グループ ポリシー

Advanced Group Policy Management コンソールの調査

Derek Melber

概要:

• AGPM のインストールとアーキテクチャ
• GPO のオフライン編集
• AGPM による変更管理
• 障害回復

マイクロソフトは、ごく最近、グループ ポリシー オブジェクトを完全に管理できる製品を開発していた DesktopStandard 社を買収しました。私の個人的な意見ですが、Active Directory を導入している企業では、この Advanced Group Policy Management (AGPM) ツールを使用することをお勧めします。

AGPM は、グループ ポリシー オブジェクト (GPO) のオフライン編集、変更管理、ポリシーを更新するワークフロー、委任などの機能を備えています。今月は、このツール内部のしくみを掘り下げて調査し、この驚くほど役立つ製品の詳細をご紹介します。

まず、このツールの背景について少しご説明しましょう。AGPM は、GPOVault という名前のツールでした。マイクロソフトでは、DesktopStandard 社を買収後、このツールを AGPM と改名し、Microsoft® Desktop Optimization Pack (MDOP) に追加収録しました。現在、MDOP は、Windows Vista® デスクトップのライセンスが、マイクロソフト ソフトウェア アシュアランス プログラムでカバーされているユーザーのみに提供されています。

MDOP に収録されているツールを使用した私自身の経験では、MDOP は、ここ最近、マイクロソフトが提供した製品の中で間違いなく最も好印象を受けた製品の 1 つです。MDOP には、5 つのツールが収録されています。各ツールは単独でも優れたツールですが、組み合わせて使用すると、非常に優れた価値のあるツール群になります。MDOP の詳細については、MDOP Web サイト (windowsvista.com/optimizeddesktop) を参照してください。

AGPM のインストールとアーキテクチャ

AGPM のインストールは、軽量で簡単に行えるようにデザインされており、サーバー コンポーネントとクライアント (管理) コンポーネントで構成されています。サーバー コンポーネントは、ドメインのメンバ サーバーにインストールする必要があります。このコンポーネントのインストールにより、Active Directory®、スキーマなど、他のディレクトリ サービスが変更されることはありません。AGPM は、必要に応じて、ドメイン コントローラにインストールすることもできます。

サーバー コンポーネントをインストールすると、ドメイン ベースのサービス アカウントを必要とするサービスがインストールされます。AGPM では、このアカウントを使用して、ユーザーの代わりに、運用環境のグループ ポリシー オブジェクトにアクセスします。また、委任や GPO の初期管理など、AGPM の全設定を制御する AGPM 管理者も必要になります。

クライアント コンポーネントは、一般的な管理作業を行い、Windows Vista を実行しているコンピュータにインストールする必要があります。通常、クライアントは、ネットワークと Active Directory の管理者のデスクトップ コンピュータにインストールすることになります。クライアントをインストールし、AGPM の設定で AGPM サーバーをポイントすると、アーカイブへの接続が確立されます。AGPM クライアントでは、グループ ポリシー管理コンソール (GPMC) のインターフェイスを使用し、Change Control (変更の管理) ノードとして表示されます (図 1 参照)。

図 1** AGPM は、使いやすさを考慮して GPMC に完全に統合されています **(画像を拡大するには、ここをクリックします)

AGPM クライアントがアクセスするファイルは、AGPM サーバーに基本的なファイル形式で格納されます。これは、最も簡単にファイルを格納する方法で、AGPM アーカイブ全体のバックアップ作業が簡略化されます。AGPM の多くの機能では、GPMC の組み込みの API を使用しているので、シームレスに統合された状態で製品を使用できます。AGPM では、データベースを使用しません。GPO を 1 つのフォルダに格納し、マニフェストによって、アーカイブ内にあるすべての GPO の親 GPO への関連付けを管理します。このような管理方法により、すべての GPO には一意な GUID が割り当てられますが、運用環境に GPO を移行すると、展開時に正しい GUID が GPO に関連付けられます。

