連載
» 2015年03月25日 18時00分 UPDATE

基礎から分かるグループポリシー再入門(3):すぐに使えるグループポリシーの“鉄板”設定

「グループポリシー」を運用していく上で、最も重要な要素は“何を設定するか”だ。今回からはテーマを絞って、よく使われるグループポリシーの具体的な設定項目を紹介していく。

[国井傑(Microsoft MVP for Directory Services),株式会社ソフィアネットワーク]
「基礎から分かるグループポリシー再入門」のインデックス

連載目次

よく使われるグループポリシーの「鉄板」設定とは?

 「グループポリシー」を利用する最大のメリットは、社内にある複数のコンピューターに同じ設定をまとめて適用できることだ。それでは、社内のコンピューターにまとめて適用したい設定にはどのようなものがあるだろうか。いろいろな設定があると思うが、これはまず間違いなく適用したいという「鉄板」な設定があるはずだ。

 例えば、以下の設定は、企業の規模や業種を問わずに設定する項目ではないだろうか。

  • 社内のファイルサーバーにアクセスするための設定
  • 社内のプリンターを利用するための設定
  • プロキシサーバー経由でWebサイトにアクセスするためのInternet Explorerの設定
  • 特定のWebサイトにアクセスするためのInternet Explorerの設定

 今回はこれらの設定に関して、具体的にグループポリシー経由でまとめて設定を適用する方法を紹介する。

社内のファイルサーバーに簡単にアクセスするには?

 通常、社内のファイルサーバーには、「\\サーバー名\共有フォルダー名」のように指定してアクセスする。しかし、ユーザーとしては、毎回サーバーのパスを入力するのは面倒なはずだ。そこで、よく行われる設定が、共有フォルダーにドライブを割り当てて、アクセスを簡単にする方法になる。この設定を行うには、グループポリシーの次の項目を利用する。

  • 「ユーザーの構成」-「基本設定」-「Windowsの設定」-「ドライブマップ」

 グループポリシーの設定は「グループポリシー管理エディター」で行う。グループポリシー管理エディターは、「グループポリシーの管理」管理ツールより、編集したいグループポリシーオブジェクト(GPO)を右クリックし、「編集」を選択することで起動する。

 グループポリシー管理エディターが起動したら、左ペインで「ドライブマップ」を右クリックして、「新規作成」→「マップされたドライブ」を選択すると、「新しいドライブのプロパティ」画面が表示される(画面1)。ここで「場所」欄にユーザーがよくアクセスする共有フォルダーへのパスを「\\サーバー名\共有フォルダー名」形式で入力し、「ドライブ文字」欄で「次の文字を使用」にチェックを入れて、使用するアルファベット(ここでは「Z」)を指定する。

画面1 画面1 「ドライブマップ」のプロパティで、共有フォルダーのパスと使用するドライブ文字を指定する

 ここまでの設定が完了したら、あとはクライアントコンピューターにグループポリシーが適用されるのを待つだけだ。設定が適用されると、クライアントコンピューターのエクスプローラー内には「Zドライブ」が表示され、ダブルクリックすると共有フォルダーへ簡単にアクセスできる(画面2)。

画面2 画面2 Zドライブが共有フォルダーへのショートカットとなっている

社内のプリンターを利用するための設定

 USB接続のプリンターであれば、プラグ&プレイ機能によって接続するだけですぐに利用できる。しかし、ネットワーク経由で利用するオフィスのプリンターの場合は、自動的に利用開始とはいかない。今度は、グループポリシーからネットワーク上のプリンターを利用するための設定をまとめて適用し、ユーザーがすぐに利用できるようにする方法を確認してみよう。

 ネットワーク上のプリンターにはいくつかの種類があるが、ここではWindows Serverで「プリンター共有」が設定されているプリンターに接続する場合を確認する。Windows Serverのプリンター共有に接続するための設定をグループポリシーで行う場合は、次の項目を利用する。

  • 「ユーザーの構成」-「基本設定」-「コントロールパネルの設定」-「プリンター」

 グループポリシー管理エディターの左ペインで「プリンター」の項目を右クリックし、「新規作成」→「共有プリンター」を選択すると、「新しい共有プリンターのプロパティ」画面が表示される(画面3)。

画面3 画面3 「新しい共有プリンターのプロパティ」でプリンターの接続設定をまとめて行える

 「アクション」欄を「作成」に設定し、「共有パス」欄に共有プリンターへの接続パスを「\\サーバー名\共有プリンター名」形式で入力して、必要に応じて「このプリンターを通常使うプリンターとして設定する」にチェックを入れる。ここまでの設定が完了し、クライアントにグループポリシーが配布されると、クライアントコンピューターからネットワーク上の共有プリンターが利用できるようになる。

 ただし、共有プリンターへの接続設定をグループポリシー経由で行うときに注意しなければならない点がある。それは、プリンタードライバーの配布だ。Windowsコンピューターでは共有プリンターに初めて接続するタイミングで、必要なプリンタードライバーをプリンターサーバーからダウンロードするようになっている。

 しかし、そのプリンタードライバーが「デジタル署名付きのドライバー」でない場合(信頼されたドライバーではない場合)は、ドライバーのインストールに失敗し、共有プリンターの設定も適用されない。そのため、デジタル署名付きのドライバーでない場合でも自動的にドライバーがインストールされるように、以下のグループポリシーを設定する必要がある(画面4)。

