• [アーティクル]

Office 2010 のグループ ポリシーの概要

 

適用先: Office 2010

トピックの最終更新日: 2017-01-17

グループ ポリシーを使用することにより、管理者は Active Directory ディレクトリ サービス環境内でユーザーとコンピューターに構成やポリシー設定を適用できます。グループ ポリシーを使用して Microsoft Office 2010 アプリケーションを管理することを計画している管理者は、この記事でグループ ポリシーの考え方の概要を確認できます。グループ ポリシーおよび Office 2010 についてよく寄せられる質問への回答については、「FAQ: グループ ポリシー (Office 2010)」を参照してください。

この記事の内容

  • ローカルなグループ ポリシーと Active Directory ベースのグループ ポリシー

  • グループ ポリシーの処理

  • グループ ポリシーにおける GPO 処理の変更

  • 管理用テンプレート

  • 真のポリシーとユーザー設定

  • グループ ポリシー管理ツール

  • Office カスタマイズ ツールとグループ ポリシー

ローカルなグループ ポリシーと Active Directory ベースのグループ ポリシー

グループ ポリシーは、Active Directory ディレクトリ サービス環境の一群のユーザーやコンピューターを対象に所定の構成やポリシーの設定を作成して適用するためのインフラストラクチャです。グループ ポリシーのインフラストラクチャは、グループ ポリシー エンジンと、いくつかの個別拡張機能で構成されています。これらの拡張機能を使用して、管理用テンプレート拡張機能でレジストリを変更することで、またはセキュリティ設定、ソフトウェア インストール、フォルダーのリダイレクト、Internet Explorer メンテナンス、ワイヤレス ネットワーク設定などにより、グループ ポリシーの設定を構成します。

個々のグループ ポリシー システムは次の 2 つの拡張機能で構成されます。

  • グループ ポリシー オブジェクト エディター Microsoft 管理コンソール (MMC) サーバー側拡張機能。クライアント コンピューターに適用されるポリシー 設定を定義および設定するために使用します。

  • グループ ポリシー エンジンがポリシー設定を適用するために呼び出すクライアント側拡張機能。

グループ ポリシーの設定はグループ ポリシー オブジェクト (GPO) に収容され、選択した Active Directory コンテナー (サイト、ドメイン、または組織単位 (OU)) にリンクされます。作成された GPO は、ドメイン内に格納されます。GPO が OU などの Active Directory コンテナーにリンクされると、リンクはその Active Directory コンテナーのコンポーネントになります。リンクは GPO のコンポーネントではありません。GPO 内の設定は、影響を受けるターゲットにより、Active Directory の階層的特性を使用して評価されます。たとえば、Office 2010 アプリケーションの構成だけを収容する "Office 2010 settings" という GPO を作成できます。その GPO を特定のサイトに適用すれば、"Office 2010 settings" GPO で指定した Office 2010 構成をそのサイトのユーザーが受け取るようになります。

どのコンピューターにも、ドメインのメンバーかスタンドアロン コンピューターかにかかわらず、必ず処理されるローカル GPO が存在します。このローカル GPO をドメイン ベースの GPO でブロックすることはできません。ただし、ドメイン GPO はローカル GPO の後で処理されるので、ドメイン GPO の設定の方が常に優先されます。

注意

Windows Vista、Windows Server 2008、および Windows 7 は、スタンドアロン コンピューター上の複数のローカル GPO の管理をサポートしています。詳細については、「Step-by-Step Guide to Managing Multiple Local Group Policy Objects (英語)」(https://go.microsoft.com/fwlink/?linkid=182215&clcid=0x411) (英語) を参照してください。

個々のコンピューター上のローカル GPO を構成することもできますが、グループ ポリシーが特に効果を発揮するのは、Active Directory がインストールされた Windows Server 2003 または Windows Server 2008 ベースのネットワークです。

