グループ ポリシーの概要 (2007 Office system)
更新日: 2007年3月
適用対象: Office Resource Kit
トピックの最終更新日: 2015-03-09
グループ ポリシーは、管理者がユーザーおよびコンピュータ用の特定のコンピューティング構成を実装するために使用できるインフラストラクチャです。ポリシー設定は、Active Directory フォレストのスコープ内にあるメンバ サーバーおよびドメイン コントローラにも適用されます。管理者がグループ ポリシーを使用して構成を 1 回定義すると、以降はオペレーティング システムによってその状態が適用されます。
グループ ポリシー設定はグループ ポリシー オブジェクト (GPO) 内に格納され、選択された Active Directory ディレクトリ サービス コンテナ、つまりサイト、ドメイン、または組織単位 (OU) にリンクされます。GPO 内の設定は、影響を受けるターゲットにより、Active Directory の階層的特性を使用して評価されます。
グループ ポリシーのインフラストラクチャは、グループ ポリシー エンジンと、いくつかの個別拡張機能で構成されています。これらの拡張機能を使用して、管理用テンプレート拡張機能でレジストリを変更することで、またはセキュリティ設定、ソフトウェア インストール、フォルダのリダイレクト、Internet Explorer メンテナンス、ワイヤレス ネットワーク設定などにより、グループ ポリシーの設定を構成します。
各グループ ポリシー拡張機能は、2 つの拡張機能で構成されています。
グループ ポリシー オブジェクト エディタ Microsoft 管理コンソール (MMC) サーバー側拡張機能。クライアント コンピュータに適用されるポリシー 設定を定義および設定するために使用します。
グループ ポリシー エンジンがポリシー設定を適用するために呼び出すクライアント側拡張機能。
2007 Microsoft Office system のシステム ポリシー設定は、管理用テンプレート (.adm) ファイルに含まれます。詳細については、「管理用テンプレート拡張機能」を参照してください。
以下では、グループ ポリシーの概念の概要について説明します。詳細については、Microsoft TechNet サイトの「Group Policy Collection (英語)」(https://go.microsoft.com/fwlink/?linkid=80200\&clcid=0x411) を参照してください。
このトピックの内容
ローカルなグループ ポリシーと Active Directory ベースのグループ ポリシー
グループ ポリシーの処理
グループ ポリシーの適用
グループ ポリシー オブジェクトの適用対象の指定
管理用テンプレート拡張機能
ユーザー設定と真のポリシー
グループ ポリシー管理ツール
Office カスタマイズ ツールとグループ ポリシー
ローカルなグループ ポリシーと Active Directory ベースのグループ ポリシー
すべてのコンピュータにはローカルな GPO があり、コンピュータがドメインの一部でも、またはスタンドアロン コンピュータでも関係なく常に処理されます。ドメイン ベースの GPO でローカル GPO をブロックすることはできません。ただし、ドメイン GPO はローカル GPO の後で処理されるので、ドメイン GPO の設定の方が常に優先されます。
ローカル グループ ポリシー オブジェクトを個別のコンピュータに構成することもできますが、グループ ポリシーの効果が最大限に発揮されるのは、Active Directory がインストールされた Windows 2000 または Windows Server 2003 ベースのネットワークにおいてです。
グループ ポリシーの設定は、組織のどれほど広い範囲にでも、またはどれほど狭い範囲にでも、必要に応じて実装できます。そのためには、GPO をサイト、ドメイン、および OU にリンクします。GPO のリンクは、ユーザーとコンピュータに以下のような影響を与えます。
サイトにリンクされた GPO は、そのサイト内のすべてのユーザーとコンピュータに適用されます。
ドメインにリンクされた GPO は、そのドメイン内のすべてのユーザーとコンピュータには直接、また子 OU 内のすべてのユーザーとコンピュータには継承により、適用されます。グループ ポリシーは、ドメイン間で継承されることはありません。
OU にリンクされた GPO は、その OU 内のすべてのユーザーとコンピュータには直接、また子 OU 内のすべてのユーザーとコンピュータには継承により、適用されます。
作成された GPO は、ドメイン内に格納されます。GPO が OU などの Active Directory コンテナにリンクされると、リンクはその Active Directory コンテナのコンポーネントになります。リンクは GPO のコンポーネントではありません。
管理者は、GPI を作成するためには GPO 作成権限が必要です。既定では、ドメイン管理者、エンタープライズ管理者、および Group Policy creator owners グループのメンバだけが、グループ ポリシー オブジェクトを作成できます。編集しようとする GPO に対する編集権限が必要です。
グループ ポリシー インフラストラクチャの詳細については、Microsoft TechNet サイトの「Group Policy Collection (英語)」(https://go.microsoft.com/fwlink/?linkid=80200\&clcid=0x411) を参照してください。
Windows Vista および Windows Server® 2008 オペレーティング システムで導入されたローカル GPO 管理用の新しい機能を利用すると、スタンドアロン コンピュータの管理者は、複数のグループ ポリシー オブジェクトをスタンドアロン コンピュータのユーザーに適用できます。
複数のローカル GPO : Windows Vista および Windows Server 2008 での変更
Windows Vista および Windows Server 2008 では、スタンドアロン コンピュータで複数のローカル GPO を管理するためのサポートが提供されています。この機能は、図書館やコンピュータ実験室のように、単一コンピュータでの共有コンピューティングが関係する環境の管理に便利です。複数のローカル GPO をローカル ユーザーまたは組み込みグループに割り当てることができます。
ワークグループ環境では、各コンピュータは専用のポリシー設定を維持します。この機能は、ドメイン ベースのグループ ポリシーと併用することも、グループ ポリシーの設定を通じて無効にすることもできます。
管理者は、複数のローカル GPO を使用して以下のことを行うことができます。
