ステップバイステップ ガイド : グループ ポリシー管理コンソールの使用

公開日: 2005年1月7日

このステップバイステップ ガイドでは、Active Directory 環境でグループ ポリシー オブジェクト (GPO) をサポートすることを目的として、グループ ポリシー管理コンソール (GPMC) を使用する方法について説明します。このガイドでは、GPO の実装に関するガイダンスは提供していません。

トピック

  はじめに
  概要
  GPMC のインストールと構成
  グループ ポリシー オブジェクトの管理
  GPO のバックアップ、復元、コピー、およびインポート
  GPO のモデリング
  関連資料

はじめに

ステップバイステップ ガイド

Microsoft Windows Server 2003 展開のステップバイステップ ガイドでは、多くの共通点を持つオペレーティング システム構成における実際上の操作を説明します。これらのガイドでは、Windows Server 2003 をインストールして共通ネットワーク インフラストラクチャを構築することから説明を始めます。そして、Active Directory® の構成、Windows XP Professional ワークステーションのインストールについて説明し、最後にワークステーションをドメインに追加する方法について説明します。これらのステップバイステップ ガイドの各分冊では、この共通ネットワーク インフラストラクチャが構築されていることを前提としています。このガイドで説明するネットワーク インフラストラクチャとは異なるインフラストラクチャを構築する場合は、適宜変更を加えながらガイドを読み進めてください。

共通ネットワーク インフラストラクチャの構築には、以下のガイドで説明する操作を完了する必要があります。

• 第 1 部 : ドメイン コントローラとしての Windows Server 2003 のインストール
• 第 2 部 : Windows XP Professional ワークステーションのインストールとドメインへの接続

共通ネットワーク インフラストラクチャを構築すると、その他のステップバイステップ ガイドの操作を実行できるようになります。ただし、その他のステップバイステップ ガイドでは、共通ネットワーク インフラストラクチャ構築の要件に加えて、その他の前提条件が必要になる場合があります。詳細については、各ステップバイステップ ガイドの説明を参照してください。

Microsoft Virtual PC

Microsoft Windows Server 2003 展開のステップバイステップ ガイドで説明する内容は、現実のラボ環境で実装することができ、Microsoft Virtual PC 2004 や Microsoft Virtual Server 2005 のような仮想化テクノロジを使って実装することもできます。仮想コンピュータ テクノロジを使用すると、単一の物理サーバー上で複数のオペレーティング システムを並行して稼働させることができます。Virtual PC 2004 と Virtual Server 2005 は、ソフトウェアのテストや開発、レガシ アプリケーションの移行、サーバー統合シナリオにおいて、業務効率を高めるように設計されています。

Microsoft Windows Server 2003 展開のステップバイステップ ガイドでは、現実のラボ環境での構成を前提としています。ただし、大部分の構成はそのまま仮想環境に適用できます。

このステップバイステップ ガイドに記載する概念を仮想環境に適用する場合の説明については、ここでは割愛します。

重要

このドキュメントで使用している会社、組織、製品、ドメイン名、電子メール アドレス、ロゴ、人物、場所、イベントなどの名称は架空のものです。実在する会社名、組織名、製品名、ドメイン名、電子メール アドレス、ロゴ、個人名、場所名、イベント名などは一切関係ありません。

この共通インフラストラクチャは、プライベート ネットワークで使用する目的で設計されています。共通インフラストラクチャで使用する架空の企業名と DNS (Domain Name System) 名は、インターネット上で使用するための登録が行われていません。パブリック ネットワークやインターネット上では、この名前を使用しないようにしてください。

この共通インフラストラクチャの Active Directory サービス構造は、Windows Server 2003 の変更と構成管理機能の概要、および Active Directory との関連を示すために設計されたものです。企業で Active Directory を構成する場合を想定して設計されているわけではないことに注意してください。

ページのトップへ

概要

Microsoft グループ ポリシー管理コンソール (GPMC) は、管理者が管理容易性と生産性の向上させることによって、よりコスト効率よく企業活動を管理できるように支援する新しいグループ ポリシー管理ツールです。このコンソールは、新しい Microsoft 管理コンソール (MMC) スナップインとスクリプト可能なインターフェイスのセットで構成されています。

