Windows Server 2008ドメインでグループポリシーを設定するにはどうすればよいですか？

変更を開始する前に、 グループポリシーの背景情報を入手してください を実行するとよいようです。 Active Directory に関するいくつかの背景情報もおそらく役に立ちます。

デフォルトでActiveDirectoryに作成される「デフォルト...」グループポリシーオブジェクト（GPO）を変更しないことを強くお勧めします。カスタム設定を含む独自のGPOを作成できます。これらの設定をデフォルトの状態のままにしておくと、すべてのカスタムGPOを無効にして、すべてをデフォルトの状態に戻すことができます。

特定の質問に答えるには（TechNetの言うことを繰り返すリスクがあります）：

「デフォルトドメインポリシー」は、Active Directoryドメインの作成中に作成されたGPOであり、デフォルトでドメイン内のすべてのコンピューターアカウントとユーザーアカウントに適用される設定が含まれています。個々のOUの[継承のブロック]機能を使用すると、この動作をオーバーライドできますが、これはより高度なトピックです。）このGPOはドメインパスワードポリシーです。この設定から得られる主なデフォルト設定は、ユーザーアカウントのロックアウトとユーザーパスワード（長さ、複雑さ、有効期限、再利用）に関連するパラメーターを制御します。

「デフォルトのドメインコントローラーポリシー」は、ActiveDirectoryドメインの作成中に作成される別のGPOです。これには、ドメインコントローラー（DC）コンピューター（つまり、ドメインコントローラー（DC）コンピューターにのみ適用される設定が含まれます。 Active Directoryデータベースのコピーをホストし、認証機能を実行します）。これから得られる主なデフォルト設定GPO Windows 2003以降のバージョンのWindowsでは、DCを「通信」クライアントに制限します。デジタル署名されたサーバーメッセージブロック（SMB）パケットをサポートします。この設定の目的は、セキュリティを強化することです。

グループポリシーがユーザーまたはコンピューターによってどのように適用されるかについての具体的な詳細は、いくらか関係しています。ただし、一般に、グループポリシーオブジェクトは、ドメインの先頭から始まり、OUを経由してコンピューターオブジェクトに進む順序で適用されます。 GPO間の「優先順位」または「競合」について考えるのに最も簡単な方法は、すべての設定が各GPOに遭遇したときに、「有効な」設定が適用される）として適用されることを想像することです。特定のアイテムに適用される最後の設定。

例：A GPOがドメインでリンクされている場合、コンピューターの「オフラインファイル」機能が「有効」に設定されます。別のGPOがOUでリンクされている場合、 「オフラインファイル」機能を無効に設定するコンピューターオブジェクトがあります。最後に適用されるGPOは、OUにリンクされているGPOコンピュータオブジェクトが配置されている場合は、最後に適用されます。コンピュータの「有効な設定」は、「オフラインファイル」を無効な状態のままにすることです。

「継承のブロック」および「オーバーライドなし」機能は、複雑さと強力な機能を追加します。 WMIフィルタリング、セキュリティグループフィルタリング、およびループバックポリシー処理も、さらに多くの複雑さを追加するため、学習する価値があります。ただし、製品の一般的な動作について十分な知識が得られるまで、これらの機能について学ぶことはお勧めしません。