Windows の管理

グループ ポリシーの基本設定による管理範囲の拡大

Derek Melber

 

概要:

  • グループ ポリシーの基本設定に関するオペレーティング システムの互換性
  • さまざまな管理領域におけるポリシーと基本設定
  • GPME を使用して基本設定を設定する
  • グループ ポリシーの基本設定を管理する

目次

GPP の互換性
ポリシーと基本設定
GPP の構造と設定
詳細設定
GPP を管理する
グループ ポリシーの基本設定による救済措置
まとめ

グループ ポリシーの基本設定 (GPP) は、Windows Server 2008 と Windows Vista で導入されたテクノロジの中で非常に高い関心を集めているものの 1 つです。GPP により、管理者がグループ ポリシーを使用して行える作業の幅が格段に広がりました。グループ ポリシーの基本設定では、グループ ポリシー オブジェクト (GPO) に 22 個の管理領域と 3,000 個の設定が用意されており、ドライブの設定、プリンタのマッピング、ローカル グループのメンバシップを管理するものなどがあります。GPP は既存の Active Directory インフラストラクチャおよびグループ ポリシー環境と連動するので、新しいインフラストラクチャを導入する必要がないというのも、このテクノロジが優れている点です。必要なのは、このテクノロジが動作するために必要なクライアント DLL と管理ツールをインストールすることだけです。この記事では、グループ ポリシーの基本設定について掘り下げ、このテクノロジが有益で、どれくらい簡単に展開および管理できるのかをご紹介します。

GPP の互換性

GPP を管理するには、新しいグループ ポリシー管理コンソール (GPMC) をサポートしている OS である Windows Server 2008 サーバーまたは Windows Vista デスクトップ コンピュータが最低 1 台は含まれている Active Directory 環境が必要です。GPMC は、GPP の設定をサポートおよび管理するために必要です。また、GPMC から、管理できる GPP を表示するグループ ポリシー管理エディタ (GPME) を起動することができます。

ただし、GPP と関連付けられている設定を適用する際には、状況が大きく異なるので、Windows Server 2008 と Windows Vista 以前のオペレーティング システムもサポートされています。具体的には、Windows Server 2003 SP1 と Windows XP Professional SP2、およびこれ以降にリリースされた全オペレーティング システムがサポートされています。図 1 に、GPP を管理できるオペレーティング システムと GPP を適用できるオペレーティング システムを示します。

図 1 オペレーティング システムのサポート状況
オペレーティング システム グループ ポリシーの基本設定の適用 GPME によるグループ ポリシーの基本設定の管理
Windows 2000 サポートされていません サポートされていません
Windows XP (x86 と x64) サポートされています (ただし、SP2 と CSE のインストールが必要です) サポートされていません
Windows Vista (x86 と x64) サポートされています (ただし、SP1 と CSE のインストールが必要です) サポートされています (ただし、SP1 と RSAT のインストールが必要です)
Windows Server 2003 (x86 と x64) サポートされています (ただし、SP1 と CSE のインストールが必要です) サポートされていません
Windows Server 2008 (x86 と x64) 統合されています 統合されています

ポリシーと基本設定

グループ ポリシーの新機能を使用する際には、「ポリシー」および「基本設定」という用語を理解することが重要です。これらの用語は、強制、柔軟性、レジストリの動作、ターゲット設定、ユーザー インターフェイスなど、グループ ポリシーの主な管理領域に基づいて定義されています。管理領域は他にもありますが、これらの領域は、管理者にとって最も重要だと思われるものです。