異なるレベルのローカル グループ ポリシーを、スタンドアロン コンピュータのローカル ユーザーに適用します。この機能は、ドメイン ベースの管理を利用できない共有コンピューティング環境に最適です。
管理者のグループと管理者以外のグループに基づいてグループ ポリシーを管理します。たとえば、コンピュータ実験室のコンピュータを設定して安全な環境を構成したい場合は、User グループに対しては管理の厳しいポリシー設定を作成し、組み込みの Administrator アカウントには管理の軽いポリシー設定を作成できます。このようにすれば、ローカル管理者が、管理作業を行う前に、ワークステーションを管理する機能を妨げるグループ ポリシーの設定を、明示的に無効化または削除する必要がなくなります。Windows Vista の管理者は、ドメイン ベースのグループ ポリシーを明示的に有効にせずに、ローカル グループ ポリシーの設定をオフにすることもできます。
ドメイン管理者は、ドメイン グループ ポリシー オブジェクトで [ローカル グループ ポリシー オブジェクトの処理を無効にする] のポリシー設定を有効にすることで、Windows Vista を実行するクライアント上のローカル グループ ポリシー オブジェクトの処理を無効にできます。この設定は、[コンピュータの構成\管理用テンプレート\システム\グループ ポリシー] の下にあります。
Windows Vista では、ローカル グループ ポリシー、管理者と非管理者グループ ポリシー、およびユーザー固有のローカル グループ ポリシーという、3 つの層からなるローカル グループ ポリシー オブジェクトが提供されています。これらの層のローカル グループ ポリシー オブジェクトは、以下の順序で処理されます。
ローカル グループ ポリシー
管理者および非管理者グループ ポリシー
ユーザー固有のローカル グループ ポリシー
Windows Vista での複数のローカル GPO 機能の使用に関する詳細については、Microsoft TechNet Web サイトの「Step-by-Step Guide to Managing Multiple Local Group Policy Objects (英語)」を参照してください。
グループ ポリシーの処理
ローカル GPO が最初に処理され、コンピュータまたはユーザーが属している (直接的なメンバである) 組織単位が最後に処理されます。グループ ポリシーの設定は、次の順序で処理されます。
ローカル GPO。各コンピュータには、ローカルに格納されたグループ ポリシー オブジェクトがあります。この GPO は、コンピュータとユーザーの両方のグループ ポリシーに対する処理を行います。
サイト。コンピュータが属するサイトにリンクされた GPO が次に処理されます。処理は、グループ ポリシー管理コンソール (GPMC) のサイトに対する [リンクされたグループ ポリシー オブジェクト] タブで管理者が指定する順序で行われます。リンク順序が最低の GPO が最後に処理され、最高の優先順位を持ちます。グループ ポリシー管理コンソールの詳細については、「グループ ポリシー管理ツール」を参照してください。
ドメイン。複数のドメインがリンクされた GPO は、グループ ポリシー管理コンソールのドメインに対する [リンクされたグループ ポリシー オブジェクト] タブで管理者が指定する順序で処理されます。リンク順序が最低の GPO が最後に処理され、最高の優先順位を持ちます。
組織単位。Active Directory 階層内で最高位の組織単位にリンクされた GPO が最初に処理され、その子組織単位にリンクされた GPO が次に処理される、という順序になります。ユーザーまたはコンピュータを含む組織単位にリンクされた GPO が最後に処理されます。
処理順序は次の条件によって左右されます。
GPO に適用される Windows Management Instrumentation (WMI) またはセキュリティ フィルタ処理。
ドメイン ベースの GPO (ローカルではない GPO) は、[強制] オプションを使用して強制し、そのポリシー設定を上書きできないようにすることができます。強制的 GPO は最後に処理されるので、その GPO の設定を他の設定で上書きすることはできません。強制的 GPO が複数存在する場合、各 GPO の同じ設定項目が異なる値に設定されている可能性があります。この場合は、GPO のリンク順序により、最終的な設定を含む GPO が決まります。
任意のドメインまたは組織単位で、グループ ポリシーの継承を [継承のブロック] として選択的に指定できます。ただし、強制的 GPO は常に適用され、ブロックできないので、継承のブロックを指定しても、強制的 GPO からのポリシー設定の適用は妨げられません。
ポリシーの継承
ユーザーおよびコンピュータに対して有効なポリシー設定は、サイト、ドメイン、または OU で適用される GPO の組み合わせの結果です。これらの Active Directory コンテナ内のユーザーおよびコンピュータに複数の GPO が適用する場合は、GPO での設定が集約されます。既定では、Active Directory の高いレベルのコンテナ (親コンテナ) にリンクされた GPO で展開される設定が、子コンテナに継承されて、子コンテナにリンクされた GPO で展開される設定と組み合わされます。複数の GPO が同じポリシー設定項目に矛盾する値を設定しようとした場合は、最も高い優先順位の GPO の値が設定されます。後から処理される GPO の方が、事前に処理される GPO より優先されます。
グループ ポリシーの適用
コンピュータに対するグループ ポリシーは、コンピュータの起動時に適用されます。ユーザーに対するグループ ポリシーは、ユーザーのログオン時に適用されます。起動時およびログオン時におけるグループ ポリシーの初期処理に加えて、グループ ポリシーは、それ以降にも、定期的にバックグラウンドで適用されます。バックグラウンド更新の間に、クライアント側拡張機能は、サーバーのいずれかの GPO または GPO のリストが変化していることを検出した場合にのみ、ポリシー設定を再適用します。
ソフトウェアのインストールおよびフォルダのリダイレクトの場合は、コンピュータ起動時またはユーザーログオン時にのみグループ ポリシーの処理が発生します。
同期処理と非同期処理
同期処理は、ある処理の実行が終了してから次の処理が開始する必要のある一連の処理です。非同期処理は、各処理の結果が他の処理とは独立しているため、異なるスレッドで同時に実行できます。管理者は、各 GPO に対するポリシー設定を使用して既定の処理動作を変更し、処理を同期ではなく非同期にできます。
同期処理では、クライアント コンピュータ上ですべてのグループ ポリシーの処理が完了するまでに 60 分の時間制限があります。60 分が過ぎても処理を終了していないクライアント側拡張機能は、停止するように指示されます。この場合、関連するポリシー設定は完全に適用されていない可能性があります。
高速ログオン最適化機能