グループ ポリシーの処理

コンピューターに対するグループ ポリシーは、コンピューターの起動時に適用されます。ユーザーに対するグループ ポリシーは、ユーザーのログオン時に適用されます。起動時とログオン時のグループ ポリシーの初期処理に加えて、グループ ポリシーは、それ以降にもバックグラウンドで定期的に適用されます。バックグラウンド更新の間に、クライアント側拡張機能は、サーバーのいずれかの GPO または GPO のリストが変化していることを検出した場合にのみ、ポリシー設定を再適用します。ソフトウェアのインストールとフォルダーのリダイレクトに関しては、コンピューター起動時またはユーザーのログオン時にだけグループ ポリシーの処理が発生します。

グループ ポリシーの設定は、次の順序で処理されます。

  • ローカル GPO   各コンピューターに、ローカルに格納された GPO が存在します。この GPO は、コンピューターとユーザーの両方のグループ ポリシーに関する処理を行います。

  • サイト   コンピューターが属するサイトにリンクされた GPO が次に処理されます。管理者がグループ ポリシー管理コンソール (GPMC) のサイトに関する [リンクされたグループ ポリシー オブジェクト] タブで指定した順序で処理が行われます。リンク順位が最下位の GPO が最後に処理され、それが最も高い優先順位を持ちます。GPMC の使用方法については、この記事の「グループ ポリシー管理ツール」を参照してください。

  • ドメイン   管理者が GPMC のドメインに関する [リンクされたグループ ポリシー オブジェクト] タブで指定した順序で、複数のドメインにリンクされた GPO が処理されます。リンク順位が最下位の GPO が最後に処理され、それが最も高い優先順位を持ちます。

  • 組織単位   Active Directory 階層内で最高位の組織単位 (OU) にリンクされた GPO が最初に処理され、その子 OU にリンクされた GPO が次に処理される、という順序になります。ユーザーまたはコンピューターを含む OU にリンクされた GPO が最後に処理されます。

処理順序は次の条件によって左右されます。

  • GPO に適用される Windows Management Instrumentation (WMI) またはセキュリティ フィルター処理。

  • ドメイン ベースの GPO (ローカルではない GPO) は、[強制] オプションを使用して強制し、そのポリシー設定を上書きできないようにすることができます。強制的 GPO は最後に処理されるので、その GPO の設定を他の設定で上書きすることはできません。強制的 GPO が複数存在する場合、各 GPO で同じ設定項目に異なる値が設定されていることがありますこの場合は、GPO のリンク順位で、最終的な設定を含む GPO が決まります。

  • 任意のドメインまたは OU で、グループ ポリシーの継承を [継承のブロック] として選択的に指定できます。ただし、強制的 GPO は常に適用され、ブロックできないので、継承のブロックを指定しても、強制的 GPO からのポリシー設定の適用は妨げられません。

ポリシーの継承

ユーザーとコンピューターで実際に有効になるポリシー設定は、サイト、ドメイン、または OU で適用される各 GPO の設定を合成したものです。Active Directory コンテナー内のユーザーとコンピューターに複数の GPO を適用するとき、すべての GPO の設定が合成されます。既定では、Active Directory のより高いレベルのコンテナー (親コンテナー) にリンクされた GPO で展開される設定が子コンテナーに継承され、子コンテナーにリンクされた GPO で展開される設定と合成されます。複数の GPO が同じポリシー設定項目に矛盾する値を設定しようとした場合は、最も高い優先順位の GPO の値が設定されます。後から処理される GPO の方が、それよりも前に処理される GPO より優先されます。

同期処理と非同期処理

同期処理とは、ある処理の実行が終了してから次の処理を開始しなければならないような一連の処理を指します。非同期処理は、各処理の結果が他の処理とは独立しているので、異なるスレッドで同時に実行できます。管理者は、各 GPO に対するポリシー設定を使用して既定の処理動作を変更し、処理を同期ではなく非同期にできます。

同期処理では、クライアント コンピューター上ですべてのグループ ポリシーの処理が完了するまでに 60 分の時間制限があります。60 分が過ぎても処理を終了していないクライアント側拡張機能は、停止するように指示されます。この場合、関連するポリシー設定は完全に適用されていない可能性があります。