それでは、これらの管理領域において、基本設定を使用する主なメリットを見てみましょう。図 2 で、ポリシーと基本設定の違いを詳しく説明します。

図 2 グループ ポリシーの基本設定とポリシー*
管理領域 グループ ポリシーの基本設定 グループ ポリシー設定
強制 基本設定は強制的に適用されず、ユーザー インターフェイスは無効になりません。基本設定の更新と適用は 1 回だけ行えます。 設定は強制的に適用され、ユーザー インターフェイスは無効になります。設定は更新されます。
柔軟性 レジストリ設定、ファイルなどの基本設定項目を簡単に作成できます。ローカル コンピュータまたはリモート コンピュータから個別のレジストリ設定またはレジストリ ブランチ全体をインポートします。 ポリシー設定を追加するには、アプリケーション側でのサポートや管理テンプレートの作成が必要です。ファイル、フォルダなどを管理するポリシー設定は作成できません。
ローカル ポリシー ローカル グループ ポリシーでは使用できません。 ローカル グループ ポリシーでも使用できます。
対応性 グループ ポリシーに対応していないアプリケーションをサポートしています。 グループ ポリシーに対応したアプリケーションが必要です。
レジストリの場所と動作 元の設定は上書きされます。基本設定項目を削除しても、元の設定は復元されません。 元の設定は変更されません。設定はレジストリの Policy ブランチに格納されます。ポリシー設定を削除すると、元の設定が復元されます。
ターゲット設定とフィルタ処理 ターゲット項目の種類ごとにユーザー インターフェイスが用意されており、ターゲットは細かく設定できます。基本設定項目レベルでのターゲット設定がサポートされています。 フィルタ処理は、Windows Management Instrumentation (WMI) ベースで行われるので、WMI クエリを記述する必要があります。フィルタ処理は、GPO レベルでサポートされています。
ユーザー インターフェイス 大半の設定は、慣れ親しみのある使いやすいインターフェイスを使用して構成できます。 大半の設定には、代替のユーザー インターフェイスが用意されています。
*この表は「グループ ポリシーの基本設定の概要」(Jerry Honeycutt 著) から転載しました。

強制 GPP は強制的に適用されないので、初期設定を用意し、エンド ユーザーが適用するタイミングを管理できます。

柔軟性 GPP を使用すると、レジストリ値、ファイル、またはフォルダを GPO に追加して簡単に管理できます。また、GPP は、XML ベースなので、他の GPO に効率的にコピー アンド ペーストすることができます。

レジストリの動作 対象のコンピュータやユーザーが、レジストリ値が構成されている GPO の管理下から外れた場合でも、すべてのレジストリ エントリを制御できます。レジストリ値は、削除できますが、GPO がターゲット オブジェクトに作用しなくなった後も維持することが可能です。

ターゲット設定 GPP の各設定には、設定がターゲット オブジェクトに作用するかどうかを決める 25 種類以上のターゲット設定フィルタが用意されています。このフィルタには、IP アドレスの範囲、セキュリティ グループのメンバシップ、レジストリ値などを条件とするものなどがあります。

ユーザー インターフェイス GPP のユーザー インターフェイスは、GPO の他の設定と比較して、かなり使いやすく、わかりやすいものになっています。多くの場合、GPO では実際の構成インターフェイスは重複する形で提供されているので、設定を簡単に構成できます。

GPP の構造と設定

GPME で GPO を開くと、ポリシーと基本設定が明確に分かれているので、GPP の新しい領域にどの設定が含まれているのかを簡単に確認できます (図 3 参照)。基本設定は、ポリシーと動作が異なるので、これは重要なことです。[コンピュータの構成] (図 4 参照) または [ユーザーの構成] (図 5 参照) ノードの [基本設定] を展開すると、さまざまな設定が [コントロール パネルの設定] および [Windows の設定] という 2 つのカテゴリに分かれていることがわかります。

fig03.gif

図 3 ポリシーと基本設定が別になった GPME

図 4 [コンピュータの構成] ノードの [基本設定]

図 5 [ユーザーの構成] ノードの [基本設定]

詳細設定

グループ ポリシーの基本設定 は、各 GPP の [共通] タブにあるオプションを使用することで、GPO の他の設定よりも細かく制御できます。[共通] タブには、5 つの設定に関するチェック ボックス、ターゲット設定を構成するオプション、説明やトラブルシューティング目的で GPO の基本設定についての説明を入力するテキスト ボックスが用意されています。

この項目にエラーが発生した場合はこの拡張機能の項目の処理を停止する グループ ポリシーの既定の動作では、すべての設定が処理されます。これは、同じクライアント側拡張機能 (CSE) に複数の設定があり、そのいずれかでエラーが発生した場合も同様です。ある特定の CSE のいずれかの設定でエラーが発生した場合に、その CSE の設定の処理を停止するようにするには、このチェック ボックスをオンにします。この設定の対象範囲は、現在の GPO です。