GPMC は、グループ ポリシーの中核的要素を一元管理することによって、グループ ポリシー管理を容易にします。さらに、次の機能を提供することによって、一般に要求されるようなグループ ポリシーの重要な展開要件を解決します。

• グループ ポリシーを格段に使いやすくするユーザー インターフェイス (UI)
• グループ ポリシー オブジェクト (GPO) のバックアップおよび復元
• GPO および WMI (Windows Management Instrumentation) フィルタのインポート/エクスポートおよびコピー/貼り付け
• グループ ポリシー関連のセキュリティの容易な管理
• GPO 設定とポリシーの結果セット (RSoP) データの HTML (Hyper Text Markup Language) によるレポート機能
• このツールで公開されているポリシー関連タスクのスクリプティング (GPO 内部設定のスクリプティングではありません)

これまで、管理者は Active Directory ユーザーとコンピュータ、Active Directory サイトとサービス、ポリシーの結果セット スナップインなどの複数の Microsoft ツールを使用してグループ ポリシーを管理する必要がありました。GPMC は、これらのツールの中で公開されていた既存のグループ ポリシー機能を新しい機能と共に単一のコンソールに統合しました。

GPMC には、管理者がグループ ポリシーを会社全体にわたって容易に管理できるように、複数のドメインとフォレストの管理のサポートが組み込まれています。管理者には、GPMC 内に一覧表示されたフォレストとドメインに対する完全な制御権限が付与されているため、環境の必要な部分だけを表示することができます。

メモ   このステップバイステップ ガイドでは、GPO を管理するための GPMC の使用に関するガイダンスだけを提供します。GPO の構成に関するガイダンスは提供しません。GPO の構成については、「ステップバイステップ ガイド : Windows Server 2003 のグループ ポリシー機能」を参照してください。

前提条件

• 第 1 部 : ドメイン コントローラとしての Windows Server 2003 のインストール
• ステップバイステップ ガイド : 追加のドメイン コントローラのセットアップ
• ステップバイステップ ガイド : Active Directory の管理
• ステップバイステップ ガイド : オブジェクト制御の委任ウィザードの使用
• ステップバイステップ ガイド : Windows Server 2003 のグループ ポリシー機能
• ステップバイステップ ガイド : 強力なパスワード ポリシーの強制

ページのトップへ

GPMC のインストールと構成

GPMC のインストール

GPMC のインストールは、Windows インストーラ (.MSI) パッケージを実行するだけの簡単な作業です。最新版のダウンロードについては、https://www.microsoft.com"https://www.microsoft.com/japan/windowsserver2003/gpmc/default.mspx にある「グループ ポリシー管理コンソールによる企業システムの管理」を参照してください。

グループ ポリシー管理コンソールをインストールするには

1. HQ-CON-DC-01 サーバーで、gpmc.msi が保存されているフォルダに移動し、gpmc.msi パッケージをダブルクリックします。次に、[次へ] をクリックします。
2. [同意します] をクリックして使用承諾契約書 (EULA) に同意し、[次へ] をクリックします。
3. [完了] をクリックして GPMC のインストールを終了します。

インストールが完了すると、Active Directory スナップイン内のサイト、ドメイン、または組織単位 (OU) のプロパティ ページに表示される [グループ ポリシー] タブが更新され、GPMC への直接リンクが追加されます。グループ ポリシーを管理するためのすべての機能が GPMC 経由で使用できるようになったため、これまで [グループ ポリシー] タブに表示されていた機能は使用できなくなります。

GPMC スナップインを開くには

1. HQ-CON-DC-01 サーバーで、[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に、「GPMC.msc」と入力し、 [OK] をクリックします。

   メモ   次の方法のいずれかを使って、GPMC を起動することもできます。

   • [スタート] メニューまたは [コントロール パネル] の [管理ツール] フォルダを右クリックし、[グループ ポリシーの管理] をクリックします。
   • カスタム MMC コンソールを作成します。[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。「mmc」と入力し、[OK] をクリックします。[ファイル] をクリックし、[スナップインの追加と削除] をクリックし、[追加] をクリックします。[グループ ポリシーの管理] をクリックして選択し、[追加] をクリックします。次に、[閉じる] をクリックし、[OK] をクリックします。