高速ログオン最適化機能

高速ログオン最適化機能は、ドメインとワークグループの両方のメンバーに対して既定で有効にされます。この機能が有効なときは、コンピューターの起動時とユーザーのログオン時のポリシーの適用が非同期に行われます。このようなポリシーの適用は、バックグラウンド更新と似ています。ログオン ダイアログ ボックスが表示されるまでの時間と、ユーザーがデスクトップを利用できるようになるまでの時間が短縮されます。

高速ログオン最適化機能は、グループ ポリシー オブジェクト エディターの [コンピューターの構成\管理用テンプレート\システム\ログオン] ノードから [コンピューターの起動およびログオンで常にネットワークを待つ] ポリシーを使用して無効にできます。

低速リンクの処理

一部のグループ ポリシー拡張機能は、接続速度が指定されているしきい値より低下すると処理されません。グループ ポリシーが低速リンクと見なす既定の値は、500 Kbps 未満の速度です。

グループ ポリシーの更新間隔

既定では、グループ ポリシーは 90 分ごとに処理され、これに最大 30 分のランダムな遅延が付加されて、合計での更新間隔は最大で 120 分です。

セキュリティ設定に関しては、セキュリティ設定ポリシーを編集すると、GPO がリンクされている OU 内のコンピューターにおいて、次のタイミングでポリシー設定が更新されます。

  • コンピューターが再起動するとき。

  • ワークステーションまたはサーバーでは 90 分ごと、ドメイン コントローラーでは 5 分ごと。

  • 既定では、グループ ポリシーによって展開されるセキュリティ ポリシー設定は、GPO が変化していなくても、16 時間 (960 分) ごとに適用されます。

グループ ポリシーの更新を実行する

GPO に対する変更は、最初に適切なドメイン コントローラーにレプリケートする必要があります。そのため、グループ ポリシーの設定を変更しても、それがユーザーのデスクトップですぐに有効にならないことがあります。状況によっては、セキュリティ ポリシーの設定の適用のように、ポリシーの設定を直ちに適用することが必要になる場合もあります。

管理者は、バックグラウンドでの自動更新を待たずに、ローカル コンピューターから手動でポリシーの更新を実行できます。そのためには、コマンド ラインで「gpupdate」と入力して、ユーザーまたはコンピューターのポリシー設定を更新します。GPMC を使用してポリシーの更新を実行することはできません。

gpupdate コマンドは、コマンドが実行されたローカル コンピューターで、バックグラウンドのポリシー更新を開始します。gpupdate コマンドは、Windows Server 2003 環境と Windows XP 環境で使用します。

サーバーから必要に応じてグループ ポリシーの適用をクライアントにプッシュすることはできません。

グループ ポリシーにおける GPO 処理の変更

GPO をサイト、ドメイン、および OU にリンクすることが、GPO からの設定を受け取るユーザーとコンピューターを指定する主な手段となります。

以下の方法を使用して、GPO の既定の処理順序を変更できます。

  • リンク順位を変更する。

  • 継承をブロックする。

  • GPO リンクを強制する。

  • GPO リンクを無効にする。

  • セキュリティ フィルター処理を使用する。

  • Windows Management Instrumentation (WMI) フィルター処理を使用する。

  • ループバック処理を使用する。

以下に、これらの各方法を説明します。

リンク順位を変更する

サイト、ドメイン、または OU における GPO のリンク順位は、リンクがいつ適用されるかを制御するものです。管理者は、各リンクをリスト内で上または下に移動して適切な位置に置くことでリンク順位を変更し、リンクの優先順位を変更できます。順位が高いリンクほど (1 が最高順位)、サイト、ドメイン、または OU での優先順位が高くなります。

継承をブロックする

ドメインまたは OU に継承のブロックを適用すると、より高いレベルのサイト、ドメイン、または組織単位にリンクされている GPO を子レベルの Active Directory コンテナーに自動的に継承することが行われなくなります。