高速ログオン最適化機能は、ドメインとワークグループの両方のメンバに対しては既定で設定されます。この機能が有効な場合は、コンピュータ起動時およびユーザー ログオン時のポリシーの適用が非同期に行われます。このようなポリシーの適用は、バックグラウンド更新と似ています。ログオン ダイアログ ボックスが表示されるまでの時間、およびユーザーがデスクトップを利用できるようになるまでの時間を短縮できます。
[!メモ] ユーザーが初めてログオンするとき、ユーザーにローミング プロファイルがあるとき、ユーザーに HomeDir があるとき、およびユーザーにユーザー オブジェクトで指定されているログオン スクリプトがあるときは、ログオン最適化は無効になり、ポリシーは同期的に処理されます。フォルダのリダイレクトとグループ ポリシー ソフトウェアのインストールには、ポリシーの同期的な適用が必要です。このような状況でも、コンピュータの起動は非同期にできます。ただし、ログオンは同期的なので、ログオンは最適化されません。
Windows XP Professional、Windows XP 64 ビット版 (Itanium)、および Windows Server 2003 の各オペレーティング システムを実行するクライアント コンピュータは、任意のドメイン環境で高速ログオン最適化をサポートします。
サーバーの場合は、起動時とログオン時の処理は常に、このポリシー設定が有効であるものとして行われます。
高速ログオン最適化機能は、グループ ポリシー オブジェクト エディタの [コンピュータの構成\管理用テンプレート\システム\ログオン] ノードでアクセスできる [コンピュータの起動およびログオンで常にネットワークを待つ] ポリシーを使用して無効にできます。このポリシー設定を有効にすると、ログオンは Windows 2000 クライアントと同様の方法で行われます。つまり、Windows XP は、ネットワークが完全に初期化されるのを待ってから、ユーザーのログオンを処理します。グループ ポリシーは、フォアグラウンドで同期的に適用されます。
低速リンクの処理
一部のグループ ポリシー拡張機能は、接続速度が指定されているしきい値より低下すると処理されません。グループ ポリシーが低速リンクと見なす既定の値は、500 Kbps 未満の速度です。
低速リンクでのグループ ポリシーの処理に対する既定の設定は次のとおりです。
| 設定 | 既定値 |
|---|---|
セキュリティの設定 |
オン (オフにはできません) |
IP セキュリティ |
オン |
EFS |
オン |
ソフトウェアの制限ポリシー |
オン |
ワイヤレス |
オン |
管理用テンプレート |
オン (オフにはできません) |
ソフトウェア インストール |
オフ |
スクリプト |
オフ |
フォルダのリダイレクト |
オフ |
IE メンテナンス |
オン |
管理者は、ポリシー設定を使用して既定の設定を無効にできます。コンピュータに対してグループ ポリシーの低速リンクの検出の設定を指定するには、グループ ポリシー オブジェクト エディタの [コンピュータの構成\管理用テンプレート\システム\グループ ポリシー] ノードの [グループ ポリシーの低速リンクの検出] ポリシー設定を使用します。
ユーザーに対してこのオプションを設定するには、[ユーザーの構成\管理用テンプレート\システム\グループ ポリシー] の [グループ ポリシーの低速リンクの検出] ポリシー設定を使用します。
低速リンクを介したグループ ポリシーの管理の詳細については、Microsoft TechNet サイトの「Specifying Group Policy for Slow Link Detection (英語)」(https://go.microsoft.com/fwlink/?linkid=80435\&clcid=0x411) を参照してください。
グループ ポリシーの更新間隔
既定では、グループ ポリシーは 90 分ごとに処理され、これに最大 30 分のランダムな遅延が付加されて、合計での更新間隔は最大で 120 分です。
セキュリティ設定の場合、セキュリティ設定ポリシーを編集すると、グループ ポリシー オブジェクトがリンクされている組織単位内のコンピュータにおいて、次のタイミングでポリシー設定が更新されます。
コンピュータが再起動するとき。
ワークステーションまたはサーバーでは 90 分ごと、ドメイン コントローラでは 5 分ごと。
既定では、グループ ポリシーによって展開されるセキュリティ ポリシー設定は、GPO が変化していなくても、16 時間 (960 分) ごとに適用されます。
グループ ポリシーの更新を実行する
グループ ポリシー オブジェクトに対する変更は、最初に適切なドメイン コントローラにレプリケートされる必要があります。したがって、グループ ポリシーの設定の変更が、ユーザーのデスクトップですぐに有効にならない場合があります。状況によっては、セキュリティ ポリシーの設定の適用のように、ポリシーの設定を直ちに適用することが必要な場合があります。
管理者は、バックグラウンドでの自動更新を待たずに、ローカル コンピュータから手動でポリシーの更新を実行できます。そのためには、コマンド ラインで「gpupdate」と入力して、ユーザーまたはコンピュータのポリシー設定を更新します。GPMC を使用してポリシーの更新を実行することはできません。
gpupdate コマンドは、コマンドが実行されたローカル コンピュータで、バックグラウンドのポリシー更新を開始します。gpupdate コマンドは、Windows Server 2003 環境および Windows XP 環境で使用します。
サーバーから必要に応じてグループ ポリシーの適用をクライアントにプッシュすることはできません。
gpupdate の使用の詳細については、Microsoft TechNet サイトの「Refresh Group Policy settings with GPUpdate.exe (英語)」(https://go.microsoft.com/fwlink/?linkid=80461\&clcid=0x411) を参照してください。
グループ ポリシー オブジェクトの適用対象の指定
GPO からの設定を受け取るユーザーとコンピュータを指定するための主な方法は、サイト、ドメイン、および組織単位に対する GPO のリンクです。
リンクの順序を変更したり、ポリシーの継承をブロックしたり、GPO リンクを強制したり (以前は上書き禁止と呼ばれていました)、GPO リンクを無効にしたりすることで、GPO が処理される既定の順序を変更できます。
管理者は、セキュリティ フィルタ処理および WMI フィルタ処理を使用して、GPO を適用するユーザーとコンピュータのセットを変更できます。
また、ループバック処理機能を使用して、特定のコンピュータにログオンするすべてのユーザーに、同じポリシー設定のセットを確実に適用できます。
GPO の処理順序を変更する
管理者は、次のいずれかの方法を使用して、GPO の処理順序を変更できます。