AGPM によるオフライン編集

AGPM の最も基本的な機能は、GPO を運用環境から切り離して、オフライン環境で編集できることです。既定の GPMC を使用して GPO を編集すると、間違った設定を行った場合、その変更が瞬時に運用環境に反映されるため、悲惨な結果をもたらす可能性があるというのは周知の問題です。

APGM では、GPO を制御することによって、GPO の編集をオフラインで行います。制御された GPO (図 2 参照) は、運用環境に影響を与えることなく、オフラインで編集できる GPO です。

図 2** 制御された GPO は、AGPM のアーカイブに格納されるのでオフラインで編集できます **(画像を拡大するには、ここをクリックします)

GPO の制御は簡単に行えます。[Uncontrolled] (未制御) タブ (図 3 参照) には、AGPM のアーカイブと関連付けられていないすべての GPO が一覧表示されます。このタブにある GPO を右クリックすると、Control (制御) コマンドを含むメニューが表示されます。[Control] (制御) をクリックすると、GPO が運用環境 (システム ボリューム (SYSVOL)、ドメイン コントローラ上の共有) からコピーされ、AGPM のアーカイブに配置されます。複数の GPO を一度に制御することもできます。この操作を行うには、Shift キーまたは Ctrl キーを押しながら、複数の GPO を選択し、制御する GPO を選択したら、右クリックして [Control] (制御) をクリックします。制御された GPO の編集にも、グループ ポリシー オブジェクト エディタ (GPOE) を使用します。これは、AGPM が完全に GPMC に統合されていることを示すものです。

図 3** 制御されていない GPO は [Control] (制御) コマンドを使用してアーカイブに配置します **(画像を拡大するには、ここをクリックします)

AGPM による管理の委任

今度は、AGPM による委任について説明します。まずは、GPMC を使用して GPO の管理を委任する方法を検証してみましょう。GPMC には、GPO の作成、GPO のリンク、GPO の編集、GPO の管理、GPO の読み取りという、ユーザーに与えられる 5 種類の委任タスクがあります。

これらの委任は、すべて GPMC のインターフェイスから行えます。委任は、GPMC の他のノードと関連付けられている [委任] タブに一覧されているユーザーとグループ単位で制御されます。ここで関心があるのは、新しい GPO を作成したり、既存の GPO を編集および管理したりするタスクの委任です。

GPMC で GPO を作成する場合、その処理は [グループ ポリシー オブジェクト] ノードと関連付けられている [委任] タブで行います (図 4 参照)。AGPM をインストールすると、この GPO を作成できるユーザーとグループの一覧から、すべてのユーザーとグループを削除できるようになります (GPO を作成するために、[委任] タブから、SYSTEM、コンピュータ、またはコンピュータ グループを削除する必要はありません)。GPO の作成は、AGPM サービスを制御しているサービス アカウントによって行われます。このアカウントには、AGPM で Create GPOs and Deploy (GPO の作成と展開) が委任されているすべてのユーザーとグループの代わりに GPO を作成する権限が委任されています。

図 4** GPO の作成は、GPMC の [グループ ポリシー オブジェクト] ノードの [委任] タブにあるアカウントの一覧で制御されています **(画像を拡大するには、ここをクリックします)

この GPO を作成する新しい機能により、作業を分担して、運用環境を保護できるようになります。AGPM の環境から運用環境に移行する前に GPO の作成、構成、および検証まで行うのが理想的な工程です。現在、AGPM を使用しない場合に発生している問題のある構成が運用環境に展開されるという事態は極力避けなければなりません。

GPO の編集や管理に関するタスクの委任についても同様です。GPMC では、このような委任も、各 GPO と関連付けられている [委任] タブで構成します (図 5 参照)。

図 5** GPO の編集と管理の委任は各 GPO に個別に関連付けられています **(画像を拡大するには、ここをクリックします)

