グループポリシーの仕組み、理解できていますか?基礎から分かるグループポリシー再入門(1)

Active Directoryには、コンピューターやユーザーの設定を一元管理するための「グループポリシー」が提供されている。しかし、これを有効活用できていないという話を聞くことは多い。本連載では、グループポリシーの仕組みや導入方法、効果的な活用方法を紹介していく。

» 2015年01月30日 18時00分 公開
[国井傑(Microsoft MVP for Directory Services),株式会社ソフィアネットワーク]
「基礎から分かるグループポリシー再入門」のインデックス

連載目次

利用ケースでグループポリシーの具体的な設定を紹介

 「グループポリシー」は、ユーザーやコンピューターに対する設定を一元的に管理するためのActive Directoryの仕組み(機能)である。セキュリティを強化したり、Windowsの機能を有効/無効にしたりするといった目的で、企業内で扱うコンピューター/ユーザーを同じ設定にしたい場合に活用する。

 「同じ設定」は企業によってさまざまだが、Windows Server 2012 R2のグループポリシーでは3000以上の設定項目が用意されているので、具体的に何ができるかを把握するのも難しい。

 本連載では第1回、第2回でグループポリシーの基本的な利用方法を確認し、第3回以降で具体的な設定を利用ケース別に紹介する予定だ。本連載で紹介するグループポリシーの設定例を見て、「これは自分の会社で使えそうだ」というものがあれば、ぜひ活用してほしい。

Active Directoryはグループポリシー利用の大前提

 グループポリシーを利用するには、Active Directory環境が前提になる。また、グループポリシーの設定はドメインやOU(Organizational Unit:組織単位)に割り当てるため、ドメイン/OUに含めるユーザーやコンピューターを事前に整理しておくことも重要だ。

 例えば、「支社のユーザーには[コントロールパネル]を利用させたくない」というニーズがあったとしよう。この場合、支社のユーザーだけにグループポリシーの設定が適用されるように、支社のユーザーだけが含まれるOUを事前に作成しておかなければならない。

 以上のように、グループポリシーを利用する際のOUの構造は、どのように設定を割り当てていくかを考えながら決定していく必要がある。ユーザーであれば、グループポリシーを割り当てる単位は「部署」「営業所」「従業員形態(正社員や派遣社員など)」になるだろう(図1の右側)。コンピューターであれば、サーバーとクライアントの他、ドメインコントローラサーバーとメンバーサーバー、デスクトップPCクライアントとノートPCクライアントなどに分けてOUを作成することが考えられる(図1の左側)。

図1 図1 OUの構造例。左側がコンピューター用で、右側がユーザー用OU

 実際には、グループポリシーでやりたいことが決まらないと、OUの構造は決められない。本連載を参考にOUを設計する場合は、今後の連載を読み進めて決定するとよいだろう。

グループポリシーの仕組みと基本的な設定方法

 グループポリシーの設定は、大きく分けて二つの項目で構成される。一つは、グループポリシーの設定項目が含まれる「グループポリシーオブジェクト」(以下、GPO)。もう一つは、GPOの適用先を決定する「リンク」だ。

 先ほど例に挙げた「支社のユーザーには[コントロールパネル]を利用させたくない」という設定は、GPOで「コントロールパネルを使わせない」という設定を行い、リンクでGPOと支社のユーザーOUを関連付けることになる。

 グループポリシーの設定で利用するのが、「グループポリシーの管理」ツール(Group Policy Management Console:GPMC)だ。GPMCは「サーバーマネージャー」のツールメニューから起動し、以下の方法でグループポリシーに関する各種設定を行う。

GPOの作成

 GPOを作成するには、GPMCの左ペインにある「グループポリシーオブジェクト」の右クリックメニューから「新規」を選択すればよい(画面1)。既定で「Default Domain Policy」と「Default Domain Controllers Policy」がすでに作成されているが、この二つのGPOにはセキュリティ上、重要な設定が入っているので絶対に削除しないようにしてほしい。

画面1 画面1 GPOを新規作成するには「グループポリシーオブジェクト」の右クリックメニューから「新規」を選択する

GPO設定項目のカスタマイズ

 GPOに設定を施す場合には、設定したいGPOの右クリックメニューから「編集」を選択して、「グループポリシー管理エディター」という編集画面を開く。この編集画面の中で、グループポリシーの設定を行う。例えば、以下の画面2では、グループポリシーの設定で「コントロールパネル」を使えないように構成している。