リンクの順序を変更します。サイト、ドメイン、または OU における GPO のリンクの順序は、リンクがいつ適用されるかを制御します。管理者は、各リンクをリスト内で上または下に移動して適切な位置に置くことでリンクの順序を変更し、リンクの優先順位を変更することができます。順位が高いリンクほど (1 が最高順位)、サイト、ドメイン、または組織単位での優先順位が高くなります。
継承をブロックします。ドメインまたは OU に対して継承のブロックを使用すると、より高いサイト、ドメイン、または組織単位にリンクされている GPO が、子レベルの Active Directory コンテナに自動的に継承されなくなります。既定では、子レベルのコンテナは、親からすべての GPO を継承します。ただし、継承をブロックするのが役立つ場合があります。
GPO リンクを強制します。GPO リンクに [強制] を設定することで、その GPO リンクの設定を子オブジェクトの設定より優先することを指定できます。強制する GPO リンクは、親コンテナからはブロックできません。GPO に矛盾する設定が含まれ、上位レベルのコンテナからの強制がない場合、上位レベルの親コンテナにおける GPO リンクの設定は、子組織単位にリンクされた GPO での設定で上書きされます。強制がある場合は、親 GPO のリンクが常に優先されます。既定では、GPO リンクは強制されません。
GPO リンクを無効にします。既定では、すべての GPO リンクについて処理が有効になっています。ドメイン、サイト、または組織単位に対する GPO リンクを無効にすることで、そのサイト、ドメイン、または組織単位の GPO の適用を完全にブロックできます。これにより、GPO は無効になりません。その GPO が他のサイト、ドメイン、または組織単位にリンクされている場合、リンクが有効であれば GPO は引き続き処理されます。
セキュリティ フィルタ処理
この方法は、GPO がリンクされているコンテナ内の特定のセキュリティ プリンシパルだけに GPO を適用するよう指定するために使用されます。セキュリティ フィルタ処理を使用すると、GPO が単一のグループ、ユーザー、またはコンピュータだけに適用されるように、GPO の範囲を絞り込むことができます。GPO 内の異なる設定に対してセキュリティ フィルタ処理を選択的に使用することはできません。
ユーザーまたはコンピュータが、明示的に、またはグループ メンバシップを通じて実質的に、GPO に対する読み取りとグループ ポリシーの適用 (AGP) の両方の権限を持っている場合にのみ、そのユーザーまたはコンピュータに GPO を適用できます。既定では、すべての GPO は Authenticated Users グループに対して読み取りと AGP が許可済みに設定されており、これにはユーザーとコンピュータが含まれます。このため、GPO が組織単位、ドメイン、またはサイトに適用されるときは、認証済みのすべてのユーザーが新しい GPO の設定を受け取ります。
既定では、Domain Admins、Enterprise Admins、およびローカル システムは、グループ ポリシーの適用アクセス制御エントリ (ACE) がなくても、フル コントロールの権限を持っています。管理者も Authenticated Users のメンバです。つまり、既定では、管理者は GPO の設定を受け取ります。これらの権限を変更し、組織単位、ドメイン、またはサイト内の特定のユーザー、グループ、あるいはコンピュータのセットにスコープを限定できます。
グループ ポリシー管理コンソール (GPMC) では、これらの権限は単一のユニットとして管理され、[GPO スコープ] タブに GPO のセキュリティ フィルタ処理が表示されます。GPMC では、各 GPO に対するセキュリティ フィルタとしてグループ、ユーザー、およびコンピュータを追加または削除できます。GPMC の詳細については、「グループ ポリシー管理ツール」を参照してください。
Windows Management Instrumentation フィルタ処理
Windows Management Instrumentation (WMI) は、管理インフラストラクチャ標準を確立し、さまざまなハードウェアおよびソフトウェアの管理システムからの情報を統合する手段を提供することを目的とした、Web-Based Enterprise Management という業界構想を Microsoft が実装したものです。WMI では、CPU、メモリ、ディスク領域、製造元などのハードウェア構成データと、レジストリ、ドライバ、ファイル システム、Active Directory、Windows インストーラ サービス、ネットワーク構成、およびアプリケーション データからのソフトウェア構成データが公開されます。対象のコンピュータに関するデータを、GPO の WMI フィルタ処理などの管理目的に使用できます。
WMI フィルタ処理は、WQL (WMI Query Language) のクエリを GPO に添付することで GPO の適用を選別するために使用されます。クエリを使用して、複数の項目に対する WMI を照会できます。すべての照会対象項目に対してクエリが true を返す場合、GPO は対象のユーザーまたはコンピュータに適用されます。
GPO は WMI フィルタにリンクされて対象のコンピュータに適用され、フィルタは対象のコンピュータで評価されます。WMI が false と評価された場合は、GPO は適用されません (ただし、クライアント コンピュータが Windows 2000 の場合は例外で、フィルタは無視され、GPO は常に適用されます)。WMI フィルタが true と評価されると、GPO は適用されます。
WMI フィルタは、ディレクトリ内では GPO とは別のオブジェクトです。WMI フィルタを適用するには GPO にフィルタをリンクする必要があり、WMI フィルタとそれがリンクされる GPO を同じドメイン内に置く必要があります。WMI フィルタは、ドメイン内にのみ格納されます。1 つの GPO にリンクできる WMI フィルタは 1 つだけです。同じ WMI フィルタを複数の GPO にリンクできます。
ループバック処理
ループバック処理はグループ ポリシーの高度な設定であり、サーバー、キオスク、実験室、教室、受付などの厳しく管理された環境のコンピュータで役に立ちます。ループバック処理を設定すると、コンピュータに適用される GPO の [ユーザーの構成] のポリシー設定が、ユーザーの [ユーザーの構成] 設定の代わりに (置換モードの場合)、またはそれに加えて (結合モードの場合)、そのコンピュータにログオンするすべてのユーザーに適用されます。この機能を使用すると、Active Directory 内でのユーザーの場所に関係なく、特定のコンピュータにログオンするすべてのユーザーに、一貫したポリシー設定のセットを確実に適用できます。
