グループポリシーは簡単には元に戻せない

ほとんどのグループポリシーは、[未構成]と[有効]と[無効]の3つから選ぶ形になっていて、初期値は[未構成]です。

グループポリシーを設定する場合は、これを[有効]か[無効]に変更する訳ですが、ここで気をつけないといけないことがあります。

それは、一度クライアントPCに適用されたグループポリシーは、簡単には元に戻せないということです。

普通に考えれば、[有効]か[無効]に変更したポリシーを[未構成]に戻すだけでいいのではないかと思えます。しかしどうやら、そうではないようなのです。

一例として、ポリシーAを[有効]に設定して、それを全クライアントPCに浸透させた場合を考えてみます（浸透という言い方は嫌がられることが多いみたいですが、私は気に入ってます）。

これをすると、ポリシーAに対応するクライアントPCのレジストリ値aが、[有効]の設定で上書きされることになります。この時、レジストリ値aの設定が元々どうだったのかは、クライアントPCでは記憶してくれていないようなのです。

記憶してくれていないので、ポリシーAを[未構成]に戻したところで、レジストリ値aが元に戻ることはありません。[有効]のままとなってしまいます。

これを元に戻すには、一度ポリシーAを[無効]に設定して、それが全クライアントに浸透した頃を見計らってから、ポリシーAを[未構成]にするという手順が必要になります。

しかし、この手順には問題があります。例えば100台のコンピュータがあるドメインにおいて、そのうち50台はレジストリ値aを[有効]にしていて、残り50台は[無効]にしていたとしたら、どうでしょう。

この場合、ドメインコントローラ側でどうグループポリシーをいじったとしても、どちらか半分の50台の設定は変わってしまうことになります。それを直すには、手作業で一台一台変えていく他ありません。

こういった事情を踏まえて考えると、グループポリシーを変える時はより慎重に、出来ることならテスト環境などを準備して、そこで十分なテストをしてから適用したほうがいいと言えるでしょう。



……ただ、個人的に少し不満を言わせてもらうと、グループポリシーなんていうかなり古くから存在する機能において、こんな不可逆で不便な仕様になっているというのは、ちょっと納得いきません。[未構成]の時の状態をクライアントPCにしっかり残しておいてほしいものです。言っても詮無いことですが。