複数のフォレストに対する GPMC の構成

複数のフォレストを GPMC コンソール ツリーに簡単に追加することができます。既定では、GPMC を実行しているユーザーのフォレストと双方向の信頼関係を結んでいる場合は、1 つのフォレストしか GPMC に追加することができません。状況に応じて、GPMC を一方向の信頼関係または信頼関係なしで動作させることができます。GPMC に新しいフォレストを追加するには、ツリーのルートで [グループ ポリシーの管理] をクリックし、コンテキスト メニューの [操作] をクリックし、[フォレストの追加] をクリックします。サンプル環境には 1 つのフォレストしか含まれていないため、この手順を実行することは、このステップバイステップ ガイドの対象外になります。

メモ   信頼関係のないフォレストを追加すると、一部の機能が使用できなくなります。たとえば、グループ ポリシーのモデリングを使用できません。また、信頼関係のないフォレストの GPO に対して、グループ ポリシー オブジェクト エディタを開くことはできません。信頼関係のないフォレストのシナリオは、フォレスト間での GPO のコピーを可能にすることを目的に用意されています。

複数ドメインの同時管理

GPMC では、コンソール内のフォレストでグループ分けされた複数のドメインを同時に管理することができます。既定では、GPMC には 1 つのドメインだけが表示されます。事前に構成されたスナップイン (gpmc.msc) またはカスタム MMC コンソールを使って初めて GPMC を起動すると、そのときに使用したユーザー アカウントを含むドメインが GPMC に表示されます。コンソールに表示されるドメインを追加したり削除したりすることで、GPMC を使用して管理する各フォレスト内のドメインを指定できます。

メモ   フォレスト全体と信頼関係を結んでいるフォレストが存在しない場合でも、外部的に信頼されているドメインを追加することができます。既定では、追加するドメインとユーザー オブジェクトのドメインとの間で双方向の信頼関係を結ぶ必要があります。また、[表示] メニューの [オプション] をクリックして表示されるダイアログ ボックスで GPMC の信頼関係を検出する機能を無効にすることによって、一方向の信頼関係でドメインを追加することができます。外部的に信頼されているドメインを追加するには、最初に [フォレストの追加] ダイアログ ボックスを使って、外部的に信頼されているドメインを含むフォレストから 1 つのドメインを追加します。このフォレストが追加されたら、フォレストの [ドメイン] ノードを右クリックし、[ドメインの表示] をクリックすると、信頼されている任意のドメインをフォレストに追加することができます。

コンソールに子ドメイン vancouver.contoso.com を追加するには

1. [グループ ポリシーの管理] ウィンドウで、[フォレスト:contoso.com] の横のプラス記号 (+) をクリックしてツリーを展開し、[ドメイン] の横のプラス記号 (+) をクリックします。

2. [ドメイン] を右クリックし、[ドメインの表示] をクリックします。

3. 図 1 に示すように、[vancouver.contoso.com] の横のチェック ボックスをオンにし、[OK] をクリックします。

   

   図 1.   ドメインの表示
   拡大表示する

GPMC でアクセス可能なドメイン内では、あらゆる操作で同じドメイン コントローラが使用されます。これには、ドメイン内に存在する GPO、組織単位、セキュリティ プリンシパル、および WMI フィルタ上のすべての操作が含まれます。また、グループ ポリシー オブジェクト エディタを GPMC から開いた場合は、その GPO が存在するドメイン用として GPMC で選択されているドメイン コントローラが常に使用されます。

GPMC では、ドメインごとに使用するドメイン コントローラを選択することができます。次の 4 つのオプションがあります。

• プライマリ ドメイン コントローラ (PDC) エミュレータの使用 (既定の選択)。
• 任意の使用可能なドメイン コントローラの使用。
• Windows Server 2003 ファミリ オペレーティング システムが稼働している任意の使用可能なドメイン コントローラの使用。このオプションは、グループ ポリシーのソフトウェア インストール設定を含む削除された GPO を復元するときに便利です。
• 特定のドメイン コントローラの使用。

GPMC を使ってドメイン vancouver.contoso.com のドメイン コントローラを変更するには

1. [グループ ポリシーの管理] ウィンドウの [ドメイン] フォルダの下で、[vancouver.contoso.com] を右クリックし、[ドメイン コントローラの変更] をクリックします。

2. 図 2 のように、[ドメイン コントローラの変更] ダイアログ ボックスの [次のドメイン コントローラ] をクリックし、[hq-con-dc-03.vancouver.contoso.com] をクリックして選択します。