ループバック処理を設定するには、グループ ポリシー オブジェクト エディタの [コンピュータの構成\管理用テンプレート\システム\グループ ポリシー] にある [ユーザー グループ ポリシー ループバックの処理モード] のポリシー設定を使用します。
ループバック処理機能を使用するには、ユーザー アカウントとコンピュータ アカウントの両方が、Windows 2000 以上のドメインである必要があります。ワークグループに参加しているコンピュータでは、ループバックは動作しません。
GPO の適用対象の指定の詳細については、Microsoft TechNet サイトの「Controlling the Scope of Group Policy Objects using GPMC (英語)」(https://go.microsoft.com/fwlink/?linkid=80462\&clcid=0x411) を参照してください。
管理用テンプレート拡張機能
グループ ポリシーの管理用テンプレート拡張機能は、ポリシー設定を構成するために使用される MMC サーバー側スナップインと、対象コンピュータでレジストリ キーを設定するクライアント側拡張機能で構成されます。管理用テンプレート ポリシーは、レジストリ ベースのポリシーまたはレジストリ ポリシーとも呼ばれます。
2007 Microsoft Office system のポリシー設定は管理用テンプレート ファイルに格納されており、このファイルは Microsoft ダウンロード センターの「2007 Office system 管理用テンプレート (ADM)」(https://go.microsoft.com/fwlink/?linkid=78161\&clcid=0x411) からダウンロードできます。
管理用テンプレート ファイル
管理用テンプレート (.adm) ファイルは Unicode ファイルであり、グループ ポリシー オブジェクト エディタおよび GPMC でのオプションの表示方法を定義したカテゴリとサブカテゴリの階層で構成されています。また、選択が行われた場合に変更する必要のあるレジストリの場所を示し、選択と関連付けられたオプションまたは (値の) 制限を制定し、場合によっては選択がアクティブ化される場合に使用する既定値を示します。
.adm ファイルの機能は制限されています。.adm ファイルの目的は、ユーザー インターフェイスがポリシー設定を構成できるようにすることです。.adm ファイルにはポリシーの設定は含まれていません。ポリシー設定は、ドメイン コントローラの Sysvol フォルダにある registry.pol ファイルに格納されています。
管理用テンプレートのサーバー側スナップインが提供する [管理用テンプレート] ノードは、グループ ポリシー オブジェクト エディタの [コンピュータの構成] ノードまたは [ユーザーの構成] ノードの下に表示されます。[コンピュータの構成] の下の設定は、コンピュータ用のレジストリ設定を操作します。[ユーザーの構成] の下の設定は、ユーザー用のレジストリ設定を操作します。値を入力するためのテキスト ボックスなどの簡単な UI 要素が必要なポリシー設定もありますが、ほとんどのポリシー設定に含まれるオプションは以下のものだけです。
[有効] : ポリシーを適用します。一部のポリシー設定には、ポリシーがアクティブ化されたときの動作を定義する追加オプションがあります。
[無効] : ほとんどのポリシー設定では、[有効] 状態と反対の動作を適用します。たとえば、[有効] が機能の状態をオフにする場合、[無効] は機能の状態をオンにします。
[未構成] : ポリシーを適用しません。ほとんどの設定の既定値は未構成です。
2007 Office system の管理用テンプレート ファイル
2007 Office system では、以下の管理用テンプレート ファイルを使用できます。
office12.adm : 共有 Office コンポーネント
access12.adm : Microsoft Office Access 2007
cpao12.adm : Microsoft Office Outlook 2007 の予定表印刷アシスタント
excel12.adm : Microsoft Office Excel 2007
groove12.adm : Microsoft Office Groove 2007
ic12.adm : Microsoft Office InterConnect 2007
inf12.adm : Microsoft Office InfoPath 2007
onent12.adm : Microsoft Office OneNote 2007
outlk12.adm : Microsoft Office Outlook 2007
ppt12.adm : Microsoft Office PowerPoint 2007
proj12.adm : Microsoft Office Project 2007
pub12.adm : Microsoft Office Publisher 2007
spd12.adm : Microsoft Office SharePoint Designer 2007
visio12.adm : Microsoft Office Visio 2007
word12.adm : Microsoft Office Word 2007
2007 Office system のポリシー設定は、以下のようなタスクに使用できます。
2007 Office system アプリケーションのセキュリティ設定の管理
2007 Office system アプリケーションからインターネットへの接続の禁止
ユーザーを混乱させる可能性のある、またはユーザーが自分の作業を行うためには必要のない 2007 Office system のユーザー インターフェイス設定の非表示化または無効化
ユーザーのコンピュータの高度に管理された、または制限の少ない標準構成の作成
旧バージョンの Office からの移行に備えた 2007 Office system アプリケーション用の既定のファイル保存オプションの設定
たとえば、管理者はグループ ポリシーを使用して、Office ユーザー インターフェイスを制御する次のような設定のほとんどを、無効化、有効化、または構成できます。
メニュー コマンド
ショートカット キー
オプション ダイアログ ボックスの設定
2007 Office system で使用できる多数のグループ ポリシー設定が、高度な柔軟性を実現します。管理者は、組織に固有のビジネス要件とセキュリティ考慮に応じて、制限が厳しい構成や管理の緩い構成を作成できます。
2007 Office system の管理用テンプレート ファイルをダウンロードするには、Microsoft ダウンロード センターの「2007 Office system 管理用テンプレート (ADM)」を参照してください。