AGPM をインストールしたら、このような委任は、[グループ ポリシー オブジェクト] ノードにある各 GPO から削除する必要があります。この委任を削除すると、すべての管理者は AGPM 以外で GPO を編集することができなくなります。つまり、GPO に関するすべての管理作業が AGPM で行われるようになり、オフライン編集、変更管理、障害回復などの作業を行うことができます。

AGPM 以外で GPO を編集できないように、ユーザーとグループを削除する作業は、手動で行う必要があります。AGPM をインストールして構成しても、運用環境で GPO を編集できないようにユーザーやグループが削除されることはありません。AGPM サービスを制御するサービス アカウントが、ユーザーに代わって AGPM から運用環境の GPO を編集するので、各 GPO の [委任] タブにユーザーやユーザー グループが指定されている必要はありません (この [委任] タブからコンピュータやコンピュータ グループは削除しないでください)。

GPMC で GPO を編集する権限を委任を削除したら、すべての管理者は、GPMC から GPO を編集することができなくなります (図 6 参照)。

図 6** 編集の委任が拒否されると、管理者は GPMC から GPO を編集できなくなります **(画像を拡大するには、ここをクリックします)

この構成を完了するには、AGPM を使用して、GPO を編集する必要がある管理者を適切なアクセス制御リスト (ACL) に追加する必要があります。アーカイブにあるすべての GPO を編集する必要がある管理者については、AGPM を使用して、ドメイン レベルの編集の権限が与えられているグループに、その管理者のアカウントを追加する必要があります (図 7 参照)。ある特定の管理者が、AGPM のアーカイブにある、いくつかの GPO だけを編集できるようにするには、GPO ごとに構成を行う必要があります (図 8 参照)。

図 7** [Domain Delegation] (ドメイン レベルの委任) タブでは、アーカイブにあるすべての GPO を編集する権限を構成できます **(画像を拡大するには、ここをクリックします)

図 8** 各 GPO を編集する権限については、その GPO の ACL で構成する必要があります **(画像を拡大するには、ここをクリックします)

AGPM による GPO の変更管理

AGPM の優れた機能の 1 つは、アーカイブにある GPO の変更内容を追跡できることです。変更の追跡は自動プロセスなので、設定、構成、または管理の必要がありません。GPO を AGPM クライアントのインターフェイスで管理している場合、すべての変更内容の追跡がバックグラウンドで行われます。

これは、既定の GPMC における GPO を管理する方法に対する大きな機能強化です。既定の GPMC には、GPO の変更内容を自動で追跡する機能はおろか、変更内容を追跡する機能自体がありません。このことは、長年にわたり、多くのグループ ポリシー管理者の悩みでしたが、ようやく解決されました。

AGPM の変更管理機能では、GPO に対して行われたすべての重要な変更内容を追跡します。GPO の変更内容以外に、変更管理システムは、監査や全体的な管理の追跡にも役立ちます。変更管理システムでは、GPO の編集や変更が行われるたびに、詳細情報を監視、追跡、および記録します。これには、GPO の変更日時、変更を加えたユーザー、GPO の元の設定、および GPO の設定の変更内容が含まれます。

変更の追跡はシームレスに行われるので、どのような操作が自動追跡機能をトリガするのかを理解することが重要です。AGPM クライアント インターフェイスでは、[Controlled] (制御) タブで GPO を右クリックし、[Check-out] (チェックアウト) をクリックすると、この自動プロセスがトリガされます (図 9 参照)。

図 9** GPO をチェック アウトすると変更内容を追跡する自動プロセスがトリガされます **(画像を拡大するには、ここをクリックします)

詳細については、この後で説明しますが、GPO を編集するには、この手順が必要です。GPO をチェック アウトすると、何も変更しない状態で、すぐにチェック インしても、この操作のアーカイブが作成されます。GPO は企業に不可欠なものなので、このツールでは、実際に変更されていなくても変更の可能性があるものを追跡します。

