• [アーティクル]

Windows 7

Windows 7 と Windows Server 2008 R2 のグループ ポリシーの新機能

Jeremy Moskowitz

 

概要:

  • Windows PowerShell による GPO 操作の自動化
  • ADM と ADMX のタブなしインターフェイス
  • 組み込みのスターター GPO と新しいポリシー設定

目次

更新されたグループ ポリシーの主要機能
その他の機能
詳細情報

新しいバージョンの Windows のグループ ポリシーについての質問メールを毎日のように受信します。このような質問が送られてくることから、新機能や変更が IT プロフェッショナルにもたらす影響には、非常に高い関心が寄せられていることがわかります。

変更は負担になることもありますが、今回は良いお知らせだと断言できます。Windows 7 と Windows Server 2008 R2 では、グループ ポリシーに強力かつ適度な変更が加えられましたが、大幅な変更が加えられたり、まったく別物になったりはしていません。たとえば、IT プロフェッショナルは、いくつかの更新、新機能、およびユーザー インターフェイスの調整によるメリットを享受できますが、これらを習得するのにかかる時間が悩みの種になることはありません。

グループ ポリシーの変更点は、大まかに 2 つのカテゴリに分類できます。1 つ目はグループ ポリシー チームが提供する主要機能です。これには、グループ ポリシー管理コンソール (GPMC) というグループ ポリシー エンジン、グループ ポリシー管理エディター (GPME) というグループ ポリシーの編集システムの新機能と更新された機能などがあります。もう 1 つは、その他のチームが提供する、グループ ポリシーを使用してコンポーネントを管理するためのアイテムです。これには、ターゲット コンピューターで新機能や更新された機能を管理するのに使用する、GPME の更新されたポリシー設定や機能コントロールなどがあります。この記事では、この両方の変更について説明します。

更新されたグループ ポリシーの主要機能

グループ ポリシー チームは、Windows 7 と Windows Server 2008 R2 で、さまざまな新機能を追加し、さまざまな機能を更新しました。新しい Windows で提供される非科学的なものには、大幅な修正、大幅な更新、重要な新機能、ユーザー インターフェイスの大幅な変更、および付属機能の大規模な追加があります。

大幅な修正: 更新されたフィルター

Windows 7 と Windows Server 2008 R2 の更新された GPMC のフィルターは、喜ばしい変更です。これにより、Windows Vista のリリース時から存在していたバグが修正されています。図 1 は、リモート サーバー管理ツール (RSAT) に含まれる、更新された GPMC 以降で使用できる私が気に入っている機能の 1 つである [フィルター オプション] ダイアログ ボックスです。

fig1.gif

図 1 [フィルター オプション] ダイアログ ボックス (クリックすると拡大画像が表示されます)

RSAT の機能は単純で、ユーザーが Windows Vista (またはそれ以降) のコンピューターからネットワークのさまざまな側面を制御できるようにし、そのための管理ツール (更新された GPMC など) を提供することです。この更新された GPMC には、いくつかのシンプルな機能があります。その 1 つは、フィルターを使用して、必要な管理用テンプレートのグループ ポリシー設定だけを検出する条件を定義する機能です。Windows Vista と Windows Vista 対応の RSAT には、フィルターが機能しないという、多くの管理者を悩ませた問題がありました。

この問題についてもう少し詳しく説明しましょう。図 1 は、[フィルター オプション] ダイアログ ボックスの [要件フィルターを有効にする] セクションを示しています。このセクションの目的は単純です。このセクションを参照すると、特定のオペレーティング システムで有効になっている管理用テンプレートのポリシー設定を確認できます。

[要件フィルターを有効にする] セクションには、2 つのモードがあります。1 つは "選択されたすべてのプラットフォームに一致する設定を含めます"で、もう 1 つは "選択された任意のプラットフォームに一致する設定を含めます" というモードです。一見すると、この 2 つのモードは非常に似ているように思えます。ですが、"すべて" と "任意" の違いは重要です。いくつかの条件を指定したときに各モードで想定される動作は次のとおりです。

  • [選択されたすべてのプラットフォームに一致する設定を含めます] を選択すると、指定した種類のコンピューターのみで有効なポリシー設定が表示されます。つまり、Windows XP Service Pack 2 (SP2) と Windows Vista を指定すると、Windows XP SP2 と Windows Vista のみで機能するポリシー設定が表示されます。
  • [選択された任意のプラットフォームに一致する設定を含めます] を選択すると、指定した任意のオペレーティング システムに適用されるポリシー設定が表示されます。そのため、Windows XP SP2 と Windows Vista の両方を選択すると、Windows XP SP2 に適用されるすべての設定と、Windows Vista に適用されるすべての設定が表示されます。

