＞(4) (1)～(3)を踏まえて 素人の認識では管理用テンプレートで十分にポリシー設定は実用に耐える物 １～３は言っている内容が良く分かりません。１番はGPCなどの仕組みと言うか、優先順位というか、Windows流と言うか、設定の上書きと言う事が分かっていれば、この質問にはならないかと。 OSの設定で、デフォルトでレジストリーには設定されていないが、キーを設定して値をセットすると、効果がある設定が結構多いですね。 これはデフォルトは、OSのモジュールやINIファイルで設定されていて、ユーザーがあえて設定しなくてもOSが最初からデフォルト値として内部で持っています。しかし、レジストリーにキーがあると、デフォルトの設定を、その値で上書きする。と言う言い方をします。これは、実際に上書きするのではなく、動的（起動された時）にそのキーの値を取得して、それを使います。 ポリシーも同じです。ローカルシステムの設定があり、ユーザーごとの設定がある。ユーザーの設定はシステムの設定に影響されながら、許可されていれば、ユーザーの設定が有効となる。つまり上書きとなる。 なので必ずしもシステムにある設定が、ユーザー設定にあるとは限らない。よく細かく見るとタイトルは同じでも、設定項目は違いますね。 大筋はNo1の方が説明していますので、AD　→　メンバーPC→ローカルシステム→ユーザーシステムの順番に、判断されるわけです。 なので、「実用に耐えられる物」と言うのは誤解です。 セキュリティーの基本は強化状態から開放状態への移行です。しかし、ポリシーはセキュリティーだけではないので、基本は何もいじらない。制限をかけたい場合だけ掛ける。 セキュリティーはこの逆です。制限を状態から開放するです。なので最上位のADで管理していれば、まず使用できるようにするか、できないようにするかはADの仕事、できるようにした場合、ユーザーごとの制限にするか、グループごとにするか、サービスごとにするかをポリシーで設定します。 No1の方が最後に書かれていますが、「キッティングで行わない事」とはまさに上記の事で、制限が必要無い物は、むしろコントロールすると返ってつじつまが合わなくなり難しくなります。 ユーザーごと、グループごとの設定（ADでも）をした方が、意外と簡単、完結です。ローカルユーザーの設定は、ゲストでのログオンしか認めない。ゲストはネットログインを拒否する。ですね。

>(1) コンピューターの構成とユーザーの構成の違いは具体的にどのような物なのでしょうか？ コンピュータアカウントに適用される設定なのか、ユーザーアカウントに適用される設定なのかの違いです。 従って、コンピュータの構成にはコンピュータ全体の設定に関するもの、ユーザーの構成にはユーザーがログオンした時点に設定されるべきものという内容になっています。 >コンピュターにアクセスする全てとユーザー毎もしくは管理者以外という認識でよろしいのでしょうか？ もしかして、ローカルグループポリシーに限定されて質問しているのでしょうか。 そうでしたら、コンピュータの構成はローカルコンピュータ、ユーザーの構成はそのローカルコンピュータに登録されている全ユーザーに適用されます。 つまり、1台のコンピュータの中での話なので、適用先の違いはわかりにくいでしょう。 グループポリシーの真価はActive Directoryによる管理で発揮されるものですので、Active Directoryを理解されるとコンピュータの構成とユーザーの構成の違いは理解できると思います。 (2)(3)については、申し訳ないですが質問内容が理解出来ません。 具体的な設定と問題点がわかると回答が出来ると思うのですが。 >(4) (1)～(3)を踏まえて 素人の認識では管理用テンプレートで十分にポリシー設定は実用に耐える物だと理解しております。 グループポリシー（管理テンプレートを含む）の設定は一般的なことです。特にある程度の数のPC及びユーザーを管理する場合は必要な場合がほとんどだと思います。 グループポリシーを設定する上で管理用テンプレートを使用するケースが多いのは確かですが、ソフトウェアの設定、Windowsの設定で設定する項目も必要となることは多いです。 また、OSが新しくなって管理テンプレートの項目も増えましたが、カスタムの管理テンプレートを自作して追加する場合もあります。 >管理用テンプレートのメリット／デメリットなどあればご教授願いたいです。 なにと比べてのメリット／デメリットでしょうか。 たとえばレジストり直接設定と比べれば、設定ミスによる影響が少ない（簡単に戻せる）などがありますが、こういったことでしょうか。