連載
» 2016年01月07日 05時00分 UPDATE

基礎から分かるグループポリシー再入門(14):グループポリシーでファイルやフォルダー、レジストリを操作する (1/2)

前回は「ログオンスクリプトからの脱却」をテーマとして、ログオンスクリプトに代えてグループポリシーの「基本設定」を活用する方法を紹介した。今回も、「基本設定」の中から、企業での活用シナリオを紹介する。

[新井慎太朗,株式会社ソフィアネットワーク]
「基礎から分かるグループポリシー再入門」のインデックス

連載目次

ログオンスクリプトよりも「基本設定」を使おう

 企業や組織におけるクライアントコンピュータの管理では、以下のような構成を自動化するシナリオが考えられる。

  • クライアントコンピュータ上の特定のディレクトリにフォルダーを作成したい
  • ファイルをクライアントコンピュータに配布したい
  • クライアントコンピュータ上の特定のファイルやフォルダーを削除したい
  • クライアントコンピュータのレジストリ構成を変更したい

 こうしたクライアントコンピュータの構成作業は、従来は「ログオンスクリプト」で自動化してきただろう。だが、同じ作業をグループポリシーの「基本設定」を用いることで実現することができる。ログオンスクリプトでも「基本設定」でも、上記作業を自動化できることには変わりないが、同じことが実現できるのであれば「基本設定」の利用を勧めたい。

 その理由は、前回の「ログオンスクリプトをグループポリシーに置き換えるには?」でも紹介したように、ログオンスクリプトにはさまざまなテクノロジーが使われている可能性があったり、前任者が作成したスクリプトファイルを変更する際には内容の把握から始めなければならなかったりするからだ。

 管理作業の工数を増やさないようにするためにも、グループポリシーの「基本設定」を活用して、「簡単に」「誰でも分かる」ようにシステム環境の自動化や標準化を進めた方が後々楽になるのである。

 それでは、上記のシナリオを「基本設定」で実現する方法を紹介していこう。

ファイル/フォルダーを操作する

 まずは、クライアントコンピュータの特定のディレクトリにフォルダーを作成したり、ファイルを配布したりしたい場合のシナリオを考えてみよう。

 これをスクリプトで実現する場合、フォルダーの作成には「mkdir」コマンドを利用する方法が最初に思いつくだろう。ファイルの配布に関しては、配布したいファイルをファイルサーバ上の共有フォルダーに置き、クライアントコンピュータから共有フォルダーにアクセスしてファイルをコピーするといった方法が考えられる。この場合は、「copy」コマンドなどを用いてスクリプトを作成することになるだろう。

 しかし、グループポリシーの「基本設定」を使えば、コマンドを記述したスクリプトを作成することなく、同様の作業を自動化することができる。

 ファイルやフォルダーをグループポリシーで操作するには、「グループポリシーの管理」管理ツールを起動して、適用したい「グループポリシーオブジェクト」(GPO)の右クリックメニューから「編集」を選択して表示されるGPOの編集画面で次の項目を構成する。

ファイル/フォルダーを操作する

ファイルの操作

  • 「コンピューターの構成」−「基本設定」−「Windowsの設定」−「ファイル」
  • 「ユーザーの構成」−「基本設定」−「Windowsの設定」−「ファイル」

フォルダーの操作

  • 「コンピューターの構成」−「基本設定」−「Windowsの設定」−「フォルダー」
  • 「ユーザーの構成」−「基本設定」−「Windowsの設定」−「フォルダー」

 どちらも「コンピューターの構成」と「ユーザーの構成」のそれぞれの配下に項目がある。どちらを使うかは、GPOをリンクする場所によって選択すればよいだろう。今回は「ユーザーの構成」の配下から構成しているが、どちらも設定画面は共通なので戸惑うことはないはずだ。