これらのフィルターは便利なように思えます。問題は、Windows Vista と Windows Server 2008 に対応したバージョンの RSAT では、いずれのフィルターも適切に動作しないことです。[選択されたすべてのプラットフォームに一致する設定を含めます] を選択すると、多くの場合は、ターゲット コンピューターに実際に適用できる有効な設定のほんの一部しか表示されませんでした。また、[選択された任意のプラットフォームに一致する設定を含めます] を選択すると、何も表示されませんでした。

グループ ポリシー チームで働いている友人によると、Wondows 7 向けのダウンロード可能なバージョンと、Windows Server 2008 R2 の付属の RSAT には、この修正が反映される予定だそうです。

大幅な更新: ターゲット コンピューターへの Windows PowerShell スクリプトの配置

文明社会から隔離された状態で暮らしているのでなければ、システム管理者の間で Windows PowerShell の評判が高まっていることはご存じでしょう。しかし、ある問題が原因で Windows PowerShell を導入できない管理者もいます。それは、ユーザー スクリプトおよびコンピューター スクリプトという、細やかな制御を必要とする領域で、管理者が新しい Windows PowerShell の処理能力を活用できる単純な方法がないという問題です。

Windows 7 と Windows Server 2008 R2 の RSAT では、管理者は Windows PowerShell スクリプトを (ユーザー用の) ログオン スクリプトまたはログオフ スクリプトとして指定できるだけでなく、(コンピューター用の) スタートアップ スクリプトまたはシャットダウン スクリプトとして指定できます。図 2 は、GPME の [スタートアップのプロパティ] ダイアログ ボックスです。管理者は、このダイアログ ボックスを使用して、Windows PowerShell スクリプトを実行する順序と、最初に実行するスクリプトの種類 (PowerShell スクリプトかそれ以外のスクリプト) を指定できます (スクリプトの種類は表示されていませんが、[スタートアップのプロパティ] ダイアログ ボックスの [スクリプト] タブにあります)。

fig2.gif

図 2 [スタートアップ プロパティ] ダイアログ ボックスの [PowerShell スクリプト] タブ (クリックすると拡大画像が表示されます)

この機能を使用するには、Windows 7 コンピューターまたは Windows Server 2008 R2 コンピューターで、(この新しい機能をサポートするように更新された GPMC が含まれている) 対応する RSAT ツールを使用して、グループ ポリシー オブジェクト (GPO) を作成または編集する必要があります。また、Windows PowerShell スクリプトを実行するには、ターゲット コンピューターで Windows 7 または Windows Server 2008 R2 が実行されている必要があります。(Windows PowerShell が読み込まれていても) それ以前のバージョンのコンピューターは、ターゲット コンピューターとして有効ではないので、Windows PowerShell のログオン スクリプト、ログオフ スクリプト、スタートアップ スクリプト、またはシャットダウン スクリプトは動作しません。この機能が必要な場合は、Windows 7 以外の OS を実行しているコンピューターに Windows PowerShell スクリプトを配置できるサードパーティ製のソリューションを利用して対応できます。

重要な機能: PowerShell コマンドレットを使用したレジストリ設定の操作

多くのシステム管理者たちは、あらゆるものを自動化することを好みます。これは良いことです。実際、ご使用の環境でグループ ポリシーを活用するということは、(いろいろな場所に移動してボタンをクリックする必要がないように) クライアント コンピューターの大規模な自動化だと見なせます。管理レベルを上げるためには、GPO 自体の操作を自動化することもできます。

既存のグループ ポリシーの GPMC サンプル スクリプトを活用して、グループ ポリシーに関する主要タスクを自動化している管理者もいます。

Windows 7 と Windows Server 2008 R2 では、Windows PowerShell を使用して、このようなタスクの多くを実行することができます。GPMC サンプル スクリプトで実行できる処理は、Windows PowerShell を使用して実行できるようになりました。GPO の作成、リンク、名前の変更、バックアップの作成、コピー、および削除を始めとする、さまざまな処理を実行できます。

ただし、スクリプトを使用して GPO を構成する機能はまったく新しいものなので、スクリプトが Windows PowerShell で記述されている場合のみ使用できます。皆さんが有頂天になる前に、グループ ポリシーの 39 個すべての領域がスクリプトに対応しているわけではないことをお伝えしておきます。実際に対応しているのは、レジストリ ポリシーとレジストリ ユーザー設定の 2 つだけです。それでも、新機能としては、すばらしいスタートです。