Microsoft ダウンロード センターから 2007 Microsoft Office system Open XML 形式コンバータ管理用テンプレート (ADM) バージョン 2.0 をダウンロードすることもできます。このテンプレートを使用すると、Microsoft Office Word、Excel、および PowerPoint 2007 のオープン XML 形式コンバータの既定の動作を変更できます。
管理者は、Microsoft Office 2003 および Microsoft Office XP の管理用テンプレート ファイルを変更して、既定の [名前を付けてファイルを保存] オプションを設定し、2007 Office system プログラムのオープン XML 形式を含むようにできます。詳細については、マイクロソフト サポート技術情報の記事 932127「2007 に Office プログラムの保存を設定するための Office 2003 - 新しい OpenXML ファイルが含まれるデフォルトのファイル形式既存の Office ポリシー ファイル (.adm ファイル) を変更する方法をフォーマットします。」を参照してください。
管理用テンプレートの詳細については、「Administrative Templates Extension Technical Reference (英語)」(https://go.microsoft.com/fwlink/?linkid=56088\&clcid=0x411) を参照してください。
Windows Vista および Windows Server 2008 では、次に説明するように、管理用テンプレート ファイルに新しい XML ベースの形式が導入されました。
管理用テンプレート ファイル : Windows Vista および Windows Server 2008 での変更
Windows NT 4.0 で最初にリリースされたときには、管理用テンプレート ファイルは .adm ファイルという名前の独自のファイル形式を使用していました。Windows Vista および Windows Server 2008 オペレーティング システムでは、これらのファイルは ADMX ファイルに置き換えられ、XML ベースのファイル形式を使用してレジストリ ベースのポリシー設定を表示するようになります。この新しい管理用テンプレート ファイルを使用することで、Windows Vista および Windows Server 2008 でのレジストリ ベースのポリシー設定の管理が容易になります。Office 2007 の ADM ファイルと ADMX ファイルに含まれるポリシー設定は同じものです。
新しい ADMX ファイルと ADML ファイルはこれまでの .adm ファイルに代わるもので、言語に依存しないリソース ファイル (ADMX) と、言語固有のリソース ファイル (ADML) に分かれています。これらの新しいファイル種類を使用することで、グループ ポリシー ツールは、管理者の構成言語に従ってユーザー インターフェイスを調節できます。
グループ ポリシー オブジェクト エディタとグループ ポリシー管理コンソールは、現在の環境に存在するこれまでの .adm ファイルを引き続き認識します。GPO のカスタム .adm ファイル (つまり、オペレーティング システムにおいて既定で提供されているものではない .adm ファイル) は、グループ ポリシー オブジェクト エディタおよびグループ ポリシー管理コンソールで使用されます。ツールは、System.adm、Inetres.adm など、オペレーティング システムに既定で組み込まれていた以前の .adm ファイルを認識しません。
Windows Vista および以前のオペレーティング システムに影響を与えるグループ ポリシーの設定は、Windows Vista を実行するワークステーションから管理できます。ADMX ファイルは、Windows Vista オペレーティング システムでのみサポートされています。ADMX ファイルを以前のオペレーティング システムにコピーしても、効果はありません。
[!メモ] ADMX 移行ツールを使用することで、ADM ファイルを ADMX 形式に変換できます。ADMX Migrator は、管理用テンプレートを作成および編集するためのグラフィカル ユーザー インターフェイスを備えた ADMX エディタを提供します。詳細については、「ADMX Migrator (英語)」(https://go.microsoft.com/fwlink/?linkid=77409&clcid=0x411) を参照してください。
Windows Vista での ADMX ファイルと ADML ファイルの保管
セントラル ストアは、Active Directory ドメイン コントローラの Sysvol フォルダに作成されるフォルダです。このフォルダは、ドメインの ADMX ファイルと ADML ファイルを 1 か所で集中的に保管する場所になります。セントラル ストアは、Windows Server 2003 R2、Windows Server 2003 SP1、または Windows 2000 Server を実行するドメイン コントローラに作成できます。セントラル ストアを作成するために Windows Server 2008 は必要ありません。
Vista での ADMX ファイルの管理の詳細については、Microsoft TechNet サイトの「グループ ポリシー管理での ADMX ファイルの使用に関するステップ バイ ステップ ガイド」、「ADMX ファイルで GPO を編集するための要件」、および「シナリオ 2: ADMX ファイルでドメイン ベースの GPO を編集する」を参照してください。
ユーザー設定と真のポリシー
管理者が完全に管理できるグループ ポリシー設定のことを真のポリシーと呼びます。ユーザーが構成する設定、またはインストール時のオペレーティング システムの既定状態を反映する設定は、ユーザー設定と呼ばれます。真のポリシーもユーザー設定も、ユーザーのコンピュータのレジストリを変更する情報を含みます。真のポリシーとユーザー設定の間には重要な違いがあります。真のポリシーの設定の方が、ユーザー設定より優先されます。
真のポリシーに対するレジストリ値は、グループ ポリシーの承認済みレジストリ キーの下に格納されます。ユーザーは、これらの設定を変更したり無効にしたりできません。
コンピュータ ポリシーの設定の場合 :
HKEY_LOCAL_MACHINE\Software\Policies (推奨される場所)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
ユーザー ポリシーの設定の場合 :
HKEY_CURRENT_USER\Software\Policies (推奨される場所)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
ユーザー設定は、インストール時にユーザーまたはオペレーティング システムによって設定されます。ユーザー設定を格納するレジストリ値は、前の表で示した承認済みのグループ ポリシー キーの外部にあります。ユーザーは、自分のユーザー設定を変更できます。
