特集 Windows Server 2003完全ガイド

複雑さが軽減されたグループ・ポリシーの管理機能
―― Windows Server 2003では、グループ・ポリシー利用の障害となっている複雑さを解消し、Windowsデスクトップの管理コスト削減を目指す ――

1.従来の問題点と改良のポイント

Michael Cherry
2003/02/18
Copyright(C) 2003, Redmond Communications Inc. and Mediaselect Inc.

 
本記事は、(株)メディアセレクトが発行する月刊誌「Directions on Microsoft日本語版」 2003年1月15日号 p.8の同名の記事を許可を得て転載したものです。同誌に関する詳しい情報は、本記事の最後に掲載しています。
編集部注:本記事のオリジナルであるディレクションズ オン マイクロソフト日本語版では、旧来の表記である「Windows .NET Server」が使われていますが、本稿では、マイクロソフトの発表に従い「Windows Server 2003」に表記を変更しています。ご了承ください。

 多数のコンピュータを保守するコストを削減したいと考える企業は、Windows Server 2003で標準のコンピュータ設定を一元管理するための機能、グループ・ポリシーの改善点を検討してみるとよい。

 グループ・ポリシーはActive Directory(AD)を必要とし、使い方やトラブル・シューティングが難しいため、これまで管理者の多くはグループ・ポリシーを使うことに消極的だった。Windows Server 2003では、グループ・ポリシーの使い方が簡素化され、デバッグも容易になっており、管理者の不安は軽減されるはずだ。ただし、設定と管理にグループ・ポリシーを使用するアプリケーションがほとんどないため、依然として「総合的なコンピュータ管理ソリューション」というよりも、もっぱら「Windows設定用ソリューション」にとどまっている。

 アーキテクチャ面で、グループ・ポリシーはそれほど大きく変わっていない。主な変更点は、Windows Server 2003の改善によってポリシーがユーザーとコンピュータに適用されるプロセスが分かりやすくなっている点(プランニングやモニタリングに役立つ)、ポリシーの設定をより細かく調整できるようになっている点など。

 さらにMicrosoftは、グループ・ポリシーを管理するためのツールとしてグループ・ポリシー管理コンソール(GPMC)を提供する。同社では、このツールを2003年のWindows Server 2003の一般リリースとほぼ同時に提供するとしている。

複雑さがネックに

 グループ・ポリシーは、システム・ポリシーの弱点と総所有コスト(TCO)の問題を解消するために、Windows 2000 Serverで初めて導入された。TCOは当時、ネットワーク・コンピュータを推進する競合陣営が盛んに強調していたポイントだ。

 Active Directory(AD)とともにグループ・ポリシーを利用すれば、管理者はWindows 2000/XPデスクトップの設定を中央で標準化し、一元管理できる。その狙いは、グループ・ポリシーによってWindowsデスクトップのサポート費用を軽減することだ。この方法ならば、ユーザーが自分で設定を変更したり、何気ない操作でトラブルの原因を生み出す心配がなくなる。また、一貫性のある標準の設定を用いれば、サポートとトレーニングの手間も軽減できる。

 管理者はグループ・ポリシーでWindowsの設定を定義し、ADによって管理されている個々のユーザーとコンピュータにそれらの設定を適用できる。例えば、企業は組織単位(OU)と呼ばれるADコンテナに販売部門のユーザーを集め、そのOUに対してポリシーを適用することで、それらのユーザーのWindows設定を一元管理できる。

 管理者は販売部門のマネージャと協力して、それぞれの従業員の業務遂行にどの機能とアプリケーションが必要かを判断する。例えば、販売スタッフの場合、「プログラムはスタート・メニューからのみ実行できるようにして、デスクトップにマイネットワーク・アイコンは置かず、Officeは各コンピュータにインストールする」といった具合だ。

 その場合必要となるのは、実行コマンドを削除し、マイネットワーク・アイコンをデスクトップで非表示とし、Officeを確実にインストールするためのポリシーだ。管理者はグループ・ポリシーを使って、こうしたポリシーを作成し、販売部門のOUに関連付ければよい(グループ・ポリシーの詳細は、別掲のコラム「グループ・ポリシーの詳細」参照)。

■従来の問題点
 これまでグループ・ポリシーの利用が進まなかった最大の理由は、「グループ・ポリシーを使うにはADが必要」という、いたって単純なものだった。グループ・ポリシーの設定はGroup Policy Object(GPO)に格納され、GPOがADサイト、ドメイン、あるいはOUと関連付けられる。コンピュータの起動時やユーザーのログオン時、どのポリシーが適用されるかは、そのユーザーやコンピュータがADコンテナのどの階層に位置するかによって異なる。そのため企業は、まず先にADを導入した上でグループ・ポリシーを導入する必要がある。