  • 「コンピューターの構成」-「ポリシー設定」-「管理用テンプレート」-「プリンター」-「ポイントアンドプリントの制限」

画面4 画面4 署名付きでないドライバーのインストールを許可する「ポイントアンドプリントの制限」の設定項目

 「ポイントアンドプリントの制限」項目をダブルクリックで開いたら、プロパティで「有効」を選択する。その上で「新しい接続用にドライバーをインストールした場合」と「既存の接続用にドライバーをインストールした場合」の項目で、「警告または昇格時のプロンプトを表示しない」を選択する。この設定により、プリンタードライバーの種類を問わず、自動的にプリンタードライバーがインストールされるようになる。

プロキシサーバー経由でWebサイトにアクセスするためのIE設定

 社内ネットワークからインターネット上のWebサイトにアクセスする場合は、プロキシサーバー経由で接続することが多いはずだ。「Internet Explorer(IE)」でプロキシサーバーを利用するには、各クライアントコンピューターでプロキシサーバーの設定が必要だが、この設定もグループポリシーでまとめて適用しよう。

  • 「ユーザーの構成」-「基本設定」-「コントロールパネルの設定」-「インターネット設定」

 「インターネット設定」の項目を右クリックして、「新規作成」→「Internet Explorer 10」をクリックすると、IEのプロパティ画面と全く同じ画面が表示される。プロキシサーバーの設定は、IEのプロパティ画面と同じように「接続」タブの「LANの設定」から行う(画面5)。本来、この設定はコンピューターごとに行う必要があるのだが、グループポリシーで設定すれば、全てのコンピューター(ユーザー)にまとめて適用できるのだ。

画面5 画面5 プロキシサーバーの設定は、IEと同じように「接続」タブの「LANの設定」から行う

 なお、本稿ではIE 10のメニューを操作しているが、IE 11でも同様の設定が可能だ。IEのバージョンごとにおける対応や設定項目の違いなどについては、次の記事でも紹介されているので、併せて参考にしていただきたい。

特定のWebサイトにアクセスするためのIE設定

 IEを利用してWebサイトにアクセスする場合、アクセスするWebサイトによってIEの設定を変更することなどができる。その代表ともいえるのが「ゾーン」の設定だ。IEでは、アクセスするWebサイトを「インターネットゾーン」「イントラネットゾーン」「信頼済みサイトゾーン」などに分け、ゾーンによって異なるセキュリティ設定でWebサイトにアクセスできるようにしている。

 ところが、近年の複雑化したWebサイトの構成では、このセキュリティ設定が原因でWebサイトが正しく表示されないケースがある(特にSharePointサイトは影響を受けやすい)。

 そこで、あらかじめデフォルト設定のままでWebサイトにアクセスすると影響が及ぶような場合、グループポリシーで最初からゾーンの設定を変更しておき、ユーザーがWebサイトにアクセスできないようなことがないように構成したい。

 ここでは例として、社内のユーザーがSharePointで構成されたWebサイトにアクセスする場合で考えてみよう。SharePointのWebサイトにアクセスする場合、SharePoint Serverの場合でも、Office 365で提供されるSharePoint Onlineの場合でも、「信頼済みサイト」ゾーンにあらかじめ登録しておくことが望ましい。このような場合、グループポリシーでSharePointサイトのURLを信頼済みゾーンに登録しておく。

 グループポリシーからIEのゾーン設定を変更する場合には、次の項目を利用する。

  • 「ユーザーの設定」-「ポリシー」-「管理用テンプレート」-「Windowsコンポーネント」-「Internet Explorer」-「インターネットコントロールパネル」「セキュリティページ」-「サイトとゾーンの割り当て一覧」

 「サイトとゾーンの割り当て一覧」項目を開き、設定を有効にして「表示」をクリックすると、WebサイトのURLとそのURLに対応するゾーンを設定できる(画面6画面7)。

画面6 画面6 グループポリシー管理エディターで「サイトとゾーンの割り当て一覧」を開く
画面7 画面7 WebサイトのURLとそのURLに対応するゾーンを設定する

 前述のようにSharePointサイトを信頼済みサイトとして登録したい場合、登録画面の左側にはURL、右側にはゾーンに対応する番号をそれぞれ入力する。信頼済みサイトは「2」に当たるため、画面右側には「2」と入力する。

 その他、イントラネットゾーンの場合は「1」、制限付きゾーンの場合は「4」と設定するとそれぞれのURLを管理者が思い描いたゾーンに登録することができる(デフォルトのゾーンはインターネットゾーンであるため、この設定でインターネットゾーンを設定することはないだろう)。

 設定が終わったら、全てのダイアログで「OK」ボタンを押せば完了だ。あとは、グループポリシーが適用されれば、IEの信頼済みサイトにSharePointサイトのURLが登録されていることが確認できる。

 今回は、グループポリシーを利用して会社でよく使う鉄板設定について見てきた。この他にも「うちの会社ではこの設定は欠かせない」という設定項目もあるだろう。その他の項目については次回以降登場するので、楽しみにしていただきたい。

「基礎から分かるグループポリシー再入門」バックナンバー

筆者紹介

国井 傑(くにい すぐる)

株式会社ソフィアネットワーク取締役。1997年よりマイクロソフト認定トレーナーとして、Active DirectoryやActive Directoryフェデレーションサービス(ADFS)など、ID管理を中心としたトレーニングを提供している。2007年よりMicrosoft MVP for Directory Servicesを連続して受賞。なお、テストで作成するユーザーアカウントには必ずサッカー選手の名前が登場するほどのサッカー好き。


Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。