• [アーティクル]

Windows Vista

Windows Vista で強力になったグループ ポリシー

Jeremy Moskowitz

 

概要:

  • グループ ポリシーのインフラストラクチャ
  • ネットワーク認識の向上
  • グループ ポリシーに追加された機能

Windows Vista では、グループ ポリシーのインフラストラクチャが大幅に更新されます。世界中の組織で Windows Vista が展開されることになるでしょうが、グループ ポリシー機能への多くの変更は内部的に行われているので、おそらく多くの管理者はこの機能のしくみに大きな違いを感じません。

しかし、Windows Vista™ のグループ ポリシーが以前のバージョンよりもはるかに強力になっていることがわかるでしょう。

Windows Vista より前のバージョンでは、グループ ポリシーの処理は winlogon と呼ばれるプロセス内で実行されていました。winlogon には、ユーザーがデスクトップにログオンできるようにしたり、グループ ポリシーに関するさまざまな作業を行ったりするなど、多くの役割がありました。このグループ ポリシーが、独自の Windows® サービスになりました。その結果、グループ ポリシーの停止が困難になり、管理者がグループ ポリシーのアクセス許可の所有権を得て、これを無効にすることもできなくなります。このような変更により、グループ ポリシー エンジンの信頼性が全面的に向上します。

まず、新しいグループ ポリシーに行われた主要な変更点をいくつか詳しく見ていきましょう。

ネットワーク認識の向上

Windows Vista の登場以前は、ユーザーが低速リンクと高速リンクのどちらを経由して接続しているかをグループ ポリシー エンジンで確認していました。その後、この認識結果を踏まえ、適用するポリシー設定を組み立てていました。たとえば、低速リンク経由ではダウンロードにやや時間がかかるため、グループ ポリシーではポリシー設定全体をシステムに送信することはありません。こうした支援機能は、新しいグループ ポリシーからも削除されていません。ただし、現在のネットワークの帯域幅の計算方法に変更が加えられています。

この速度は、インターネット制御メッセージ プロトコル (ICMP) の ping パケットをドメイン コントローラに送信することで判断していました。この方法を実際に使用するには多くの問題がありました。第 1 に、多くの管理者はルーターで ICMP を無効にします。第 2 に、接続が待ち時間の長いリンク (サテライト リンクなど) を経由すると、計算結果を信頼できなくなります。こうした状況では、グループ ポリシー エンジンにはリンクが本当に高速かどうかを判断する確実な方法がありませんでした。

さらに、グループ ポリシー エンジンは、コンピュータが休止状態またはスタンバイ モードから復元されたかどうかを把握できませんでした。また、ダイヤルインしてきたユーザーが 6 か月以上ネットワークに接続していなくても、そのことを知る方法がありませんでした。Windows XP または Windows 2000 を実行するコンピュータを使用した場合、ユーザーはグループ ポリシーを更新しないでも、コンピュータにダイヤルインして、電子メールを確認し、接続を解除することができました。ほとんどの管理者は、休止状態やスタンバイ状態から復元されたシステム、または長期間接続していなかったダイヤルイン接続を使用しているコンピュータでは、必要に応じたグループ ポリシーの更新を希望します。

Windows Vista で更新されたグループ ポリシーには、ネットワーク接続についてリアルタイムに認識する優れた機能があります。主な変更点は、グループ ポリシー エンジンで Windows Vista の Network Location Awareness 2.0 (NLA) ハンドラを使用するようになったことです。ドメイン コントローラが使用できるときは、常に、NLA サービスからグループ ポリシー エンジンに単純に警告が行われます。この警告が行われると、必要に応じて、グループ ポリシーの更新が実行されます。

複数のローカル GPO

Windows Vista の登場以前は、ローカル グループ ポリシー オブジェクト (GPO) が 1 つしかサポートされませんでした。 コマンド プロンプトで「GPEDIT.MSC」と入力して設定にいくつか変更を加えると、そのコンピュータを使用するすべてのユーザーと管理者が影響を受けていました。たとえば、一般のユーザーは [スタート] メニューから [ファイル名を指定して実行] コマンドを使用できない状態にし、管理者は使用できる状態にしておく必要がある場合、このことがよく問題になりました。

新しい複数のローカル GPO 機能では、複数層の GPO を使用してこの問題を解決します。おそらく多くの場合、Active Directory ドメインに参加していないシステムでこの機能が使用されます。ただし、企業のユーザーにとってもこの機能が役に立つ場合があります。