GPO リンクを強制する

GPO リンクを [強制] と設定することで、その GPO リンクの設定を子オブジェクトの設定よりも優先するように指定できます。強制された GPO リンクを親コンテナーからブロックすることはできません。GPO に矛盾する設定が含まれている場合は、上位のコンテナーからの強制がなければ、子 OU にリンクされた GPO の設定が上位の親コンテナーの GPO リンクの設定に上書きされます。強制があるときは、親 GPO のリンクが常に優先されます。既定では、GPO リンクは強制されません。

GPO リンクを無効にする

ドメイン、サイト、または OU に対する GPO リンクを無効にすることで、そのサイト、ドメイン、または OU への GPO の適用を完全にブロックできます。これで GPO が無効になることはありません。その GPO が他のサイト、ドメイン、または OU にリンクされている場合、リンクが有効であれば GPO は引き続き処理されます。

セキュリティ フィルター処理を使用する

セキュリティ フィルター処理を使用すると、GPO がリンクされているコンテナー内の特定のセキュリティ プリンシパルだけで GPO が適用されるように指定できます。管理者は、セキュリティ フィルター処理によって、GPO が特定のグループ、ユーザー、またはコンピューターだけに適用されるように GPO の範囲を絞り込むことができます。セキュリティ フィルター処理を GPO 内の異なる設定に対して選択的に使用することはできません。

ユーザーまたはコンピューターに GPO が適用されるのは、そのユーザーまたはコンピューターが、明示的に、またはグループ メンバーシップを通じて実質的に、GPO に対する読み取りグループ ポリシーの適用 の両方の権限を持っている場合に限られます、既定で、すべての GPO は Authenticated Users グループに対して読み取りグループ ポリシーの適用許可済みに設定されており、このグループにユーザーとコンピューターが含まれます。このため、GPO が OU、ドメイン、またはサイトに適用されると、認証済みのすべてのユーザーが新しい GPO の設定を受け取ります。

既定では、Domain Admins、Enterprise Admins、およびローカル システムは、グループ ポリシーの適用アクセス制御エントリ (ACE) がなくても、フル コントロールの権限を持っています。管理者も Authenticated Users のメンバーです。つまり、既定では、管理者は GPO の設定を受け取ります。これらの権限を変更すれば、OU、ドメイン、またはサイト内の特定のユーザー、グループ、あるいはコンピューターのセットに適用範囲を制限できます。

グループ ポリシー管理コンソール (GPMC) では、これらの権限は単一のユニットとして管理され、[GPO スコープ] タブに GPO のセキュリティ フィルター処理が表示されます。GPMC では、各 GPO に対するセキュリティ フィルターとしてグループ、ユーザー、およびコンピューターを追加または削除できます。

Windows Management Instrumentation フィルター処理を使用する

Windows Management Instrumentation (WMI) フィルター処理は、WQL (WMI Query Language) クエリを GPO に添付することで GPO の適用を選別するために使用されます。クエリを使用して、WMI で複数の項目を照会できます。照会したすべての項目でクエリが true を返した場合、GPO がターゲットのユーザーまたはコンピューターに適用されます。

WMI フィルターにリンクされた GPO がターゲット コンピューターに適用され、その際にフィルターがターゲット コンピューターで評価されます。WMI が false と評価された場合、GPO は適用されません (ただし、クライアント コンピューターが Windows 2000 の場合は例外で、フィルターは無視され、GPO は常に適用されます)。WMI フィルターが true と評価されると、GPO は適用されます。

WMI フィルターは、ディレクトリ内では GPO とは別のオブジェクトです。WMI フィルターを適用するには GPO にフィルターをリンクする必要があり、WMI フィルターとそれがリンクされた GPO を同じドメイン内に置く必要があります。WMI フィルターは、ドメイン内にのみ格納されます。1 つの GPO にリンクできる WMI フィルターは 1 つだけです。同じ WMI フィルターを複数の GPO にリンクできます。

