連載
» 2016年04月04日 05時00分 UPDATE

基礎から分かるグループポリシー再入門(18):「ポリシー」と「基本設定」の違いを理解する (1/2)

前回までは、コンピュータの管理に役立つグループポリシー設定項目を「ポリシー」と「基本設定」からピックアップして紹介してきた。今回は、ポリシーと基本設定、それぞれの項目の「違い」をあらためて整理する。

[新井慎太朗,株式会社ソフィアネットワーク]
「基礎から分かるグループポリシー再入門」のインデックス

連載目次

ポリシーと基本設定、両者の違いは?

 Active DirectoryはWindows 2000 Serverに合わせて開発されたディレクトリサービスであり、「グループポリシー」はActive Directoryドメイン環境でコンピュータの構成を標準化するために搭載された機能である。基本的な機能と概念は今でも変わっておらず、グループポリシーで利用可能な設定項目はWindowsの進化に合わせて追加され続けて現在に至っている。

 グループポリシーの「基本設定」配下の項目は、Windowsのバージョンアップで追加された代表的な例の1つだ。基本設定はWindows Server 2008で追加されたポリシー設定項目であり、それ以前のWindows 2000 Serverには存在しない(「ポリシー」項目があるだけ)(画面1)。そのため、ポリシーと基本設定の配下の項目は、それぞれ異なる特徴を備えている。両者を同じように扱ってしまうと、設定を変更した際などにトラブルの原因となる可能性もある。そこで今回は、ポリシーと基本設定、両者の違いをあらためて整理する。

画面1 画面1 「基本設定」はWindows Server 2008から追加された新しい項目

 ポリシーと基本設定が備える特徴の違いは、以下の表1のようになる。

「ポリシー」の配下 「基本設定」の配下
効果 強制される 強制されない
適用のタイミング GPO更新のたび GPO更新のたび、または1度だけ
適用対象の指定 リンクとアクセス許可設定に依存 ターゲットの指定も可能
表1 ポリシーと基本設定が備える特徴の違い

 それでは、それぞれの違いについて順番に整理していこう。

「効果」の違い

 まずは、「効果」の違いから説明していこう。ポリシー配下の項目は、“強制的な効果”となることが大きな特徴だ。強制的な効果とは、「ユーザーが設定を解除することができない」ということだ。

 例を挙げると、「ユーザーの構成」の「ポリシー」配下には、スクリーンセーバーが起動するまでの時間を設定する「スクリーンセーバーのタイムアウト」というポリシーがある。これを「600秒(10分)」に設定してグループポリシーを適用した場合は、ユーザーはその時間を変更することができない。ユーザーがスクリーンセーバーの設定画面を開いても、設定箇所がグレーアウトされて変更できないようになっている(画面2)。

画面2 画面2 「ポリシー」の配下は強制されるため、ユーザーが設定画面を開いてもグレーアウトされ、変更することができない

 対して、基本設定配下の項目は強制されないため、グループポリシーで適用された設定内容をユーザーは変更することができる。従って、本連載第13回「ログオンスクリプトをグループポリシーに置き換えるには?」で紹介した「ユーザーの構成」の「基本設定」配下にある「ドライブマップ」を定義したとしても、操作画面やメニューはグレーアウトされず、ユーザー自身が気に入らなければ変更したり、削除したりすることができる(画面3)。

画面3 画面3 「基本設定」の配下は強制されないため、ユーザーが設定を変更できる

 以上のように、ポリシーと基本設定には「強制されるか/されないか」という違いがある。両者の配下の項目を見比べてみると、どちらでも同じようなことを実現できるものが見つかるだろう。どちらを選択するか迷った場合には、強制する必要があるか/ないかを考慮するとよい。

       1|2 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。