新しい複数のローカル GPO 機能は複数の層に基づくためやや複雑になることがあります (図 1 を参照)。既定のローカル GPO も依然として存在します。この GPO はローカル コンピュータのシステム コンテキストに適用され、そのシステムのすべてのユーザーが影響を受けます。この GPO では、コンピュータ設定とユーザー設定の両方を定義します。

図 1 ユーザーのローカル グループ ポリシーの全体図

図 1** ユーザーのローカル グループ ポリシーの全体図 **

2 番目の層は、ローカル システム Administrators グループに所属するメンバ、またはそのローカル システムの Administrators グループ以外に所属するメンバのいずれかに影響します。当然、ユーザー アカウントは両方のグループに所属することはできません。この層では、ユーザーがローカル システム管理者か一般ユーザーかを考慮し、適切な GPO (Administrators か Administrators 以外のいずれか) を適用します。3 番目の層は、具体的な名前が付いたローカル システムのユーザー アカウントに影響します。

以上がコンピュータを使用するすべての特定のユーザーに影響を与えると考えられる 3 つのローカル GPO です。たとえば、この 3 つの層を使用して、特定のコンピュータを使用するすべてのユーザーの設定、コンピュータの管理者以外のユーザーのみに影響を与える設定、そのコンピュータの 1 人のユーザーのみに影響を与える設定をそれぞれ行うことができます。

もちろん、システムが Active Directory® ドメインに参加していれば、Active Directory のグループ ポリシー オブジェクトがローカル ポリシーに優先します。ドメイン管理者は、Windows Vista のすべてのローカル GPO の処理を無効にすることも選択できることに注意が必要です。

エラー メッセージとトラブルシューティング

Windows Vista では、イベント ログ システムがまったく新しくなりました。グループ ポリシー エンジンでは、この新しい Windows Eventing 6.0 システム (一般的にはイベント ログとして知られます) を利用して、イベントを 2 つの特定のログに分割します。使い慣れたシステム ログ (現在は管理ログと表示されます) には、グループ ポリシーの問題点が出力されます。グループ ポリシー エンジンでエラーが発生すると、そのエラー情報は (Userenv プロセスではなく) グループ ポリシー サービスで発生したものとしてシステム ログに一覧されます。

新しいアプリケーションとサービス ログ (操作ログ) は、グループ ポリシー固有のもので、操作イベントが格納されます。このログはこれまで複雑だった userenv.log トラブルシューティング ファイルを事実上置き換えるもので、グループ ポリシー エンジンの各手順が読みやすい一覧に表示されます。

ADM と ADMX

グループ ポリシーで使用できる、基になる定義テンプレートは、Windows NT® 4.0 時点から ADM ファイルで提供されています。グループ ポリシーのすべてが ADM ファイルで制御されるわけではありませんが、ADM ファイルはコンピュータの構成/管理用テンプレートと、ユーザーの構成/管理用テンプレートに配置されているすべての要素に関与します。

こうした ADM ファイルの機能には、いくつか欠陥があります。Windows Vista より前のバージョンの Windows では、新しい GPO を作成するたびに、これらの ADM ファイルをすべての GPO のフォルダ (SYSVOL にあります) に大量にコピーし、1 つの GPO につき約 5 MB も使用していました。大量の GPO を使用すると、SYSVOL に配置される重複したシステム テンプレート ファイルが多くなり、各 GPO からこうした 5 MB の複製が多数作成されます。

さらに、ADM ファイルは言語中立ではありません。ADM ファイルは 1 つの言語で構築されるため、そのファイルを使用するすべてのユーザーがその言語を選択する必要があります。

Windows Vista のグループ ポリシーではこのような問題に取り組むために、ADMX という新しい XML ベースの形式のポリシー定義ファイルを導入しました。ADMX ファイル自体は言語中立です。ただし、この ADMX ファイルは、言語固有の ADML ファイルと併用しなければなりません。単に複数の ADML ファイルを追加し、1 つの ADMX と併用するだけで、複数の言語を容易に追加できます。

ADMX 形式では中央ストアがサポートされます。この中央ストアにより、重複する情報を複製する必要がまったくなくなり、ADMX ファイルの更新が容易になります。Service Pack で ADMX ファイルが更新されるとすると、中央ストアに更新されたファイルをダウンロードするだけで更新が完了します。ドメイン内で Windows Vista ワークステーションを使用しているすべてのグループ ポリシー管理者が、更新された ADMX ファイルにアクセスできます。以前は、各管理者のコンピュータに更新済みの ADM ファイルの正確なコピーがすべて存在する必要があったため非常に不便でした。