図 3 では、Windows 7 に組み込みの Windows PowerShell を使用し、import-module grouppolicy コマンドレットを使用してグループ ポリシー固有のコマンドレットをインストールしてから、new-gpo コマンドレットを使用して新しい GPO を作成したことがわかります。

fig3.gif

図 3 Windows 7 に組み込まれているグループ ポリシー コマンドレットを使用した新しい GPO の作成 (クリックすると拡大画像が表示されます)

グループ ポリシー チームのブログでは、Windows PowerShell の統合に関する多数の記事が投稿されています。「Group Policy Team Blog」(グループ ポリシー チームのブログ、英語) にアクセスすると、これらのすべての記事をひとめで確認できます。

ユーザー インターフェイスの大幅な変更: 更新された ADM と ADMX のユーザー インターフェイス

グループ ポリシーで最も大幅に変更されたものの 1 つは、GPME の管理用テンプレートです。

新しいタブのないインターフェイス (図 4 参照) により、新しいポリシー設定の作成や既存のポリシー設定の操作に必要な情報が同じページに表示されます。

fig4.gif

図 4 [Windows ファイアウォール: ICMP の例外を許可する] ダイアログ ボックス (クリックすると拡大画像が表示されます)

管理者は、ポリシー設定を [未構成]、[有効]、または [無効] に設定したり、ポリシー設定に関するコメントを記載したり、サポートされるバージョンに関する情報を参照したり、ヘルプ (説明テキスト) を表示したり、[オプション] セクションの構成可能な設定を操作したりできるようになりました。

この変更は、ポリシー設定をより直感的に操作できるようにし、ヘルプを統合し、すべてのタブを取り除くことで、管理者がさまざまな場所に移動してボタンをクリックする必要がないようにすることを目的としています。

付属機能の大規模な追加: 組み込みのスターター GPO

スターター GPO を作成して使用する機能は、Windows Vista の GPMC で初めて導入されました。スターター GPO は、他の管理者が GPO を作成するときにベースとして使用できる GPO を作成できるようにするという趣旨で導入されました。この更新では基本的なアーキテクチャや機能はそれほど変更されていませんが、注目すべき新しい特徴が 1 つあります。

その特徴は、Windows 7 コンピューターまたは Windows Server 2008 R2 コンピューターを使用してスターター GPO のコンテナーを作成すると、コンテナーには、いくつかの組み込みのスターター GPO が自動的に設定されることです。これらのスターター GPO は、マイクロソフトのベスト プラクティスに基づいて作成されており、『Windows Server 2008 Security Guide』に準拠しています。たとえば、これらの組み込みのスターター GPO には、平均的なエンタープライズ クライアント (EC) 用のものと、さらにロックダウンされた手法が採用された "セキュリティ特化 - 機能制限 (SSLF)" と呼ばれるものがあります。

Windows 7 と Windows Server 2008 R2 には、ユーザー用とコンピューター用のスターター GPO が用意されています。これらのマイクロソフトが作成したスターター GPOは、Windows Vista および Windows XP SP2 用のものも (少し古い形式ですが) 入手できます。

その他の機能

今度は、Windows 7 または Windows Server 2008 R2 をクライアントとして使用する際に活用できる追加制御機能のいくつかの領域について説明します。ここでは "グループ ポリシーの擬似命令を受けるコンピューター" を "クライアント" と言います (コンピューターで Windows Server 2008 R2 を実行している場合も同様です)。

大きな変更としては、約 300 個の新しいポリシー設定が追加されています。そのうちの 90 個ほどは Internet Explorer 8 のためだけに作成されました (IE 8 は Windows Vista コンピューターと Windows XP コンピューターでも使用できます)。その他の変更としては、BitLocker、BitLocker To Go、更新されたタスク バー、リモート デスクトップ サービス (旧称ターミナル サービス)、BranchCache、Windows リモート管理 (WinRM)、その他の多数のコントロールを管理するための、新しい設定や更新された設定があります。この記事ではすべての新しいコントロールについて説明することはできませんが、私が気に入っているいくつかのコントロールについて詳しく説明します。

電源オプション用の更新されたグループ ポリシーの基本設定

IT プロフェッショナルがグループ ポリシーに心を奪われる主な理由の 1 は、デスクトップで使用できるコントロールの豊富さです。ただし、主に設定を配信する手段としてグループ ポリシーを使用する場合、何でも管理することを好む IT プロフェッショナルは、グループ ポリシーによる直接的なコスト面のメリットを上司にうまく説明できないことがあります。ただし、グループ ポリシーのある領域では、(適切に使用すれば) 実際にコストを削減することができます。その領域は、電源設定です。