AGPM では、GPO の変更内容を、その変更を行った管理者ごとに追跡するメカニズムが必要なので、チェック アウト操作は必ず行う必要があります。2 人の管理者が同時に同じ GPO をチェック アウトすることはできません。AGPM には、管理者がチェック アウトした GPO をチェック インできないという状況に備えて、AGPM 管理者が、その GPO をチェック インできるメカニズムが用意されています。

AGPM による GPO の編集

AGPM クライアントがインストールされていれば、AGPM のアーカイブにアクセスできます。AGPM ツールで編集またはフル コントロールの権限が委任されると、アーカイブに格納されている GPO を編集できるようになります。GPO をチェック アウトしたら、GPO を右クリックし、[Edit] (編集) をクリックすると GPO を編集できるようになります (注 : AGPM のアーカイブに格納されている GPO の一部しか編集できない場合、アーカイブにあるすべての GPO ではなく、一部の GPO に対してしか権限の委任が与えられていない可能性があります)。

マイクロソフトは、DesktopStandard 社の買収により、PolicyMaker (Group Policy Preferences と改名) を手に入れました。この一連のグループ ポリシーの機能は、Windows Server® 2008 に同梱される GPMC で提供されます。Group Policy Preferences を使用すると、通常グループ ポリシーでは構成できないアプリケーションや Windows コンポーネントを構成できるようになります。また、非常に充実した適用規則に基づいて特定のユーザーやコンピュータにグループ ポリシーを適用することができます。Group Policy Preferences は、Windows Server 2008 の GPMC と AGPM と完全に統合されています。

AGPM による GPO の展開

AGPM は、効率とワークフローを重視したデザインになっています。AGPM を使用することで GPO の管理が安定し統制が保たれるので、GPO を編集する権限だけを持ち、運用環境に展開する権限を持たない管理者がいても問題ありません。AGPM では、インターフェイス、ダイアログ ボックス、および作業メカニズムを使用して、このような作業分担を非常にスムーズに行うことができます。たとえば、編集の権限しか持たない管理者が GPO を展開しようとすると、システムによってブロックされます。この際、管理者には、展開の権限が委任されている管理者に問い合わせるように指示するダイアログ ボックスが表示されます。このワークフロー機能では、宛先と CC に設定されている両方の受信者に対して電子メールを送信し、GPO を特殊な状態に移行します。この特殊な状態は、AGPM インターフェイスの [Pending] (保留中) タブで確認できます。このタブの GPO には "Pending Deploy" (展開保留中) というフラグが設定されるため、管理者は各 GPO の状態と各 GPO に対して行われた操作をすぐに把握することができます。

保留中の GPO を展開するのに必要な作業は、展開の権限を委任されている AGPM の管理者が、GPO を右クリックして、[Approve] (承認) をクリックするだけです。展開する必要のある GPO が [Pending] (保留中) タブではなく [Controlled] (制御) タブにある場合、必要な作業は、展開する権限を持っている管理者が、GPO を右クリックして、[Deploy] (展開) をクリックするだけです。展開の権限を持っている管理者が操作を行うと、GPO は瞬時に運用環境に展開されます。

AGPM による GPO の設定レポートと比較

GPMC には、強力な機能を備えた [設定] ダイアログ ボックスがあります (このダイアログ ボックスには、同じ名前のタブからアクセスできます)。このダイアログ ボックスでは、GPO で構成されているすべての設定の完全なビューが提供されます。このビューにより、約 3,000 もあるグループ ポリシーの設定のうち、どの設定が構成されているのかを把握することができます。

AGPM では、変更された GPO のアーカイブが提供されるので、GPMC の [設定] タブでは、変更された GPO で構成されている設定を確認することができません。AGPM のインターフェイスでは、この機能に代わるソリューションと追加機能が用意されています。