ドメイン管理者は、Active Directory ドメインごとに 1 回、手動で SYSVOL に中央ストアを作成する必要があります。中央ストアを作成してから、Windows Vista コンピュータを使用して GPO の作成と管理を行えば、自動的にこの中央ストアが使用されます。これは Windows Vista 固有の機能なので、この中央ストアの存在をチェックするのは Active Directory ドメインに参加している Windows Vista コンピュータにしてください。このために、次バージョンの Windows Server® (コードネーム "Longhorn") を待ったり、ユーザーのコンピュータを Windows Vista に切り替えたりする必要はありません。ドメインが Windows Server Longhorn、Windows Server 2003、または Windows 2000 のいずれに基づくかどうかに関係なく、このチェックが行われます。中央ストアを利用するには、単に中央ストアを作成し、Windows Vista コンピュータを使用して GPO を作成または管理するだけです。

前述のように、ADMX ファイルと ADML ファイルは、XML に基づきます。XML の主なメリットは、業界標準の言語を使用していることです。ただし、ADMX にはグラフィカルなエディタがない (マイクロソフトからリリースする予定もありません) ことを指摘しておきます。また、既に持っているカスタム ADM テンプレートを ADM から ADMX に変換するツールもありません。

Windows Vista には、以前のバージョンの Windows に付属していた 6 ~ 8 個の ADM ファイルに代わる、約 130 個の ADMX ファイルが付属します。これらのファイルは、図 2 に示す \Windows\PolicyDefinitions ディレクトリにあります。ADML ファイルは、英語 (米国) の en-US ディレクトリのように、言語固有のサブディレクトリに格納されることに注意してください。

図 2 \Windows\PolicyDefinitions ディレクトリの ADMX ファイル

図 2** \Windows\PolicyDefinitions ディレクトリの ADMX ファイル **(画像を拡大するには、ここをクリックします)

グループ ポリシー管理コンソール

グループ ポリシー管理コンソール (GPMC) は、Windows XP および Windows Server 2003 ではダウンロードとして入手できました。Microsoft 管理コンソールはスクリプト化できるので、グループ ポリシーを管理するための管理ツールは GPMC 1 つになります。

この GPMC が Windows Vista に組み込まれることになりました。つまり、GPO の作成や編集の準備ができたらいつでも、こうした作業に最適なこのツールに簡単にアクセスできます。Windows Vista では、[スタート] メニューの [ファイル名を指定して実行] またはコマンド プロンプトで「GPMC.MSC」と入力することで実行できます。

制御のための新しい設定

Windows Vista では、約 800 のポリシー設定が新しく追加されました。このような追加は複数のカテゴリにわたって行われ、その多くは既知のカテゴリで、これまでもこうしたカテゴリに依存してきました。ただし、Windows Vista には、これまでは存在しなかったカテゴリや、グループ ポリシー制御が不足していたカテゴリなど、いくつか優れたカテゴリも新たに導入されました。

グループ ポリシーが強化された領域には、ワイヤード (有線) ネットワーク ポリシーとワイヤレス ネットワーク ポリシー、Windows ファイアウォールと Windows IPsec、印刷の管理、デスクトップ シェル、リモート アシスタンス、Tablet PC があります。更新されたワイヤード (有線) ポリシーおよびワイヤレス ポリシーを使用する場合、フォレスト全体にわたるスキーマ更新が必要になることがあります (詳細については、microsoft.com/technet/itsolutions/network/wifi/vista_ad_ext.mspx (英語) を参照してください)。

Windows Vista で導入されたグループ ポリシーの新しい領域には、リムーバブル記憶装置の管理、電源管理、ユーザー アカウント制御、Windows エラー報告、ネットワーク アクセス保護、および Windows 防御ツールがあります。

特に Windows Vista コンピュータに影響を与える領域を制御するには、GPO を作成または編集するときに、Windows Vista コンピュータ (または Windows Server "Longhorn" コンピュータ) を使用する必要があります。古いオペレーティング システムでは、Windows Vista 固有のこのような新しい設定がサポートされません。

これらのすべての領域を調べていくとそれだけで記事が終わってしまうので、ここではこうした各領域を詳しく説明しません。ただし、リムーバブル記憶装置の管理機能と電源管理機能 (図 3) には特に注目してください。これらの機能は、すべての管理者にとって大きなメリットがあると考えています。つまり、これらの領域によって、どのデバイスを Windows Vista に接続できるか、企業の経費節約のためにラップトップ、デスクトップ、モニタでどの種類の電源設定を使用するかなどについて、細かい制御を適切に行うことができます。