デスクトップとラップトップの電源設定を適切に構成すると、IT 管理者は、通常、年間数千ドルのコストを削減することが可能になります。グループ ポリシーを使用すると、このような構成を簡単に行えます。

図 5 に、Windows 7 (および Windows Server 2008 R2) の GPMC で使用できる電源オプションを示します。

fig5.gif

図 5 [新しい電源プラン (Windows Vista およびそれ以降) のプロパティ] ダイアログ ボックス (クリックすると拡大画像が表示されます)

図 5 のダイアログ ボックスのタイトルをよく見てください。"新しい電源プラン (Windows Vista およびそれ以降) のプロパティ" となっています。つまり、これらの設定は Windows Vista と Windows 7 の両方で有効ということになります。ただし、注意事項があります。Windows 7 と Windows Server 2008 R2 クライアント コンピューターでは、この擬似命令に従って実行する処理がすぐに認識されますが、Windows Vista ではすぐに認識されません。"Windows Vista およびそれ以降" とはっきり表示されているにもかかわらず、Windows Vista では、この擬似命令が無視されます。Windows Vista では、基盤となるグループ ポリシーの基本設定のクライアント側の拡張機能の更新を適用する必要があります (この更新は間もなくリリースされる予定です)。更新がリリースされ、これを適用すると、Windows Vista コンピューターは、新しく利用可能になった擬似命令に従うようになります。

スケジュールされたタスク用の更新されたグループ ポリシーの基本設定

先ほど紹介した電源プランの設定と似ているのは、Windows 7 と Windows Server 2008 R2 の GPMC に追加されたタスク スケジュール機能です。図 6 に、タスクをスケジュールするための新しいオプションである、[タスク (Windows Vista およびそれ以降)] と [即時タスク (Windows Vista およびそれ以降)] を示します。

fig6.gif

図 6 Windows 7 の新しい GPMC のタスク スケジュール オプション (クリックすると拡大画像が表示されます)

"電源プラン" の設定と同様に、Windows 7 コンピューターでは、この設定をすぐに使用することができます。ですが、Windows Vista コンピューターでは、これらの設定を使用できるようにする更新がリリースされるまで待つ必要があります。

更新されたソフトウェアの制限のポリシー: AppLocker

AppLocker の実際の名前は、ソフトウェアの制限のポリシー バージョン 2 (SRPv2) です。ただし、グループ ポリシーのインターフェイス (およびドキュメント) では、この新機能は単純に AppLocker と呼ばれています。

簡単に言うと、AppLocker の目的は、現在の IT 組織が Windows 7 (またはそれ以降の) コンピューターで実行して良いソフトウェアと実行してはならないソフトウェアを指示できるようにすることです。ソフトウェアの制限のポリシー バージョン 1 (SRPv1) は適切に機能していましたが、AppLocker によりソフトウェアの制限レベルが上がります。新しい AppLocker の主要な機能の 1 つは、ソフトウェアの発行元に基づいてソフトウェアを許可または制限できることです。この新機能を利用するには、許可または制限するソフトウェアがデジタル署名されている必要があります (AppLocker の詳細については、Greg Shields の「何でも屋: AppLocker: セキュリティ上の問題の最初の解決策になり得るか」(英語) を参照してください)。

その後、[作成 実行可能ファイルの規則] ダイアログ ボックスを使用して、さまざまな発行元の規則を設定します。たとえば、Adobe Reader のバージョンが 9.0 以上であれば実行を許可するよう指定する規則を作成できます。垂直方向のスライダーを上方向に移動して、ターゲット システムですべてのバージョン、ファイル名、製品、または発行元が有効であることを指定したり、[カスタム値を使用する] チェック ボックスをオンにして、詳細な条件を指定することもできます。

詳細情報

このように、Windows 7 と Windows Server 2008 R2 では、グループ ポリシーが大幅に強化されています。300 個の新しいポリシー設定から、更新された 2 つのグループ ポリシーの基本設定、Windows PowerShell の統合まで、すばらしい機能がたくさんあります。Windows 7 と Windows Server 2008 R2 のグループ ポリシーの詳細については、「Group Policy Team Blog」(グループ ポリシー チームのブログ、英語) と、GPanswers.com (英語) で私のブログとトレーニング リソースを参照してください。

Jeremy Moskowitz は、グループ ポリシーの MVP です。グループ ポリシーのコミュニティ フォーラム、GPanswers.com (英語) を運営しており、Group Policy Master Class を開催して毎年何百人もの管理者を指導しています。また、グループ ポリシーを使用してサードパーティ製のアプリケーションを制御する革新的なアドオンを作成している、PolicyPak Software (PolicyPak.com、英語) の創設者でもあります。