注意

WMI は、管理インフラストラクチャの標準を確立して、ハードウェアやソフトウェアによるさまざまな管理システムからの情報を統合する手段を提供することを目指した Web-Based Enterprise Management という業界構想をマイクロソフトが実装したものです。WMI では、CPU、メモリ、ディスク領域、製造元などのハードウェア構成データが公開され、さらにレジストリ、ドライバー、ファイル システム、Active Directory、Windows インストーラー サービス、ネットワーク構成、およびアプリケーション データについてそのソフトウェア構成データが公開されます。ターゲット コンピューターに関するデータを、GPO の WMI フィルター処理などの管理目的に使用できます。

ループバック処理を使用する

この機能を使用すると、Active Directory 内でのユーザーの場所に関係なく、特定のコンピューターにログオンしたすべてのユーザーに一貫したポリシー設定のセットを確実に適用できます。

ループバック処理はグループ ポリシーの高度な設定であり、サーバー、キオスク、実験室、教室、受付などの厳しく管理された環境のコンピューターで役に立ちます。ループバック処理を設定すると、コンピューターに適用される GPO の [ユーザーの構成] のポリシー設定が、ユーザーの [ユーザーの構成] 設定の代わりに (置換モードの場合)、またはそれに加えて (結合モードの場合)、そのコンピューターにログオンするすべてのユーザーに適用されます。

ループバック処理を設定するには、グループ ポリシー オブジェクト エディターの [コンピューターの構成\管理用テンプレート\システム\グループ ポリシー] にある [ユーザー グループ ポリシー ループバックの処理モード] ポリシー設定を使用します。

ループバック処理機能を使用するには、ユーザー アカウントとコンピューター アカウントの両方が、Windows Server 2003 以上の Windows を実行するドメイン内に存在する必要があります。ワークグループに参加しているコンピューターでは、ループバック処理は機能しません。

管理用テンプレート

グループ ポリシーの管理用テンプレート拡張機能は、ポリシー設定を構成するための MMC サーバー側スナップインと、ターゲット コンピューターでレジストリ キーを設定するクライアント側拡張機能で構成されます。管理用テンプレート ポリシーは、レジストリ ベースのポリシーまたはレジストリ ポリシーとも呼ばれます。

管理用テンプレート ファイル

管理用テンプレート ファイルは、グループ ポリシー オブジェクト エディターおよび GPMC でのオプションの表示方法を定義するカテゴリとサブカテゴリの階層で構成された Unicode ファイルです。これはポリシー設定の構成の影響を受けるレジストリの場所も示しており、その構成にはポリシー設定の既定値 (未構成) と有効または無効という値があります。このテンプレートには .adm, .admx, .adml の 3 つのファイル バージョンがあります。.adm ファイルは、Windows オペレーティング システムを実行しているコンピューターで使用できます。.admx ファイルと .adml ファイルは、少なくとも Windows Vista または Windows Server 2008 を実行しているコンピューターで使用できます。.adml ファイルは言語固有版の .admx ファイルです。

管理用テンプレート ファイルの機能は限定的です。.adm, .admx、または .adml ファイルの目的はユーザー インターフェイスでポリシー設定を構成できるようにすることにあります。管理用テンプレート ファイルにポリシー設定は含まれません。ポリシー設定は、ドメイン コントローラーの Sysvol フォルダーにある Registry.pol ファイルに格納されます。

管理用テンプレートのサーバー側スナップインが提供する [管理用テンプレート] ノードは、グループ ポリシー オブジェクト エディターの [コンピューターの構成] ノードまたは [ユーザーの構成] ノードの下に表示されます。[コンピューターの構成] の下の設定は、コンピューター用のレジストリ設定を操作します。[ユーザーの構成] の下の設定は、ユーザー用のレジストリ設定を操作します。値を入力するためのテキスト ボックスなどの簡単な UI 要素が必要なポリシー設定もありますが、ほとんどのポリシー設定に含まれるオプションは以下のものだけです。

  • [有効]   ポリシーを適用します。一部のポリシー設定には、ポリシーがアクティブ化されたときの動作を定義する追加オプションがあります。

  • [無効]   ほとんどのポリシー設定では、[有効] 状態と反対の動作を適用します。たとえば、[有効] により機能の状態が [オフ] になる場合、[無効] にすると機能の状態は [オン] になります。