図 3 グループ ポリシーによる電源管理の適用

図 3** グループ ポリシーによる電源管理の適用 **(画像を拡大するには、ここをクリックします)

管理者は、Windows Vista に追加された電源管理設定を使用することで、アクティブでないビデオ ディスプレイ モニタの低電力 "スリープ" モードを無効または有効にすることを選択できます。環境保護機関の Energy Star の Web サイトで発表された研究結果によると、モニタ電源の使用を控えることで、年間 10 ~ 30 米ドルもの節約になることがわかりました。企業に何百または何千ものモニタがあれば、実際に多額の費用を節約できます。

リムーバブル記憶装置の管理については、次のシナリオを考えてみましょう。管理者は、学校内のキオスク型のワークステーションから USB フラッシュ ドライブを使用して、生徒が定期テスト、宿題などのドキュメントにアクセスできるようにする必要があります。ただし、悪用やセキュリティのリスクが考えられるため、学校内のキオスク型のワークステーションでは、生徒が USB ドライブに書き込めないようにする必要があります (もちろん、学校で認められた USB ドライブを使用する場合は除きます)。**Windows Vista のグループ ポリシー設定では、こうした細かいデバイス管理を行うことができます。

まとめ

ご覧のとおり、Windows Vista でのこうした管理機能の強化は内部的に行われています。構成できる設定が大幅に増え、システムのセキュリティを向上 (および考えられるコストを削減) する新しいリソースが追加されたことによって、管理者は Windows Vista のグループ ポリシーに強力で柔軟な構成管理が用意されていることに気付きます。

今後のグループ ポリシー

この記事で説明した機能は、Windows Vista が出荷されたら確認できます。しかし、Group Policy チームはもう今後のことを考えています。Windows Server "Longhorn" タイムフレームには、新たなグループ ポリシー機能が使用できるようになるでしょう。これらの機能は Windows Vista の最初のリリースではまだ利用できませんが、Windows Vista の Service Pack などのアドオンのメカニズムで入手できるようになります。そのため、今後追加予定の機能は変更される可能性もありますが、これには以下の 3 つの主要領域があります。もちろん、こうした機能はすべて Windows Server "Longhorn" がなければ機能しません。

コメント 頻繁に要望が寄せられる機能は、各 GPO の役割や、特定のグループ ポリシー設定の目的についてコメントを追加する機能です。現在のところ、コメントを作成する唯一の方法は、たとえば、スプレッドシートで GPO や設定を管理し、そこにコメントを追加する方法です。このように要望が多い、コメントを入力する機能を追加する予定です。

テンプレート 管理者は、他の管理者が作成した独自の GPO を土台にして、新たな GPO を作成することを考えます。グループ ポリシー テンプレートに、この機能を用意する予定です。管理者は、テンプレートを土台に独自のカスタマイズされた GPO を作成できます。マイクロソフトでは、初期のテンプレートのセットに汎用的なシナリオを追加し、さまざまな種類のメカニズムを制御する方法についての具体的なガイダンスを用意する予定です (このようなシナリオの詳細については、汎用シナリオのドキュメントとファイル (英語) を参照してください)。

検索とフィルタ 多くのポリシー設定があり、必要な特定のポリシー設定を見つけるのが困難な場合があります。幸い、今後の検索機能では、ポリシー設定のタイトル、説明文字列、およびコメント内を簡単に検索できるようにする予定です。また、各ポリシー設定が GPO 内で有効か無効かを一目で確認できるようになり、動作が不適切な GPO に迅速かつ容易に変更を加えることができます。

windowsserverfeedback.com の Windows Server Feedback ポータル (英語) で、グループ ポリシーに追加を希望する機能を送信できます。

Jeremy Moskowitz (グループ ポリシーの MCSE および MVP) は、グループ ポリシーのコミュニティ フォーラム、GPanswers.com を運営しています。また、グループ ポリシーについての 2 日間の集中トレーニング コースも実施しています。最新の著書には『Group Policy, Profiles and IntelliMirror, Third Edition』(Sybex、2005 年) (英語) があります。Jeremy には、www.GPanswers.com (英語) から連絡してください。この記事の執筆に際し、マイクロソフトの Group Policy チームの Mark Lawrence のご協力に感謝します。

© 2008 Microsoft Corporation and CMP Media, LLC. All rights reserved; 許可なしに一部または全体を複製することは禁止されています.