 グループ・ポリシーにとって第2の壁は、それ自身の複雑さだ。グループ・ポリシーは強力なツールだが、使い方を理解し、習得するのは難しい。複雑になったのは、Microsoftが初期の設計において、シンプルな管理シナリオだけでなく、ディレクトリ階層でユーザーやコンピュータを管理する複雑なシナリオにも対応できるようにしたためだ。その結果、グループ・ポリシーの導入は手強い作業になった。

 特に、どのコンピュータにどのユーザーがログオンするかによって適用するポリシーを変える必要がある場合は厄介だ。ユーザーやコンピュータにポリシーやフィルタを追加しているうちに、最初は有効だったはずのポリシーが後から無効になってしまうこともある。そうした場合、業務に支障をきたしたユーザーから苦情が届くまで、管理者が問題に気付かないケースも少なくない。そして管理者は、有効であるはずのポリシーがなぜ無効になっているのかを見極め、問題を解決するために奮闘することになる。

 また、ポリシーは同じものを多くのユーザーに適用できるため、ポリシーの不適切な適用が広範囲に悪影響を及ぼす可能性もある。こうしたRSoP(ポリシーの結果セット)のデバッグと修正は難しい。そのため、Windows 2000 Serverでグループ・ポリシーが提供されてからというもの、多くの管理者がMicrosoftに対して、ポリシーを適用する前にポリシーセットの影響を評価できるようなツールを提供するように求めていた。

 グループ・ポリシーがADに依存するのと同様、Windows 2000 ServerのIntelliMirror機能はグループ・ポリシーに依存する。IntelliMirrorは、ユーザーがどのコンピュータからログオンしても、常に自分のデータ、ソフト、個人設定を利用できるようにするための機能だ。しかし、IntelliMirrorとグループ・ポリシーはその魅力的な機能にもかかわらず、ADやグループ・ポリシーの利用を推進するまでには至っていない。

 Microsoftはこうした問題点の解消に、2つの側面から取り組んでいる。1つはAD導入の簡略化(2002年8月28公開の「Insider's Eye:Active Directoryが次期Windowsで飛躍的進化」参照)であり、2つめがグループ・ポリシーの大幅な改良だ。

 例えばMicrosoftは、グループ・ポリシーのあらゆる側面を管理し、グループ・ポリシーのプランニング、監視、全般的なトラブル・シューティングを容易にするための新ツールを開発している。同社はまた、ポリシー設定の柔軟性を高め、ユーザーやコンピュータに適用するポリシーを細かく使い分けられるようにしているほか、管理者がレジストリ設定管理に使用するテンプレート情報を改善するなど、さまざまな改良を行っている。

プランニングと新たなシナリオ

 Windows Server 2003では、適用するポリシーによってユーザーやコンピュータにどのような影響が出るか判断できるほか、ADクロスフォレスト・シナリオでグループ・ポリシーを適用したり、特定のポリシーがどのプラットフォームでサポートされるかも確認できる。

■グループ・ポリシーのモデリングとレポーティング
 Microsoftはグループ・ポリシー実装のプランニングとレポーティングで管理者を支援するために、Windows Server 2003のグループ・ポリシーインフラを拡張し、新たにグループ・ポリシー管理コンソール(GPMC)ツールとRSoPスナップインツールを用意した。

 RSoP情報は、2つのモードで利用できる。1つは、ポリシーセットがコンピュータやユーザーに及ぼす影響を調べるための“計画(モデリング)モード”。もう1つは、ポリシーが適用されたコンピュータやユーザーの状態を評価するための“ログモード”だ(計画モードのスクリーンショットについては以下の画面「グループ・ポリシーモデリング」を参照)。

グループ・ポリシーのモデリング
RSoP(ポリシーの結果セット)スナップインを計画モードで使用し、どのポリシーが適用されるか確認できる。この例は、スタート・メニューとタスク・バーに適用されるポリシーを確認しているところ。このポリシー設定では、ユーザーに実行コマンドは表示されない。またユーザーはタスク・バーやスタート・メニューの設定を変更できず、クラシックなWindowsのスタート・メニューが表示されるようになっている。管理者はグループ・ポリシー管理コンソール(GPMC)でもRSoPデータを利用できる。