ログオン ユーザーのセキュリティ コンテキスト (ユーザー ポリシー オプション) 内で実行する グループ ポリシーの設定 (ポリシーと基本設定) の適用時には、ローカルのシステム アカウントが使用されます。ローカル システム アカウントは、システム環境変数とローカル リソースにしかアクセスできないので、ユーザー コンテキストは使用できません。ユーザー環境変数とネットワーク リソースにアクセスできるようにするには、このチェック ボックスをオンにして、グループ ポリシーの基本設定の処理にログオン ユーザーのアカウントが使用されるようにします。

適用できなくなった場合はこの項目を削除する ユーザーの構成またはコンピュータの構成から GPO を削除しても GPP の設定はレジストリから削除されません。また、ユーザーやコンピュータが GPO の管理下から外れても GPP の設定は削除されません。GPO がユーザー オブジェクトやコンピュータ オブジェクトに適用されなくなったときに、基本設定の設定が削除されるようにするには、このチェック ボックスをオンにします (ただし、Internet Explorer など、一部の拡張機能では、このチェック ボックスが用意されていないことに注意してください)。

1 回だけ適用し再適用しない グループ ポリシーには約 90 分という既定の更新間隔があります。この更新間隔は、コンピュータを再起動したり、ユーザーが再ログオンしたりしなくても、新しい設定が適用され、古い設定が再適用されるようにするために実装されています。構成した GPP の設定が、コンピュータに 1 回だけ適用するもので、更新する必要がない場合は、このチェック ボックスをオンにします。このメカニズムは、GPP で適用できる一連の初期設定を構成し、ユーザーがログオン後に設定を変更することで独自の環境を構築できる (既定の初期設定で環境が自動的に更新されない) という点で優れています。

設定が [ユーザーの構成] ノードにある場合、ユーザーがログオンしたコンピュータで、その都度、設定が適用されます。設定が [コンピュータの構成] ノードにある場合は、コンピュータに対して 1 回だけ設定が適用されます。設定は 1 回しか適用されないということに注意してください。設定を更新または再適用するには、このチェック ボックスをオフにする必要があります。

項目レベルでターゲットを設定する 既定では、GPO の管理下にあるすべてのユーザーとコンピュータには GPO の設定が適用されます。GPO の設定が特定のユーザーとコンピュータにのみ適用されるようにするには、このチェック ボックスをオンにします。25 種類以上のターゲット項目が用意されており、これらの項目は単独または組み合わせて使用することができます。図 6 に、項目レベルのターゲット設定オプションの完全な一覧を示します。

fig06.gif

図 6 項目レベルのターゲット設定によるユーザー オブジェクトとコンピュータ オブジェクトに適用する GPP の設定の動的な管理

説明 [説明] ボックスには、各 GPP の設定の構成、オプション、ターゲット項目などを入力できます。このボックスに入力したテキストは、GPME で基本設定の設定を選択したときに表示されるもので、GPP の設定の編集画面でなくても表示されます (図 7 参照)。

GPP を管理する

GPP は、他の GPO の設定と同じように管理できます。既に説明しましたが、Windows Server 2008 または Windows Vista SP1 を実行しているコンピュータから管理する必要があることが唯一の注意事項です。

図 8 ドライブ マップの新しいポリシー設定を作成するときに表示される [新しいドライブのプロパティ] ダイアログ ボックス

GPO の [ユーザーの構成] ノードでドライブ マップを構成する必要があるとしましょう。この基本設定の設定は、[ユーザーの構成]-[基本設定]-[Windows の設定]-[ドライブ マップ] にあります。[ドライブ マップ] を右クリックし、[新規] をポイントして、[マップされたドライブ] をクリックすると、新しいポリシーが作成されます (図 8 参照)。このダイアログ ボックスでは、場所、ローカルで表示するドライブのラベル、ドライブ文字など、ドライブのマップに必要な情報を入力します。