  • [未構成]   ポリシーを適用しません。これは、ほとんどの設定の既定の状態です。

管理用テンプレート ファイルは、ローカル コンピューター上の次の表に示す場所に格納されます。

ファイルの種類 フォルダー

.adm

%systemroot%\Inf

.admx

%systemroot%\PolicyDefinitions

.adml

%systemroot%\PolicyDefinitions\<en-us などの言語固有のフォルダー>

セントラル ストアにある .admx および .adml ファイルをドメイン コントローラー上の次の表に示すフォルダーに格納して使用することもできます。

ファイルの種類 フォルダー

.admx

%systemroot%\sysvol\domain\policies\PolicyDefinitions

.adml

%systemroot%\sysvol\domain\policies\PolicyDefinitions\<en-us などの言語固有のフォルダー>

セントラル ストアにあるテンプレートの格納および使用方法の詳細については、「グループ ポリシーの計画および展開ガイド」(https://go.microsoft.com/fwlink/?linkid=182208\&clcid=0x411) の「グループ ポリシーと Sysvol」を参照してください。

Office 2010 の管理用テンプレート ファイル

Office 2010 専用の管理用テンプレート ファイルが別途ダウンロードで提供されており、これで次のことができます。

  • Office 2010 アプリケーションからインターネットへのエントリ ポイントを制御する。

  • Office 2010 アプリケーションのセキュリティを管理する。

  • ユーザーが各自のジョブを実行するうえで不要な設定とオプション、ユーザーに混乱をきたす可能性のある設定とオプション、または不要な問い合わせの原因となる設定とオプションを非表示にする。

  • ユーザーのコンピューター上で詳細に管理された標準の構成を作成する。

Office 2010 管理用テンプレートをダウンロードするには、「Office 2010 Administrative Template files (ADM, ADMX, ADML) and Office Customization Tool (英語)」(https://go.microsoft.com/fwlink/?linkid=189316\&clcid=0x411) (英語) を参照してください。

Office 2010 管理用テンプレートを次の表に示します。

アプリケーション 管理用テンプレート ファイル

Microsoft Access 2010

access14.admx、access14.adml、access14.adm

Microsoft Excel 2010

excel14.admx、excel14.adml、excel14.adm

Microsoft InfoPath 2010

inf14.admx、inf14.adml、inf14.adm

Microsoft Office 2010

office14.admx、office14.adml、office14.adm

Microsoft OneNote 2010

onent14.admx、onent14.adml、onent14.adm

Microsoft Outlook 2010

outlk14.admx、outlk14.adml、outlk14.adm

Microsoft PowerPoint 2010

ppt14.admx、ppt14.adml、ppt14.adm

Microsoft Project 2010

proj14.admx、proj14.adml、proj14.adm

Microsoft Publisher 2010

pub14.admx、pub14.adml、pub14.adm

Microsoft SharePoint Designer 2010

spd14.admx、spd14.adml、spd14.adm

Microsoft SharePoint Workspace 2010

spw14.admx、spw14.adml、spw14.adm

Microsoft Visio 2010

visio14.admx、visio14.adml、visio14.adm

Microsoft Word 2010

word14.admx、word14.adml、word14.adm

真のポリシーとユーザー設定

管理者が完全に管理できるグループ ポリシー設定のことを "真のポリシー" と呼びます。ユーザーが構成できる設定 (ただし、インストール時のオペレーティング システムの既定の状態を反映することもある) を "ユーザー設定"と呼びます。真のポリシーとユーザー設定のどちらにもユーザーのコンピューターのレジストリを変更する情報が含まれています。

真のポリシー

真のポリシーのレジストリ値は、グループ ポリシーの承認済みレジストリ キーの下に格納されます。これらの設定をユーザーが変更したり無効にしたりすることはできません。

コンピューター ポリシーの設定の場合 :

  • HKEY_LOCAL_MACHINE\Software\Policies (推奨される場所)