 管理者が拡張機能を実行してRSoPデータを生成する前に“状況に即した条件(what-if)”を検討できるように、MicrosoftはGroup Policy Data Access Service(GPDAS)を提供する。この機能を利用すれば、拡張機能をシミュレートし、必要なプランニングデータを生成することが可能だ。

 また、RSoPのログ、レポート作成に必要なデータを生成するために、ポリシーーを処理するサーバとクライアントの拡張機能はすべてWMI(Windows Management Instrumentation)インターフェイスを使って、ログモードのデータを記述するようになっている。ログモードで実行すると、RSoPスナップインはそれぞれの拡張機能がGPOを処理する際に記述した実際のWMIデータを照会する。管理者はそれによって、どのポリシーが適用されたのか、すべてのフィルタリング、ブロッキング、インヘリタンスを考慮した上で、結局どのGPOがそのポリシーの適用に影響したのかなどを判断できる。

■クロスフォレストのサポート
 Windows Server 2003では、GPOをフォレスト間でも処理できる。例えば、企業のシステムに2つのフォレスト(AとB)がある場合、フォレストAのOUによって管理されているユーザーが、フォレストBのOUによって管理されているコンピュータにログオンするといったことが可能になる。この場合、コンピュータ(フォレストB)には起動時に適切なポリシーが適用され、ユーザー(フォレストA)にはログオン時に適用される(クロスフォレスト・シナリオについては、「前出の「Insdier's Eye:Active Directory が次期Windowsで飛躍的進化」参照)。
 
■“サポートされているキーワード”
 管理者がポリシーを正しく適用できるように、管理テンプレートには設定したいポリシーがWindowsの特定バージョン(Windows 2000とWindows XP)で有効かどうかを判断するためのキーワードが含まれる。例えば、Windows XPの一部機能はWindows 2000には存在しない。

きめ細かな管理

 Windows 2000では、フィルタリング、ブロッキング、インヘリタンスなどの方法でポリシーを細かく設定できたが、そのことがグループ・ポリシーの複雑さの一因にもなっていた。にもかかわらず、Microsoftは今回も、ソフトの制限、WMIフィルタリングなど、さらに細かな設定方法を提供している。

■ソフトの制限
 インターネット時代においては、ユーザーが不正ソフトをダウンロードして社内に持ち込む可能性は少なくない。グループ・ポリシーではこうした現実に対処するため、「組織としてどのソフトを信頼するか」を管理者が宣言し、ユーザーがそうした“信頼できるソフト”だけを実行するよう管理できる。

 管理者は、Group Policy Object Managerスナップインを使ってソフトの制限を作成する。このスナップインを使えば、新しいソフトが信頼できるものか否かを4つの基準で識別するポリシーを作成できる。その基準とは、ソフトのハッシュ(デジタル“指紋”)、証明書(ソフト作成者のデジタル署名)、実行ファイルのフルパス名、ダウンロード元のIEインターネット・ゾーン(インターネット、イントラネット、制限付きサイト、信頼済みサイト、マイコンピュータ)の4つだ。

■WMIフィルタリング
 管理者はWMIデータを使って、ポリシーの処理をフィルタリングできる。つまり、マシンのハード、設定、状態特性を利用して、ポリシーを適用するかどうかを判断することが可能だ。例えば、WMIフィルタリングでIPSecポリシーを設定し、特定のネットワーク・インターフェイス・カード(NIC)を搭載したコンピュータだけにポリシーを適用することができる。ただし、フィルタリングのメカニズムとしては強力だが、これ利用する場合は慎重でなければならない。多数のWMIフィルタの処理は、コンピュータの起動やログオンに要する時間に影響を及ぼすからだ。

■新しい各種のセッティング
 グループ・ポリシーには、管理者がWindowsデスクトップの管理に利用できる900種類以上のポリシー・セッティングが用意されている。例えば、Terminal Serverの管理、アプリケーションの相互運用性、ネットワーキング(SNMP、QoS、ファイアウォール、ダイヤルアップ)、DNSログオン、IntelliMirror、コントロール・パネルの新しいセッティング、Windows Media Playerの管理などに関するものがある(Windows 2000 ServerのService Pack 3には約500種類のポリシー・セッティングが含まれる)。

 

 INDEX
  [特集]Windows Server 2003完全ガイド
  複雑さが軽減されたグループ・ポリシーの管理機能
   1.従来の問題点と改良のポイント
     2.グループ・ポリシー管理コンソール(GPMC)
 
目次ページへ  Windows Server 2003完全ガイド

@IT Special

- PR -

TechTargetジャパン

Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る

ホワイトペーパーTechTargetジャパン

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
ソリューションFLASH