 まずは、フォルダーの操作例から見ていこう。フォルダーを操作するには、「フォルダー」項目を右クリックして「新規作成」→「フォルダー」を選択する。すると、「新しいフォルダーのプロパティ」画面が表示される(画面1)。

画面1 画面1 GPOの「フォルダー」の設定画面→「全般」タブ

 「新しいフォルダーのプロパティ」画面の「アクション」欄で「作成」を選択し、「パス」欄に作成したいフォルダー名を含めたパスを入力する。基本となる設定はこれだけで完了だ。後は、クライアントコンピュータでGPOを更新すれば、クライアントコンピュータ内の指定されたディレクトリにフォルダーが作成される。

 管理目的でユーザーから見られないように「隠しフォルダー」として作成したい場合には、「属性」欄の「非表示」にチェックを入れる。ちなみに、今回は「作成」の説明をしているが、「アクション」欄で「削除」や「置換」を選択すれば、フォルダーを削除したり、フォルダー内のファイルを削除したりすることも可能だ。

 次に、ファイルの操作例を紹介する。基本的には、ファイルもフォルダーの場合とほぼ同じ操作で構成することができる。ファイルを操作するには、「ファイル」項目を右クリックして「新規作成」→「ファイル」を選択する。すると「新しいファイルのプロパティ」画面が表示される(画面2)。

画面2 画面2 GPOの「ファイル」の設定画面→「全般」タブ

 例えば、あるファイルをクライアントに配布する場合は、「アクション」欄で「作成」を選択し、「ソースファイル」欄に配布元となるファイルを、「ターゲットファイル」欄にクライアントコンピュータのどのディレクトリに、どのようなファイル名で格納するかをそれぞれ指定する。

 ここで気を付けてほしいのは、「ソースファイル」の指定だ。クライアントコンピュータは、「ソースファイル」欄に指定されたパスにアクセスしてファイルを取得する。つまり、ファイルを配布する場合は、ソースファイルをクライアントがアクセス可能な共有フォルダー上に格納し、「ソースファイル」欄の指定は「\\<サーバ名>\<共有フォルダー名>\<ファイル名>」の形式で指定する必要がある。「ソースファイル」に「C:\xxx.xxx」のように指定すると、クライアントコンピュータはファイルを取得できないので注意してほしい。

 「ターゲットファイル」欄にはクライアントコンピュータ上の格納先ディレクトリとファイル名を指定するが、格納先ディレクトリが存在しない場合には、そのディレクトリ(フォルダー)が自動的に作成されて、そこにファイルが保存される。

 ここで、もう一つ補足がある。グループポリシーの設定は、ローカルのSYSTEMアカウントによって処理される。そのため、「ソースファイル」で指定した共有フォルダーやファイルに対して適切なアクセス許可が設定されていないと、クライアントはファイルを取得できない。

 具体例を挙げると、共有フォルダーや配布ファイルのアクセス許可で「Everyone」に対して「読み取り」が設定されていれば、上記の設定でクライアントはファイルを取得することができる。しかし、特定のユーザーやグループだけにアクセス許可を与えている場合には、ファイルを取得することができない。

 このような場合のために、「基本設定」にはユーザーの権限で処理を行うためのオプションが用意されている。作成した項目のプロパティ画面の「共通」タブには、「ログオンしているユーザーのセキュリティコンテキストで実行する」チェックボックスが用意されている(画面3)。

画面3 画面3 GPOの「ファイル」の設定画面→「共通」タブ

 ここにチェックを入れると、ローカルのSYSTEMアカウントではなく、クライアントコンピュータを利用するユーザーのアクセス許可に基づいて処理が行われるようになる。従って、共有フォルダーや配布ファイルのアクセス許可で、特定のユーザーやグループにのみアクセスできるように構成している場合は、このチェックを入れておくとよい。

 なお、このチェックボックスは「ユーザーの構成」の配下でのみ利用可能で、「コンピューターの構成」の配下では利用できないことに注意してほしい。

       1|2 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。