画面2 画面2 「グループポリシー管理エディター」からコントロールパネルを制御する項目を開き、使用を禁止にする

 各項目をダブルクリックしてプロパティを開くと、その項目に対する設定を行うことができる。「コントロールパネルとPC設定へのアクセスを禁止する」の場合は、「有効」に設定するとコントロールパネルが利用できなくなる。

GPO設定の内容確認

 GPOは、非常に多くの設定項目を持つ。そのため、後から何を設定したかを確認するのは非常に面倒だ。そこで、GPMCには、GPOの設定内容を一覧で確認できる方法が用意されている。特定のGPOを選択して右ペインから「設定」をクリックすると、設定内容を確認できる(画面3)。GPOで何を設定したか忘れたときは、この設定画面で確認しよう。

画面3 画面3 GPOを選択して右ペインから「設定」をクリックすると、設定内容を確認できる

GPOのリンク設定

 作成したGPOは、サイト、ドメイン、OUのいずれかにリンクする。設定は、サイト、ドメイン、OUのいずれかを右クリックしてメニューから「既存のGPOのリンク」を選択し、リンクさせたいGPOを指定する(画面4)。

画面4 画面4 GPOのリンク設定。「既存のGPOのリンク」を選択して、リンクさせたいGPOを指定する

GPOのリンクを設定するための基本ルール

 グループポリシーの設定項目には、「コンピューターの構成」と「ユーザーの構成」の二つがある(図2)「コンピューターの構成」はコンピューターに、「ユーザーの構成」はユーザーにそれぞれ適用される。

図2 図2 GPOの「コンピューターの構成」はコンピューターに、「ユーザーの構成」はユーザーに適用される

 そのため、「コンピューターの構成」だけを設定したGPOをリンクする際には、ユーザーしか登録していないOUにリンクすることがないように気を付けよう。「コンピューターの構成」はコンピューターに適用されるので、リンク先のOUにコンピューターオブジェクトがなければ、そのポリシーは誰にも適用されることはない。

 また、複数のGPOを作成してリンクを設定していると、1人のユーザー(またはコンピューター)に対して複数のGPO設定が適用される場合がある。その場合、それぞれのGPO設定は、統合される。しかし、それぞれのGPOに相反する設定があった場合には、適用の優先順位は次のようになる。

優先順位 GPO設定
1 OU(OUが階層構造になっている場合は子OUを優先)
2 ドメイン
3 サイト

 例えば、以下の図3のように、ドメイン、ユーザー用OU、営業部用OUにそれぞれGPOがリンクされていたとしよう。このとき、ドメインにリンクしているGPOは「[スタート]メニューから[ゲーム]アイコンを削除する」設定を「有効」にしているため、ドメイン内の全てのユーザーはゲームを利用できない。

図3 図3 複数のGPO設定は統合されるが、相反する設定は(子)OUの設定を優先する

 一方、ユーザー用OUにリンクしているGPOでは「[スタート]メニューから[ヘルプ]を削除する」設定を「有効」にしているので、ユーザー用OU内の全てのユーザーはヘルプメニューを利用できないはずだ。

 しかし、営業部用OUにリンクしているGPOでは「[スタート]メニューから[ヘルプ]を削除する」設定を「無効」にしている。

 このように相反する設定を含むGPOがリンクされている場合は前述の優先順位(子OU→親OU→ドメイン→サイト)で適用されるルールが決まるため、子OUである「営業部用OUのGPO」が最優先で適用される。つまり、営業部用OU内のユーザーは、ヘルプメニューを利用できることになる。

【column】パスワードポリシーの優先順位

 グループポリシーの設定はここまで説明した通り、優先順位(OU、ドメイン、サイトの順)で適用される。しかし、GPOの「パスワードポリシー」だけは、“ドメイン”にリンクされたGPOの設定が必ず適用される。そのため、OUにリンクされているGPOにパスワードポリシーを設定しても、適用されないので注意しよう。なお、既定ではDefault Domain Policy GPOがドメインにリンクされており、このパスワードポリシーの設定が適用されている。


 今回はグループポリシーの基本的な仕組みと設定方法について紹介した。次回は、この知識をベースに具体的な運用で役立つグループポリシーのトピックを紹介する。

「基礎から分かるグループポリシー再入門」バックナンバー

筆者紹介

国井 傑(くにい すぐる)

株式会社ソフィアネットワーク取締役。1997年よりマイクロソフト認定トレーナーとして、Active DirectoryやActive Directoryフェデレーションサービス(ADFS)など、ID管理を中心としたトレーニングを提供している。2007年よりMicrosoft MVP for Directory Servicesを連続して受賞。なお、テストで作成するユーザーアカウントには必ずサッカー選手の名前が登場するほどのサッカー好き。


Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。