3. [OK] をクリックして次に進みます。

   図 2.   ドメイン コントローラの変更

ページのトップへ

グループ ポリシー オブジェクトの管理

ドメイン GPO の表示

GPMC では、ポリシーベースの Active Directory と、GPO、WMI フィルタ、GPO リンクなどのグループ ポリシーに関連付けられたコンポーネントを各ドメイン内で表示することができます。GPMC の表示は、組織単位階層を表示しているときの Active Directory ユーザーとコンピュータ MMC スナップインの表示に似ています。ただし、GPMC とこのスナップインは、組織単位内のユーザー、コンピュータ、およびグループを表示する代わりに、GPO 自体と各コンテナに関連付けられている GPO を表示している点が異なります。

GPMC 内の各ドメイン ノードに次の項目が表示されます。

• ドメインに関連付けられたすべての GPO。
• すべての最上位レベルの組織単位と、入れ子になった組織単位および各組織単位に関連付けられた GPO のツリー表示。
• ドメイン内のすべての GPO を表示しているグループ ポリシー オブジェクト コンテナ。
• ドメイン内のすべての WMI フィルタを表示している WMI フィルタ コンテナ。

特定のコンテナに関連付けられた GPO を表示するには

1. [ドメイン] ツリーの下の [contoso.com] ツリーをクリックします。図 3 に示すように、コンテナ (ドメイン ルート) に関連付けられた GPO が表示されます。この概念は、すべてのドメイン コンテナに適用できます。

   図 3.   ドメイン ルート内の GPO
   拡大表示する

特定のドメインに関連付けられたすべての GPO を表示するには

1. [ドメイン] ツリーの下で [contoso.com] の隣にあるプラス記号 (+) をクリックし、[グループ ポリシー オブジェクト] をクリックします。

GPO の検索

フォレストまたはドメイン レベルで GPO を検索することができます。単一のまたは複数の検索パラメータを指定して、膨大な GPO のセットの中から検索結果を絞り込むことができます。

複数の検索パラメータを指定して contoso.com フォレスト内の特定の GPO を検索するには

1. コンソール ツリーで [フォレスト:contoso.com] を右クリックし、[検索] をクリックします。

2. [検索する項目] ボックスで [GPO 名] を選択し、[値] に「Password」と入力して、[追加] をクリックします。

3. [検索する項目] ボックスで [コンピュータの構成] を選択し、[値] として [Security] を選択して、[追加] をクリックします。

4. [検索] をクリックします。図 4 に示すような検索結果が表示されます。

   

   図 4.   条件ベースの GPO 検索
   拡大表示する

5. 検索結果が表示されたら、次の手順を実行できます。

   • GPO を開いて編集するには、[編集] をクリックします。
   • 検索結果を保存するには、[結果の保存] をクリックします。[GPO の検索結果の保存] ダイアログ ボックスで、保存する結果のファイル名を指定し、[保存] をクリックします。
   • 検索で見つかった GPO に移動するには、検索結果一覧でその GPO をダブルクリックします。
   • 検索結果を消去するには、[クリア] をクリックします。
   • [グループ ポリシー オブジェクトの検索] ダイアログ ボックスを終了するには、[閉じる] をクリックします。

GPO のスコープ設定

グループ ポリシーの値は、管理対象の Active Directory コンテナに正しく適用されている GPO 経由でのみ取得できます。GPO の設定が適用されるユーザーとコンピュータを決定することを "GPO のスコープ設定" といいます。GPO のスコープ設定は、3 つの要素に基づいています。

