コア ネットワーク必携ガイド: グループ ポリシーの展開

  • [アーティクル]

 

対象: Windows Server 2012

これは、Windows Server® 2012 コア ネットワーク ガイドの必携ガイドです。Microsoft ダウンロード センター (https://go.microsoft.com/fwlink/?LinkId=255199) では Microsoft Office Word 形式、Windows Server 2012 テクニカル ライブラリ (https://technet.microsoft.com/library/hh911995.aspx) では HTML 形式でダウンロードできます。

Windows Server 2012 コア ネットワーク ガイドでは、新しいフォレスト内の新しい Active Directory ドメインと、ネットワークが十分に機能するために必要なコア コンポーネントを計画および展開する手順を説明します。

このガイドでは、Active Directory ドメインの階層を形成する組織単位 (OU) の代わりにメンバーシップ グループを使用してグループ ポリシー オブジェクト (GPO) を展開する手順を示して、コア ネットワークの構築方法を説明します。

このガイドは次のセクションで構成されます。

注意

このガイドは、次の場所から入手できます。

このガイドについて

このガイドでは、ドメインの OU 階層内のアカウントの場所ではなくメンバーシップ グループを使って、一連のクライアント コンピューターまたはユーザーに対してグループ ポリシー設定を展開する手順を説明します。

このガイドで説明する方法では、1 つのメンバーシップ グループを作成して、GPO を使って構成を受け取るユーザーまたはコンピューター アカウントをそこに追加します。 OU 階層のアカウントの場所ではなく、グループのメンバーシップによって、メンバーシップ グループに関連付けられた GPO の 1 つをコンピューターが受け取るかどうかが決まります。 また、Windows Management Instrumentation (WMI) フィルターを使って、コンピューターで実行している Windows のバージョンに対応する設定を含む GPO のみが確実に適用されます。

この方法を使用して GPO を展開する主な利点は次の 2 つです。

  • ドメインの OU 構造から完全に独立します。 1 つのコンピューターへの GPO の適用は、コンピューターの別の OU への移動や、OU 階層の再構築を意味することではなくなります。

  • GPO の設定の適用または適用停止が非常に容易です。 ユーザーまたはコンピューター アカウントをメンバーシップ グループから削除するだけです。 こうすると、ユーザーまたはコンピューターは GPO のスコープから除去され、そのユーザーまたはコンピューターに適用される他の GPO に影響することはありません。

このガイドの対象は、Windows Server 2012 コア ネットワーク ガイドの説明に従ってコア ネットワークを展開したネットワーク管理者およびシステム管理者、または Active Directory ドメイン サービス (AD DS)、ドメイン ネーム サービス (DNS)、動的ホスト構成プロトコル (DHCP)、TCP/IP、および Windows インターネット ネーム サービス (WINS) (オプション) などのコア ネットワークに含まれるコア テクノロジを既に展開したユーザーです。

この展開シナリオで使用される各テクノロジについてはそれぞれの設計ガイドや展開ガイドを参照することをお勧めします。 これらのガイドを使用して、自らの組織のネットワークに必要なサービスと構成がこの展開シナリオによってもたらされるかどうかを判断できます。

要件

注意

このガイドで説明する方法は、対象の GPO が組織の大半のコンピューターに展開されているが、Active Directory ドメインの OU 階層がそれらの GPO の展開ニーズとあまり調和していない場合のみ、使用することをお勧めします。 OU 階層でサポートされる場合は、GPO を展開する際に、適用対象のアカウントすべてを含む最も低いレベルの OU に GPO をリンクして展開します。

数百あるいは数千の GPO を含む大規模なエンタープライズ環境でこの方法を使用すると、ユーザーまたはコンピューター アカウントがメンバーになるグループ数が過剰になります。これにより、ネットワーク プロトコルの制限が超過されると、ネットワーク接続の問題が発生する可能性があります。 過剰な数のグループ メンバーシップに伴う問題の詳細については、マイクロソフト サポート技術情報の次の記事を参照してください。

グループ ポリシーを使用するための要件を次に示します。

  • グループ ポリシーを展開するには、ドメインとそのドメインに参加するコンピューターをホストする Active Directory ドメイン コント ローラーが必要です。

  • GPO を構成し、メンバーシップ グループを作成してメンバーを割り当てるには、Domain Admins グループのメンバーとしてログオンする必要があります。

このガイドで説明されていないもの

このガイドでは、AD DS を使用したグループ ポリシー インフラストラクチャの設計と展開に関する包括的な手順は説明しません。 このガイドのテクノロジを展開する前に、AD DS とグループ ポリシーに関するドキュメントを確認することをお勧めします。 詳細については、「その他の情報」を参照してください。

グループ ポリシーのテクノロジの概要

グループ ポリシーとは、すべての管理対象のコンピューターから (ネットワークに接続していない場合でも)、ユーザーがアプリケーション、アプリケーション設定、移動ユーザー プロファイル、およびユーザー データに一貫した方法でアクセスできるようにする管理テクノロジです。 グループ ポリシー設定は GPO に格納され、GPO はサイト、ドメイン、または Active Directory ドメイン内の OU にリンクされます。 GPO 内の設定は、対象のコンピューターとユーザーによって評価され、適用されます。 Active Directory ドメイン サービス (AD DS) を展開する主な理由の 1 つは、グループ ポリシーを使用してユーザーおよびコンピューター オブジェクトを管理できることです。

ほとんどの管理者は、GPO 展開を Active Directory ドメインの OU 階層に関連付けます。 GPO を OU にリンクすると、その OU またはその子孫のすべてのコンピューターとユーザーがポリシーを受け取って適用できます。 ただし、Active Directory ドメインには OU の階層を 1 つしか含めれらないため、コンピューターおよびユーザー アカウントが 1 つの OU に配置されることになります。 このため、ある問題の解決に適した OU 階層が、別の問題の解決にとっては適していないという状況が発生します。 たとえば、多くの組織は、代理管理をサポートするために OU の階層を設計します。 コンピューターおよびユーザー アカウントは OU に配置され、それに対して IT チームが責任を割り当てられます。 OU コンテナーに対する管理権限を IT チームに付与することで、IT チームがその OU 内にアカウントがあるコンピューターとユーザーを管理できるようになります。 この同じ階層は、組織全体のコンピューターに影響するグループ ポリシー設定を展開する際に効率的でない可能性があります。たとえば、サーバーとドメインの分離シナリオに対応するインターネット プロトコル セキュリティ (IPsec) 設定を展開するケースです。

また、あるバージョンの Windows の構成で、別のバージョンの Windows で使用されるポリシー設定とは異なるポリシー設定の使用が求められることがあります。 たとえば、Windows Server 2012、Windows Server 2008、Windows 8, Windows 7、および Windows Vista の IPsec 規則は、Windows Server 2003 およびそれ以前の Windows バージョンの IPsec 規則とは異なる部分の GPO で管理されます。 つまり、Windows Server 2012、Windows Server 2008、Windows Server 2003、Windows 8, Windows 7、および Windows Vista それぞれに対しては、同じ機能を実行する 6 個の GPO を使用することになります。 Windows Server 2003 GPO は以前のバージョンの Windows にも適用されます。