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies

ユーザー ポリシーの設定の場合 :

  • HKEY_CURRENT_USER\Software\Policies (推奨される場所)

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies

Office 2010 に関して、真のポリシーは次のレジストリの場所に格納されます。

コンピューター ポリシーの設定の場合:

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Office\14.0

ユーザー ポリシーの設定の場合:

  • HKEY_CURRENT_USER\Software\Policies\ Microsoft\Office\14.0

ユーザー設定

ユーザー設定は、インストール時にユーザーまたはオペレーティング システムによって設定されます。ユーザー設定を格納するレジストリ値は、承認済みのグループ ポリシー キーの "外部" にあります。ユーザーは、自分のユーザー設定を変更できます。

GPO でユーザー設定を構成する場合は、システム アクセス制御リスト (SACL) の制限はありません。したがって、ユーザーがレジストリ内のこれらの値を変更できる可能性があります。GPO が適用範囲に含まれなくなっても (GPO がリンク解除、無効化、または削除された場合)、これらの値はレジストリから削除されません。

グループ ポリシー オブジェクト エディターでユーザー設定を表示するには、[管理用テンプレート] ノードをクリックし、[表示] をクリックし、[フィルター] をクリックして、[完全に管理されているポリシー設定のみ表示します] チェック ボックスをオフにします。

グループ ポリシー管理ツール

管理者は、以下のツールを使用してグループ ポリシーを管理できます。

  • グループ ポリシー管理コンソール   ほとんどのグループ ポリシー管理タスクを管理するために使用します。

  • グループ ポリシー オブジェクト エディター   GPO 内のグループ ポリシーの設定を構成するために使用します。

グループ ポリシー管理コンソール

グループ ポリシー管理コンソール (GPMC) は、GPO の継承のスコーピング、委任、フィルター処理、操作など、グループ ポリシーの核心部分を管理するための単一ツールを提供することで、グループ ポリシーの管理を単純化します。GPMC は、GPO のバックアップ (エクスポート)、復元、インポート、およびコピーにも使用できます。管理者は、GPMC を使用して、ネットワークに対する GPO の影響を予測したり、GPO によって行われたコンピューターまたはユーザーの設定の変更を判別したりできます。GPMC は、ドメイン環境でのほとんどのグループ ポリシー タスクの管理に推奨されるツールです。

GPMC は、企業内の GPO、サイト、ドメイン、および OU のビューを提供し、Windows Server 2003 または Windows 2000 のドメインを管理するために使用できます。グループ ポリシー オブジェクトでの個別のポリシー設定の構成を除く他のすべてのグループ ポリシー管理タスクは、GPMC を使用して行います。これを行うにはグループ ポリシー オブジェクト エディターを使用します。このエディターは GPMC から開きます。

管理者が GPMC を使用して作成した GPO には初期設定がありません。GPO を作成し、同時に GPO を Active Directory コンテナーにリンクすることもできます。GPO 内の個々の設定を構成するには、GPMC からグループ ポリシー オブジェクト エディターを使用して GPO を編集します。グループ ポリシー オブジェクト エディターに GPO が読み込まれて表示されます。

管理者は、GPMC を使用して、Active Directory のサイト、ドメイン、または OU に GPO をリンクできます。Active Directory コンテナー内のユーザーとコンピューターに設定を適用するには、GPO をリンクする必要があります。

GPMC には、Windows が提供する以下のポリシーの結果セット (RSoP) 機能が含まれます。

  • グループ ポリシーのモデル作成   管理者の指定した状況でポリシー設定がどのように適用されるかをシミュレートします。グループ ポリシーのモデル作成を使用すると、既存の構成に適用される RSoP データをシミュレートしたり、ディレクトリ環境に対するシミュレートした仮定の変更の影響を分析したりできます。

  • グループ ポリシーの結果   コンピューターおよびユーザーに適用される、実際のポリシー データを表します。データを取得するには、ターゲット コンピューターに対してクエリを実行し、そのコンピューターに適用された RSoP データを取得します。グループ ポリシー結果機能はクライアント オペレーティング システムによって提供され、Windows XP、Windows Server 2003、またはそれ以降のバージョンのオペレーティング システムが必要です。