• GPO が関連付けられているサイト、ドメイン、または組織単位   GPO の設定がユーザーとコンピュータに適用される基本的なメカニズムは、GPO を Active Directory 内のサイト、ドメイン、または組織単位に関連付けることにあります。GPO が関連付けられる場所は、"管理のスコープ" または "SOM" と呼ばれます (以前のホワイト ペーパーでは、"SDOU" と呼ばれていました)。SOM には、サイト、ドメイン、および組織単位の 3 つの種類があります。1 つの GPO を複数の SOM に関連付けることができます。また、複数の GPO を 1 つの SOM に関連付けることができます。GPO は、GPO が適用される SOM に関連付ける必要があります。
• GPO 上のセキュリティ フィルタ処理   既定では、GPO が関連付けられた SOM (およびその子 SOM) に存在しているすべての Authenticated Users に GPO の設定が適用されます。GPO での許可を管理することによって、GPO の設定が適用されるユーザーとコンピュータをさらに絞り込むことができます。これは "セキュリティ フィルタ処理" として知られています。特定のユーザーまたはコンピュータに GPO を適用する場合、そのユーザーまたはコンピュータに GPO に対するグループ ポリシーの読み取りと適用の許可を付与する必要があります。既定では、Authenticated Users グループに GPO に対する両方の許可が付与されています。したがって、Authenticated Users グループに属するすべてのユーザーは、新しい GPO が SOM (組織単位、ドメイン、またはサイト) に関連付けられたときにその設定を受け取ります。ただし、これらの許可は、GPO のスコープをその GPO が関連付けられた SOM 内の特定のユーザー、グループ、またはコンピュータに限定することを目的に、変更できます。
• GPO の WMI フィルタ   WMI フィルタによって、管理者は、対象コンピュータの属性 (WMI 経由でアクセス可能です) に基づいて動的に GPO のスコープを決定することができます。WMI フィルタは、対象コンピュータの WMI リポジトリに対して True か False かで評価される 1 つ以上のクエリで構成されています。WMI フィルタは、ディレクトリ内の GPO とは別のオブジェクトです。WMI フィルタを GPO に適用する場合は、フィルタを GPO に関連付けます。この操作は、GPO の [スコープ] タブの [WMI フィルタ処理] セクションで行います。各 GPO には 1 つの WMI フィルタしか適用できませんが、WMI フィルタを複数の GPO に関連付けることは可能です。WMI フィルタに関連付けられた GPO が対象コンピュータ上に適用されたときに、そのフィルタが対象コンピュータ上で評価されます。WMI フィルタが False と評価された場合、その GPO は適用されません。WMI フィルタが True と評価された場合は、その GPO が適用されます。

検索された Domain Password Policy GPO をスコープ設定するには

1. [グループ ポリシー オブジェクトの検索] ダイアログ ボックスの検索結果ペインで、[Domain Password Policy] をダブルクリックし、[閉じる] をクリックします。

   メモ   [グループ ポリシー オブジェクトの検索] ダイアログ ボックスを閉じると、GPMC で選択されていた GPO にフォーカスが設定されます。図 5 に示すような、GPO のスコープ ページが表示されます。

   

   図 5.   GPO のスコープ設定
   拡大表示する

GPO で適用されるポリシーを確認するには

1. [Domain Password Policy] 結果ペインで、[設定] タブをクリックし、[すべて表示] をクリックします。図 6 に示すように、定義されたすべてのポリシー設定の概要が表示されます。未定義の設定は表示されません。

   図 6.   GPO 設定の確認
   拡大表示する

GPO ポリシー継承とリンク順序

コンテナの [グループ ポリシーの継承] タブには、親コンテナから継承されたすべての GPO (サイトに関連付けられた GPO を除きます) が表示されます。このタブの [優先順位] 列には、コンテナ内のオブジェクトに適用されたすべてのリンクの優先順位が表示されます。この順位は、継承のブロックの他にリンク順序と各リンクの強制属性が考慮されます。

コンテナ上のポリシーの継承を表示するには

1. 図 7 に示すように、[グループ ポリシーの管理] ウィンドウで、[contoso.com] ツリーの下の [Accounts] 組織単位を展開し、[Headquarters] 組織単位をクリックします。

   図 7.   グループ ポリシーの継承
   拡大表示する

複数の GPO が 1 つのコンテナに関連付けられ、設定が共通している場合は、その設定を調整するメカニズムが必要です。この動作は、リンク順序によって制御されます。リンク順序の数字が小さいほど、優先順位は高くなります。コンテナのリンクに関する情報は、そのコンテナの [リンクされたグループ ポリシー オブジェクト] タブに表示されます。このペインには、リンクが強制されているかどうか、リンクが有効かどうか、GPO の状態、WMI フィルタが適用されているかどうか、いつ変更されたか、それが保存されているドメイン コンテナなどが表示されます。GPO をコンテナに関連付けるための権限が委任されている管理者またはユーザーは、GPO リンクを選択し、上矢印と下矢印を使ってリスト内の位置を変更することによって、そのリンク順序を変更することができます。

