータ用ポリシーB(ループバック「統合」) | コンピュータの構成 | 適用される |
3 | ユーザログイン時 | ユーザ用ポリシーA | ユーザの構成 | 適用される |
4 | ユーザログイン時 | ユーザ用ポリシーB | ユーザの構成 | 適用される |
5 | ユーザログイン時 | コンピュータ用ポリシーB(ループバック「統合」) | ユーザの構成 | 適用される |
最終的なループバックモード:統合(置換を打ち消し)
順序 | タイミング | ポリシー名 | 構成 | 適用有無 |
1 | コンピュータ起動時 | コンピュータ用ポリシーA(ループバック「置換」) | コンピュータの構成 | 適用される |
2 | コンピュータ起動時 | コンピュータ用ポリシーB(ループバック「統合」) | コンピュータの構成 | 適用される |
3 | ユーザログイン時 | ユーザ用ポリシーA | ユーザの構成 | 適用される |
4 | ユーザログイン時 | ユーザ用ポリシーB | ユーザの構成 | 適用される |
5 | ユーザログイン時 | コンピュータ用ポリシーB(ループバック「置換」) | ユーザの構成 | 適用される |
6 | ユーザログイン時 | コンピュータ用ポリシーB(ループバック「統合」) | ユーザの構成 | 適用される |
最終的なループバックモード:置換(統合を打ち消し)
順序 | タイミング | ポリシー名 | 構成 | 適用有無 |
1 | コンピュータ起動時 | コンピュータ用ポリシーA(ループバック「統合」) | コンピュータの構成 | 適用される |
2 | コンピュータ起動時 | コンピュータ用ポリシーB(ループバック「置換」) | コンピュータの構成 | 適用される |
3 | ユーザログイン時 | ユーザ用ポリシーA | ユーザの構成 | 適用されない |
4 | ユーザログイン時 | ユーザ用ポリシーB | ユーザの構成 | 適用されない |
5 | ユーザログイン時 | コンピュータ用ポリシーB(ループバック「統合」) | ユーザの構成 | 適用される |
6 | ユーザログイン時 | コンピュータ用ポリシーB(ループバック「置換」) | ユーザの構成 | 適用される |
ループバックを含めたポリシーを設定すると、グループポリシーエディタ上でのリンクの順序に表示されないから、一気に煩雑になっちゃう。
トラブルシューティングがかなりやりにくくなるから、注意が必要かも。
なるべくやらないほうがいいような気もするけど、プロキシ設定などは使わざるを得ないときはあるかも。