管理者は、承認済みグループ ポリシー レジストリ ツリーの外部のレジストリ値を設定する .adm ファイルを作成できます。この場合、この方法は、レジストリ キーまたは値が特定の方法で設定されることだけを保証します。この方法を使用した場合、管理者は真のポリシー設定の代わりにユーザー設定を構成し、これらの設定でレジストリをマークします。つまり、ユーザー設定が無効にされたり削除されたりした場合でも、設定はレジストリ内に保持されます。
この方法で GPO を使用してユーザー設定を構成した場合、作成した GPO にはアクセス制御リスト (ACL) の制限はありません。したがって、ユーザーはレジストリ内のこれらの値を変更できる可能性があります。GPO が対象範囲に含まれなくなっても (GPO がリンク解除、無効化、または削除された場合)、これらの値はレジストリから削除されません。
これに対し、真のレジストリ ポリシーの設定には、ユーザーによる設定の変更を防ぐための ACL 制限があります。ポリシーの値を設定する GPO が対象範囲に含まれなくなると、値は削除されます。このため、真のポリシーは完全に管理可能なポリシー設定と見なされます。既定では、グループ ポリシー オブジェクト エディタには完全に管理できるポリシー設定だけが表示されます。
グループ ポリシー オブジェクト エディタでユーザー設定を表示するには、[管理用テンプレート] ノードをクリックし、[表示] をクリックし、[フィルタ] をクリックして、[完全に管理されているポリシー設定のみ表示します] をオフにします。
真のポリシーの設定はユーザー設定より優先されます。ただし、ユーザー設定が使用するレジストリ キーを上書きまたは変更することはありません。ユーザー設定と矛盾するポリシー設定が展開された場合は、ポリシー設定の方がユーザー設定より優先されます。ポリシーとユーザー設定の両方が存在する場合、ポリシーが削除または無効化されると、ユーザー設定が正しく復元されます。ユーザー設定は、反対の作用を持つポリシー設定により、またはレジストリの編集により反転されるまで、レジストリ内に留まります。
以下の表は、ポリシー設定とユーザー設定の効果をまとめたものです。
| グループ ポリシーが存在 | ユーザー設定が存在 | 結果の動作 |
|---|---|---|
× |
× |
既定値 |
× |
○ |
ユーザー設定が動作を構成する。 |
○ |
× |
ポリシー設定が動作を構成する。 |
○ |
○ |
ポリシー設定が動作を構成する。ユーザー設定は無視される。 |
2007 Office system の場合、ユーザー固有のすべてのポリシー設定は、HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\12.0 サブキーに格納されます。コンピュータ固有のポリシーは、HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Office\12.0 サブキーに格納されます。既定では、どちらのポリシー サブキーもロックされて、ユーザーは変更できません。
グループ ポリシー管理ツール
管理者は、グループ ポリシー管理コンソール (GPMC) とグループ ポリシー オブジェクト エディタ Microsoft 管理コンソール (MMC) スナップインの 2 つのツールを使用して、グループ ポリシーを管理します。ほとんどのグループ ポリシー 管理タスクには、グループ ポリシー管理コンソールを使用します。グループ ポリシー オブジェクト エディタは、グループ ポリシー オブジェクトのポリシー設定を構成するために使用します。
グループ ポリシー管理コンソール
GPMC は、GPO の継承のスコーピング、委任、フィルタ処理、操作など、グループ ポリシーの核心部分を管理するための単一ツールを提供することで、グループ ポリシーの管理を単純化します。GPMC は、GPO のバックアップ (エクスポート)、復元、インポート、およびコピーにも使用できます。管理者は、GPMC を使用して、ネットワークに対する GPO の影響を予測したり、GPO によって行われたコンピュータまたはユーザーの設定の変更を判別したりできます。GPMC は、ドメイン環境でのほとんどのグループ ポリシー タスクの管理に推奨されるツールです。
GPMC は、企業内の GPO、サイト、ドメイン、および OU のビューを提供し、Windows Server 2003 または Windows 2000 のドメインを管理するために使用できます。グループ ポリシー オブジェクトでの個別のポリシー設定の構成を除く他のすべてのグループ ポリシー管理タスクは、GPMC を使用して行います。グループ ポリシー オブジェクトでの構成には、グループ ポリシー オブジェクト エディタを使用します。GPMC からグループ ポリシー オブジェクト エディタを呼び出して使用できます。
初期設定のない GPO を作成するには、GPMC を使用します。GPO を作成し、同時に GPO を Active Directory コンテナにリンクすることもできます。GPO 内の個別の設定を構成するには、GPMC 内で GPO を編集します。グループ ポリシー オブジェクト エディタには、読み込まれた GPO が表示されます。
管理者は、GPMC を使用して、Active Directory のサイト、ドメイン、または OU に GPO をリンクできます。Active Directory コンテナ内のユーザーとコンピュータに設定を適用するには、GPO をリンクする必要があります。
GPMC には、Windows が提供する以下のポリシーの結果セット (RSoP) 機能が含まれます。
グループ ポリシー モデリング。管理者が指定した環境下で適用されるポリシー設定をシミュレートします。グループ ポリシー モデリングを使用して、既存の構成に適用される RSoP データをシミュレートしたり、ディレクトリ環境に対するシミュレートした仮定の変更の影響を分析したりできます。グループ ポリシー モデリングを行うには、Windows Server 2003 を実行するドメイン コントローラが少なくとも 1 つ必要です。このシミュレーションは、Windows Server 2003 を実行するドメイン コントローラで動作するサービスによって実行されます。詳細については、Microsoft TechNet Web サイトの「Group Policy Modeling (英語)」(https://go.microsoft.com/fwlink/?linkid=82672\&clcid=0x411) を参照してください。