コンテナ上のポリシーのリンク順序を変更するには

1. [Headquarters] 画面で、[リンクされたグループ ポリシー オブジェクト] をクリックします。

2. [GPO] 列で、リンクされているポリシーをクリックし、[リンクの順序] 列の左隣にある上矢印をクリックします。この手順を行うと、図 8 に示すように、Headquarters 組織単位に属する GPO のリンク順序が表示されます。

   図 8.   GPO のリンク順序
   拡大表示する

ページのトップへ

GPO のバックアップ、復元、コピー、およびインポート

GPO のバックアップ

GPO のバックアップによって、GPO 内のデータがファイル システムにコピーされます。このバックアップ機能は、GPO のエクスポート機能の役割も果たします。GPO のバックアップは、GPO をバックアップされたときの状態に復元するために、またはバックアップの設定を他の GPO にインポートするために使用できます。

GPO のバックアップによって、GPO 内部に格納されているすべての情報がファイル システムに保存されます。保存される情報には次のようなものがあります。

• GPO のグローバル一意識別子 (GUID) とドメイン GPO 設定
• GPO の随意アクセス制御リスト (DACL)
• WMI フィルタのリンク (1 つの場合、ただし、フィルタそのものは含まれません)
• IP セキュリティ ポリシーへのリンク (存在する場合)
• GPO 設定の XML (Extensible Markup Language) レポート (GPMC では HTML としての表示が可能です)
• バックアップの日付と時刻のスタンプ
• ユーザーが記入したバックアップの説明

GPO のバックアップによって、GPO 内部に格納されているデータだけが保存されます。GPO の外部に保存されるデータには、次のものがあります。

• サイト、ドメイン、または組織単位へのリンク
• WMI フィルタ
• IP セキュリティ ポリシー

このデータは、バックアップを元の GPO に復元したとき、または新しい GPO にインポートしたときには使用できません。

Domain Password Policy GPO をバックアップするには

1. [グループ ポリシーの管理] ウィンドウで、[contoso.com] ツリーの下の [グループ ポリシー オブジェクト] フォルダをクリックします。
2. [グループ ポリシー オブジェクト] フォルダで、[Domain Password Policy] GPO を右クリックし、[バックアップ] をクリックします。
3. [グループ ポリシー オブジェクトのバックアップ] ダイアログの [場所] ボックスに「c:\windows」と入力し、[説明] ボックスに「Domain Password Policy Backup」と入力して、[バックアップ] をクリックします。
4. バックアップが完了したら、[OK] をクリックして次に進みます。

バックアップの管理

同一のまたは異なる GPO について、ファイル システムの同じ場所に複数のバックアップを保存することができます。それぞれのバックアップは、一意のバックアップ ID によって識別されます。ファイル システムの特定の場所に保存されたバックアップのコレクションは、GPMC の [バックアップの管理] ダイアログ ボックスを使用するか、スクリプト可能なインターフェイス経由で管理できます。[バックアップの管理] ダイアログ ボックスは、指定したドメインの [ドメイン] ノードまたは [グループ ポリシー オブジェクト] ノードを右クリックすることによって、使用可能になります。[グループ ポリシー オブジェクト] ノードから [バックアップの管理] ダイアログ ボックスを開いた場合は、そのドメインに属している GPO のバックアップだけを表示するように自動的にフィルタ処理されます。[ドメイン] ノードから [バックアップの管理] ダイアログ ボックスを開いた場合は、属しているドメインに関係なくすべてのバックアップが表示されます。

GPO のバックアップを管理するには

1. [グループ ポリシーの管理] ウィンドウで、[contoso.com] ツリーの下の [グループ ポリシー オブジェクト] フォルダを右クリックし、[バックアップの管理] をクリックします。図 9 に示すような [バックアップの管理] ウィンドウが表示されます。

   図 9.   バックアップの管理
   拡大表示する

2. [バックアップの管理] ウィンドウで、前述の手順で作成した [Domain Password Policy のバックアップ] を選択し、[設定の表示] をクリックします。

3. 表示された GPO の詳細情報を確認し、Internet Explorer を閉じます。

バックアップの復元

GPO の復元によって、バックアップのデータから GPO が復元されます。復元操作は、GPO をバックアップしてから削除した場合、または現在の GPO を以前の状態に戻す場合に使用できます。復元操作によって、GPO の次のコンポーネントが書き換えられます。