GPO の設定を確認する場合は、まず、すべての変更内容の履歴を確認することをお勧めします。履歴を確認するには、AGPM の [Controlled] (制御) タブで GPO をダブルクリックします。次に、GPO の任意のバージョンを右クリックし、[Settings Report] (設定レポート) をクリックします。この操作により、選択したバージョンの GPO で構成されているすべての設定を含むレポートが作成されます。このレポートは、わかりやすい HTML ファイルで作成されますが、XML 形式で作成することもできます。

これも有益な機能ですが、同じ GPO の 2 つの異なるバージョンを比較するという、さらに便利な機能があります。この機能を使用すると、ある 2 つのバージョンの変更履歴を確認したり、同じ GPO のまったく異なる 2 つのバージョンを比較したりすることができます (この機能では、展開保留中の GPO と運用環境で使用している GPO の相違点を確認できるので、展開保留中の GPO がある場合に非常に便利です)。このレポートを表示するには、履歴ビューで 2 つの GPO を強調表示し、どちらか一方を右クリックします。

相違点レポートで使用されている色分けは、変更した GPO を実際に展開する前に、展開保留中の GPO の変更内容を確認する必要がある場合に特に便利です。赤で表示されている設定は、運用環境の GPO から削除されたもので、展開保留中の GPO では利用できないものです。青で表示されている設定は変更されたもの、緑で表示されている設定は、運用環境の GPO にはなく保留中の GPO にしかない新しい設定です。

この AGPM の機能を使用すると、GPO の設定を手動で比較するという面倒で時間のかかる作業を短時間で済ませることができます。また、すべてのバージョンのレポートを作成して印刷することができるので、長期にわたって、GPO の記録を作成するのに最適な方法でもあります。

AGPM による GPO の障害回復

GPO に加えた 1 つの変更が、ネットワーク上の複数のコンピュータに大きな損害を与えることがあります。既定の GPMC を使用しても、このように問題のある構成を修正することはできます。ただし、運用環境の GPO の変更前と変更後の GPO のバックアップを作成するという手動で行わなければならない作業が適切になされていることが条件となります。バックアップが作成されていない場合、この惨状から回復する作業は、想像以上にたいへんなものです。

AGPM を使用すると、このような状況にも簡単に対応できます。AGPM では、GPO のライフ サイクルにおいて、すべての GPO の完全なバックアップが作成されます。つまり、このような問題が発生した場合に必要な作業は、GPO の履歴を表示して、再展開する GPO のバージョンを選択するだけで良いのです。

AGPM を使用すると、グループ ポリシーをシームレスに管理できます。管理者は、長年にわたって、GPO をオフラインで管理する機能を切望していました。AGPM では、この機能を使いやすく洗練された機能として提供しています。また、非常に堅牢な変更管理のソリューションが提供され、変更された GPO の主要な分野を追跡できるだけでなく、GPO の比較や障害回復を簡単に行うことができます。AGPM に組み込まれた委任モデルを使用すると、GPO を編集する際には、すべての管理者が AGPM を使用するようにすることができます。AGPM では、GPO の変更内容を自動バックアップする機能が提供され、運用環境の GPO で発生した障害を取り除くことができます。このサービスでは、非常に多くの機能が提供されるため、この記事ですべてをご紹介することはできません。AGMP のマニュアルでは、テンプレート、ノード リンクの回復、SMTP の構成などに関する詳細情報が提供されていますので、他の機能や詳細については、そちらを参照してください。

Derek Melber は、フリーランスのコンサルタント、トレーナー、および著者です。Active Directory、グループ ポリシー、セキュリティ、デスクトップ管理などに重点を置いた、マイクロソフト テクノロジの教育および普及活動を行っています。定期的に、オンラインで、または書籍として文献を発表しており、『The Microsoft Windows Group Policy Guide』(Microsoft Press、2005 年) など、10 冊以上の技術書を執筆しています。彼の連絡先は derekm@braincore.net (英語のみ) です。

© 2008 Microsoft Corporation and CMP Media, LLC. All rights reserved; 許可なしに一部または全体を複製することは禁止されています.