グループ ポリシーの適用

Last Update:
Active DirectoryGroup Policy
feedback 共有

本記事はマイクロソフト社員によって公開されております。

こんにちは。Windows Commercial Support Directory Services チームです。
今回は グループ ポリシーの適用動作などについてご紹介いたします。

グループ ポリシーの適用タイミング

グループ ポリシーの適用タイミングについては、以下の 3 つがございます。

  1. コンピューター起動後の初回の適用タイミング
    「コンピューターの構成」 ポリシーの適用: Windows OS 起動時
    「ユーザーの構成」 ポリシーの適用:ユーザーがコンピューターにログオンしたタイミング

  2. コンピューター起動後の定期的な更新
    ドメイン メンバーの端末:既定では 90 ~ 120 分の間隔で、自動的にグループ ポリシーは更新されます。
    この間隔は、更新間隔 + オフセット間隔により算出されます。

    既定値:更新間隔の既定値は 90 分になっており、オフセット間隔は 0 分から指定した時間 (既定値: 30 分)の間でランダムに決定されます。

  3. 管理者による強制的な更新
    gpupdate.exe を実行することで、即座に GPO が適用されます。

フォアグラウンド処理とバックグラウンド処理について

グループポリシーの処理は、厳密にはフォアグラウンド処理とバックグラウンド処理に分類できます。

”1. コンピューター起動後の初回の適用タイミング” はフォアグラウンド処理に該当いたします。
フォアグラウンド処理でのみ動作する代表的なポリシーとしては、以下のポリシーがございます。
これらのポリシーは、 ”2. コンピューター起動後の定期的な更新”、”3. 管理者による強制的な更新” では実行されません。

  • ログオン スクリプト、スタートアップ スクリプト
  • フォルダー リダイレクト
  • ソフトウェア インストール
  • 基本設定のドライブ マップ
  • ディスク クォータ

一方で、 ”2. コンピューター起動後の定期的な更新”、”3. 管理者による強制的な更新” は、バックグラウンド処理に該当いたします。

同期モードと非同期モードについて

フォアグラウンド処理には、さらに同期モードと非同期モードというふたつのモードが存在します。

クライアント OS におけるフォアグランド処理については、既定で非同期モードで実行されます。
一方で、サーバー OS におけるフォアグラウンド処理については、既定で同期モードで実行されます。

非同期フォアグラウンド処理でグループ ポリシーが適用される場合、グループ ポリシーの適用処理とデスクトップの表示処理が非同期で実行されます。
このため、グループ ポリシーの適用処理が遅延していることにより、デスクトップが利用できるまでに時間がかかってしまうという状況を避けることができます。

一方で、同期フォアグラウンド処理でグループ ポリシーが適用される場合、グループ ポリシーの適用処理とデスクトップの表示処理が同期的に実行されます。
これにより、グループ ポリシーの適用処理に時間を要していることによって、ユーザーがデスクトップを使い始められるまで待たされてしまう可能性があります。

更新間隔の変更について

”2. コンピューター起動後の定期的な更新” は、以下のグループ ポリシーを定義することで、更新間隔を設定することが可能でございます。

<GPO 設定パス>

[コンピューターの構成]
 - [ポリシー]
  - [管理用テンプレート]
   - [システム]
    - [グループ ポリシー]
     - [コンピューターのグループ ポリシーの更新間隔を設定する]

[ユーザーの構成]
 - [ポリシー]
  - [管理用テンプレート]
   - [システム]
    - [グループ ポリシー]
     - [ユーザーのグループ ポリシーの更新間隔を設定する]

グループ ポリシーの更新間隔を短くする場合の懸念点

更新間隔を数分に変更するなど、大幅に更新間隔を短くした場合は、ネットワーク トラフィックが増加する可能性が懸念されますのでご注意ください。
更新間隔の変更に際しましては、GPO の容量と現在のお客様のトラフィック状況などを加味しご検討ください。
なお、実務上はグループポリシーの更新間隔を変更するケースは珍しく、多くのお客様に既定値のままご利用いただいております。

グループ ポリシーの更新による通信量について

データ量に関しましては、ドメイン コントローラー側に保持された GPO の実体のサイズをご確認いただくことで、おおよその見積もりが可能です。
GPO の実体は既定で C:\Windows\SYSVOL\domain\Policies 配下に保存されており、GPO ごとに {} フォルダーに分かれております。
上記の各 GPO のフォルダー容量から、クライアントに適用される容量をご確認いただけます。

※どのフォルダーがどの GPO に紐づいているかは “gpmc.msc” より、各 GPO の [詳細] タブの [一意な ID] より確認が可能です。

なお、Windows 8.1 以降の Windows OS では、バックグラウンド モードまたは非同期フォアグラウンド モードでグループ ポリシー適用処理を実行した場合には、GPO の最新の状態をキャッシュするために、毎回 GPO の設定をダウンロードする動作となっております。

同期フォアグラウンド モードでグループ ポリシー適用処理を実行した際には、キャッシュされた GPO を参照することで、実行速度が向上します。
これらのキャッシュは、以下のフォルダーに格納されます。

<コンピーターの構成>
C:\Windows\System32\GroupPolicy\DataStore\0\sysvol\<ドメイン名>\Policies
<ユーザーの構成>
C:\ProgramData\Microsoft\GroupPolicy\Users\{SID}\DataStore\0\sysvol\<ドメイン名>\Policies

また、ネットワーク負荷を懸念される場合には、以下の設定を無効にし、グループ ポリシーをキャッシュしないように構成することで、グループ ポリシー更新処理の際に毎回最新の GPO をダウンロードする動作を抑止することができます。

<GPO 設定パス>

[コンピューターの構成]
 - [管理用テンプレート]
  - [システム]
   - [グループ ポリシー]
    - [グループ ポリシーのキャッシュを構成する]

Windows Server OS に関しましては、既定でグループ ポリシーをキャッシュする動作は発生しません。
もし Windows Server ではキャッシュする動作を有効に設定されたい場合は、下記のポリシーを有効に構成することで実現できます。

<GPO 設定パス>

[コンピューターの構成]
 - [管理用テンプレート]
  - [システム]
   - [グループ ポリシー]
    - [サーバーのグループ ポリシーのキャッシュを有効にする]

更新履歴

2022/03/15 : 本ブログの公開

2023/11/14 : グループ ポリシー キャッシュを維持するフォルダー パスと、Windows Server のキャッシュ動作について更新