グループ ポリシー オブジェクト エディター

グループ ポリシー オブジェクト エディターは、GPO 内のポリシー設定を構成するための MMC スナップインです。グループ ポリシー オブジェクト エディターは gpedit.dll に含まれており、Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、および Windows 7 オペレーティング システムと共にインストールされます。

ドメインのメンバーではないローカル コンピューターのグローバル ポリシー設定を構成するには、グループ ポリシー オブジェクト エディターを使用してローカル GPO (Windows Vista、Windows 7、または Windows Server 2008 を実行しているコンピューターでは複数の GPO) を管理します。ドメイン環境でグループ ポリシーの設定を構成する場合は、GPMC (ここからグループ ポリシー オブジェクト エディターを呼び出す) がグループ ポリシー管理タスクの推奨ツールとされています。

グループ ポリシー オブジェクト エディターは、GPO 内のグループ ポリシー設定を構成するための階層的なツリー構造を提供し、次の 2 つの主要なノードで構成されます。

  • [ユーザーの構成]   ユーザーのログオン時とバックグラウンドの定期的な更新時にユーザーに適用される設定を含みます。

  • [コンピューターの構成]   コンピューターの起動時とバックグラウンドの定期的な更新時にコンピューターに適用される設定を含みます。

この 2 つの主要なノードがフォルダーに細分化され、その各フォルダーにさまざまなポリシー設定が格納されます。これらのフォルダーは次のとおりです。

  • ソフトウェアの設定   ソフトウェア インストールの設定を含みます。

  • Windows の設定   セキュリティの設定とスクリプト ポリシーの設定を含みます。

  • 管理用テンプレート   レジストリ ベースのポリシー設定を含みます。

GPMC およびグループ ポリシー オブジェクト エディターのシステム要件

グループ ポリシー オブジェクト エディターは GPMC に含まれ、GPO を編集するとき起動されます。GPMC は、Windows XP、Windows Server 2003、Windows Vista、Windows 7、および Windows Server 2008 で実行できます。要件は Windows オペレーティング システムによって次のように変化します。

GPMC およびグループ ポリシー オブジェクト エディターの使用方法の詳細については、「Office 2010 でグループ ポリシーを使用して設定を適用する」を参照してください。

Office カスタマイズ ツールとグループ ポリシー

管理者は、Office カスタマイズ ツール (OCT) とグループ ポリシーのどちらでも Office 2010 アプリケーションのユーザー構成をカスタマイズできます。

  • Office カスタマイズ ツール (OCT)   セットアップ カスタマイズ ファイル (.msp ファイル) を作成するために使用します。管理者は、OCT を使用して、機能をカスタマイズし、ユーザー設定を構成できます。ユーザーはインストール後に大部分の設定を変更できます。OCT では、レジストリの公式に利用できる部分 (HKEY_CURRENT_USER/Software/Microsoft/Office/14.0 など) の設定が構成されるからです。このツールは、通常、デスクトップの構成を集中的に管理しない組織で使用されます。詳細については、「Office 2010 の Office カスタマイズ ツール」を参照してください。

  • グループ ポリシー   管理用テンプレートに含まれる Office 2010 のポリシー設定を構成するために使用します。これらのポリシー設定は、オペレーティング システムによって適用されます。Active Directory 環境では、グループ ポリシー オブジェクトがリンクされているサイト、ドメイン、または OU のユーザーおよびコンピューターのグループに、ポリシー設定を適用できます。真のポリシー設定はポリシーの承認済みレジストリ キーに書き込まれ、これらの設定には管理者以外のユーザーによる変更を防ぐ SACL 制限が設定されます。管理者は、グループ ポリシーを使用して、高度に管理されたデスクトップ構成を作成できます。また、緩く管理された構成を作成し、組織のビジネスおよびセキュリティ要件に対応することもできます。OCT の詳細については、「Office 2010 の Office カスタマイズ ツール」を参照してください。