グループ ポリシー結果。コンピュータとユーザーに適用される実際のポリシー データを表します。データを取得するには、ターゲット コンピュータに対してクエリを実行し、そのコンピュータに適用された RSoP データを取得します。グループ ポリシー結果機能はクライアント オペレーティング システムによって提供され、Windows XP、Windows Server 2003、またはそれ以降のバージョンのオペレーティング システムが必要です。詳細については、Microsoft TechNet Web サイトの「Group Policy Results (英語)」(https://go.microsoft.com/fwlink/?linkid=82673\&clcid=0x411) を参照してください。
GPMC は、もともと、Microsoft Windows Server 2003 および Windows XP 用の独立したダウンロード コンポーネントとして提供されていました。GPMC をダウンロードするには、Microsoft ダウンロード センター Web サイトの「グループ ポリシー管理コンソール (GPMC) Service Pack 1」(https://go.microsoft.com/fwlink/?linkid=58541\&clcid=0x411) を参照してください。
Windows Vista および Windows Server 2008 では、GPMC はオペレーティング システムに直接統合されており、グループ ポリシー オブジェクト エディタと共にグループ ポリシー タスクを管理するための標準ツールになっています。
GPMC の詳細については、Microsoft TechNet Web サイトの「ステップバイステップ ガイド : グループ ポリシー管理コンソールの使用」(https://go.microsoft.com/fwlink/?linkid=75196\&clcid=0x411) を参照してください。
グループ ポリシー オブジェクト エディタ
グループ ポリシー オブジェクト エディタは、グループ ポリシー オブジェクトのポリシー設定を構成するために使用される MMC スナップインです。グループ ポリシー オブジェクト エディタは gpedit.dll に含まれており、Windows 2000、Windows XP、Windows Server 2003、Windows Vista、および Windows Server 2008 の各オペレーティング システムでインストールされます。
Windows 2000、Windows Server 2003 管理ツール パックのインストールされた Windows XP、および Windows Server 2003 を実行するコンピュータでは、Active Directory ユーザーとコンピュータ スナップインおよび Active Directory サイトとサービス スナップインからグループ ポリシー オブジェクト エディタにアクセスできます。
ドメインのメンバではないローカル コンピュータのグローバル ポリシー設定を構成するには、グループ ポリシー オブジェクト エディタを使用してローカル GPO (Windows Vista または Windows Server 2008 を実行するコンピュータでは、GPO は複数でもかまいません) を管理します。ドメイン環境でグループ ポリシーの設定を構成する場合は、GPMC (グループ ポリシー オブジェクト エディタを呼び出します) がグループ ポリシー管理タスクに推奨されるツールです。
グループ ポリシー オブジェクト エディタは、GPO でグループ ポリシー設定を構成するための階層的なツリー構造を提供します。これらの GPO は、コンピュータまたはユーザーのオブジェクトを含むサイト、ドメイン、および OU にリンクできます。
グループ ポリシー オブジェクト エディタは、2 つの主要なノードで構成されます。[ユーザーの構成] には、ログオン時および定期的なバックグラウンド更新時にユーザーに適用される設定が含まれます。[コンピュータの構成] には、起動時および定期的なバックグラウンド更新時にコンピュータに適用される設定が含まれます。主ノードは、設定できる異なる種類のポリシー設定を含むフォルダにさらに分割されます。以下のフォルダが含まれます。
[ソフトウェアの設定] : ソフトウェアのインストールの設定が含まれます。
[Windows 設定] : セキュリティの設定とスクリプト ポリシーの設定が含まれます。
[管理用テンプレート] : レジストリ ベースのポリシー設定が含まれます。
グループ ポリシー オブジェクト エディタの詳細については、Microsoft TechNet の Windows Server 2003 サイトの「Windows Server 2003 ‐ グループ ポリシー」(https://go.microsoft.com/fwlink/?linkid=72742\&clcid=0x411) を参照してください。
Office カスタマイズ ツールとグループ ポリシー
管理者は、Office カスタマイズ ツール (OCT) とグループ ポリシーの 2 つのツールを使用して、2007 Office system アプリケーションのユーザー構成をカスタマイズできます。どちらのツールもユーザー設定を構成しますが、重要な違いがあります。
Office カスタマイズ ツールは、セットアップ カスタマイズ ファイル (MSP ファイル) を作成するために使用します。管理者は、OCT を使用して、機能をカスタマイズし、ユーザー設定を構成できます。ユーザーはインストール後に大部分の設定を変更できます。これは、OCT はパブリックにアクセスできるレジストリの部分 (HKEY_CURRENT_USER/Software/Microsoft/Office/12.0 など) の設定を構成するためです。このツールは、通常、デスクトップの構成を集中的に管理しない組織で使用されます。詳細については、「2007 Office system の Office カスタマイズ ツール」を参照してください。
グループ ポリシーは、管理用テンプレートに含まれる 2007 Office system のポリシー設定を構成するために使用されます。これらのポリシー設定は、オペレーティング システムによって適用されます。Active Directory 環境では、グループ ポリシー オブジェクトがリンクされているサイト、ドメイン、または組織単位内のユーザーおよびコンピュータのグループに、ポリシー設定を適用できます。真のポリシー設定はポリシーの承認済みレジストリ キーに書き込まれ、これらの設定には管理者以外のユーザーによる変更を防ぐ ACL 制限が設定されます。管理者は、グループ ポリシーを使用して、高度に管理されたデスクトップ構成を作成できます。また、緩く管理された構成を作成し、組織のビジネスおよびセキュリティ要件に対応することもできます。
このドキュメントをダウンロードする
このトピックは、簡単に読んだり印刷したりできるように、次のダウンロード可能なドキュメントに収められています。
入手可能なドキュメントの詳細な一覧については、「2007 Office リソース キットのダウンロード可能なブック」を参照してください。