この時点では、GPO の管理下にある全ユーザーにドライブ マップの設定を適用するのか、または項目レベルのターゲット設定を構成して、この設定を適用するユーザーを制限するのかを選択できます。セキュリティ グループのメンバシップに基づいてドライブ マップの設定を適用するユーザーを制御する項目レベルのターゲット設定を構成し、ターゲット ユーザーのコンピュータに必要なプログラム (.exe) ファイルが配置されているかどうかを簡単に確認する必要があります。プログラムの確認が必要なのは、マップする共有フォルダには、特定のプログラム ファイルを使用してアクセスしたときにしか役に立たないファイルが格納されているからです。

この項目レベルのターゲット設定を行うには、[新しいドライブのプロパティ] ダイアログ ボックスの [共通] タブをクリックします。[項目レベルでターゲットを設定する] チェック ボックスをオンにし、[ターゲット設定] ボタンをクリックします。このボタンをクリックすると、[ターゲット エディタ] ダイアログ ボックスが表示されます。[項目のオプション] ボックスの一覧の [セキュリティ グループ] をクリックします。[参照] をクリックすると、適切なグループを構成できます。ここでは、HR Users を選択しました (図 9 参照)。

今度は、.exe ファイルへのパスを構成する必要があります。[一致の種類] ボックスの一覧の [ファイルの一致] をクリックして、条件を追加します。次に、ファイルのパスを入力します。ここでは「C:\Program Files\ACME\HRBenefits.exe」と入力しました (注: ドライブ マップとプリンタの設定は、どちらもフォアグラウンドの GPO ポリシーの更新に準拠します。フォアグラウンドおよびバックグラウンドのポリシー更新の詳細については、「グループ ポリシーの処理」を参照してください)。

この設定を構成すると、次回ユーザーがログオフして再度ログオンすると、マップされたドライブが表示されます。ただし、そのユーザーが HR Users セキュリティ グループのメンバで、使用しているコンピュータに HRBenefits.exe ファイルがあることが条件となります。この条件を満たさないユーザーについては、ドライブ文字は表示されません。

fig09.gif

図 9 組み合わせ可能な項目レベルのターゲット設定のオプション

グループ ポリシーの基本設定による救済措置

ここでは、私が GPP を使用して解決した問題の一部をご紹介します。

  • 各デスクトップ コンピュータのローカルの Administrators グループの既存メンバを削除することなく、このグループのメンバに、Domain Admins グループとローカルの Administrator アカウントを含めました。
  • デスクトップ コンピュータの現在のユーザーのアカウントが、ローカルの Administrators グループに含まれないようにしました。
  • 各デスクトップ コンピュータの電源オプションを制御して、電力消費量を大幅に削減しました。
  • 特定のサービスを実行している各サーバーのサービスの構成の設定を更新して、サービスのスタートアップ モードを [自動] に設定しました。
  • ラップトップ コンピュータ ユーザーが支社 1 を訪れたときにはプリンタを動的にマップして、適切なプリンタを使用できるようにしました。同様に、支社 2 を訪れたときには、その支社で使用できる適切なプリンタがマップされるようにしました。

まとめ

グループ ポリシーの基本設定は簡単に管理および展開できます。このテクノロジは Windows Server 2003 SP1 および Windows XP SP2 と互換性があるので、ほぼすべての企業で、このテクノロジで導入された新しい設定と機能を利用することができます。グループ ポリシーの基本設定を使用すると、実装コストを削減し、管理者が効率的に作業を行うのに必要なレベルでデスクトップ コンピュータを管理することができます。

グループ ポリシーの展開を適切に考案したうえで、項目レベルのターゲット設定機能を使用すると、管理者は、デスクトップ コンピュータとサーバーを動的に構成できるようになります。25 種類以上の項目レベルのターゲット設定の条件が用意されているので、ほぼすべての設定は、該当する場合にのみ適用するように制御できます。グループ ポリシーの詳細については、『Group Policy Resource Kit』および「グループ ポリシー」を参照してください。

Derek Melber は、フリーランスのコンサルタント、トレーナー、およびライターで、Active Directory、グループ ポリシー、セキュリティ、デスクトップ管理などに重点を置いて、マイクロソフト テクノロジの普及活動を行っています。定期的に、オンラインで、または書籍として文献を発表しており、『The Microsoft Windows Group Policy Resource Kit』(Microsoft Press、2008 年) など、10 冊以上の技術書を執筆しています。彼の連絡先は derekm@braincore.net (英語のみ) です。