• GPO 設定
• GPO の DACL
• WMI フィルタのリンク (フィルタそのものは書き換えられません)

復元操作では、GPO に属さないオブジェクトは復元されません。これには、サイト、ドメインまたは組織単位へのリンク、WMI フィルタ、IP セキュリティ ポリシーが含まれます。

Domain Password Policy GPO を復元するには

1. [バックアップの管理] ウィンドウで、[復元] をクリックします。
2. プロンプトが表示されたら、[OK] をクリックし、選択したバックアップを復元します。
3. GPO の復元が完了したら、[OK] をクリックします。
4. [バックアップの管理] ダイアログ ボックスで、[閉じる] をクリックします。

GPO のコピー

コピー操作によって、Active Directory に存在する GPO の設定を新しい GPO に直接転送することができます。コピー操作で作成された新しい GPO には、新しい GUID が設定されます。リンクは設定されません。コピー操作により、同じドメイン、同じフォレスト内の別のドメイン、または別のフォレスト内のドメインに属している新しい GPO に設定を転送できます。コピー操作では、Active Directory に既存の GPO をソースとして使用するため、ソースと対象ドメインの間に信頼関係が必要です。コピー操作は、実稼働環境間でグループ ポリシーを移動する場合に適しています。また、ソースと対象ドメイン間に信頼関係があれば、テスト ドメインやテスト フォレストでテストしたグループ ポリシーを実稼動環境に移行することもできます。

GPO をコピーするには

1. [グループ ポリシー オブジェクト] フォルダの [contoso.com] ツリーの下で、[Enforced User Policies] GPO を右クリックし、[コピー] をクリックします。

2. [vancouver.contoso.com] の隣にあるプラス記号 (+) をクリックし、[グループ ポリシー オブジェクト の隣にあるプラス記号 (+) をクリックして、ツリーを展開します。

3. [グループ ポリシー オブジェクト] を右クリックし、[貼り付け] をクリックします。

4. GPO のドメインを越えたコピー ウィザードで、[次へ] をクリックして次に進みます。

5. 図 10 に示すように、[アクセス許可の指定] 画面で [既定のアクセス許可を新しい GPO に使用する] (既定) を選択し、[次へ] をクリックします。

   

   図 10.   GPO のドメインを越えたコピー ウィザード
   拡大表示する

6. 元の GPO のスキャンが完了したら、[OK] をクリックして次に進みます。

7. [GPO のドメインを越えたコピー ウィザードの完了] 画面で、設定内容を確認し、[完了] をクリックします。

8. コピー操作が完了したら、[OK] をクリックします。

   メモ   Enforced User Policies GPO が vancouver.contoso.com ドメインにコピーされましたが、まだ、どのコンテナにも関連付けられていません。

Enforced User Policies GPO を vancouver.contoso.com のルートに関連付けるには

1. [vancouver.contoso.com] を右クリックし、[既存の GPO のリンク] をクリックして、[Enforced User Policies] をクリックして選択します。次に、[OK] をクリックします。

GPO のインポート

インポート操作によって、ファイル システムにバックアップした GPO から、Active Directory に既存の GPO に設定が転送されます。インポート操作は、1 つの GPO を同じドメイン内の別の GPO、同じフォレスト内の別のドメインに属している GPO、または別のフォレスト内に属している GPO に設定を転送するために使用できます。インポート操作では、常に、バックアップされた設定が既存の GPO に転送されます。対象 GPO 内の既存の設定は消去されます。インポートの場合は、ソース ドメインと対象ドメインの間に信頼関係は必要ありません。そのため、信頼関係のないフォレストやドメイン間で設定を転送する場合に便利です。設定を GPO にインポートしても、その DACL、その GPO に対するサイト、ドメイン、組織単位上のリンク、または WMI フィルタへのリンクは影響を受けません。

contoso.com の Domain Password Policy を vancouver.contoso.com の Domain Password Policy にインポートするには

1. [グループ ポリシーの管理] ウィンドウで、[vancouver.contoso.com] を右クリックし、[GPO の作成およびリンク] をクリックします。
2. [新しい GPO] ダイアログ ボックスで、[名前] ボックスに「Domain Password Policy」と入力し、[OK] をクリックします。
3. [vancouver.contoso.com] ツリーの [グループ ポリシー オブジェクト] の下で、[Domain Password Policy] GPO を右クリックし、[設定のインポート] をクリックします。
4. 設定のインポート ウィザードで、[次へ] をクリックして次に進みます。
5. GPO にポリシーが定義されていないため、[GPO のバックアップ] 画面で [次へ] をクリックし、バックアップせずに次に進みます
6. 既定のバックアップ フォルダの [c:\windows] のままにし、[次へ] をクリックして、次に進みます。
7. [Domain Password Policy] は存在している唯一のバックアップであるため、既定で選択されています。[次へ] をクリックし、この GPO から設定のインポートを開始します。
8. GPO がセキュリティ プリンシパルによってスキャンされたら、[次へ] をクリックし、[完了] をクリックします。
9. 設定のインポート ウィザードが終了したら、[OK] をクリックします。

vancouver.contoso.com の Domain Password Policy を確認するには

1. [vancouver.contoso.com] ツリーの [グループ ポリシー オブジェクト] の下で、[Domain Password Policy] GPO をクリックし、結果ペインから [設定] をクリックして [すべて表示] をクリックします。図 11 に示すような設定が表示されます。

   図 11.   vancouver.contoso.com の Domain Password Policy
   拡大表示する

ページのトップへ

GPO のモデリング

グループ ポリシーのモデリング

グループ ポリシーのモデリングとは、管理者が設定した環境下で起こることをシミュレートすることをいいます。このシミュレーションは、Windows Server 2003 が稼働しているドメイン コントローラ上のサービスによって実行されるため、少なくとも 1 台の Windows Server 2003 が稼働しているドメイン コントローラが必要です。

グループ ポリシーのモデリングを使うと、既存の構成に適用する RSoP をシミュレートしたり、ディレクトリ環境に対して仮の変更をシミュレートして仮の環境用の RSoP を計算することによって what-if 分析を実行したりすることができます。たとえば、セキュリティ グループ メンバシップを変更するシミュレーションを行ったり、Active Directory 内のユーザー オブジェクトまたはコンピュータ オブジェクトの場所を変更するシミュレーションを行ったりすることができます。GPMC 以外では、グループ ポリシーのモデリングは、RSoP - 計画モードと呼ばれています。

GPO の影響をシミュレートするには

1. [グループ ポリシーの管理] ウィンドウで、[ドメイン] の隣にあるマイナス記号 (-) をクリックし、ツリーを折りたたみます。

2. [フォレスト: contoso.com] ツリーの下の [グループ ポリシーのモデル作成] を右クリックし、[グループ ポリシーのモデル作成ウィザード] をクリックします。

3. [グループ ポリシーのモデル作成ウィザード] 画面で、[次へ] をクリックします。

4. [ドメイン コントローラの選択] 画面で、既定の設定にしたまま、[次へ] をクリックします。

5. [ユーザーとコンピュータの選択] 画面の [ユーザー情報] で、[ユーザー] をクリックします。[参照] をクリックし、[選択するオブジェクト名を入力してください] ボックスに「Christine」と入力して、[OK] をクリックします。[これ以上データを収集せずに、ウィザードの最後のページまでジャンプする] チェック ボックスをオンにし、[次へ] をクリックします。図 12 に示すように表示されます。

   図 12.   グループ ポリシーのモデル作成ウィザード
   拡大表示する

6. [選択の要約] 画面で、[次へ] をクリックし、シミュレーションを開始します。

7. [完了] をクリックします。右側のペインにシミュレーション結果が表示されます。

ページのトップへ

関連資料

詳細については、次の資料を参照してください。

• グループ ポリシー管理コンソール SP1 は、https://www.microsoft.com/downloads/details.aspx?FamilyId=0A6D4C24-8CBD-4B35-9272-DD3CBFC81887&displaylang=ja からダウンロードできます。
• GPMC でのグループ ポリシーの管理については、https://www.microsoft.com/japan/windowsserver2003/gpmc/gpmcwp.mspx を参照してください。
• Windows Server 2003 の最新情報については、Windows Server 2003 の Web サイト https://www.microsoft.com"https://www.microsoft.com/japan/windowsserver2003/ を参照してください。

ページのトップへ