 |
|
[Windows基礎解説]グループ・ポリシーのしくみ ―― 統一的なクライアント管理を実現するActive Directoryグループ・ポリシーを知る ―― 第2回 グループ・ポリシーとは何か1.グループ・ポリシーにおける改良点畑中 哲2006/02/23 |
|
|
|
|
|
Index
|
||||||||||||||
|
前回は、「グループ・ポリシー」を理解する準備として、その前身である「システム・ポリシー」について解説した。システム・ポリシーとは、簡単にいえば、コンピュータのレジストリ設定を統一管理するためのメカニズムであり、例えばユーザーのデスクトップ環境を変更/統一したり、Webブラウザの設定を変更したりできる。だが、システム・ポリシーではレジストリの設定しか操作することができないし、階層的な管理ができない、デフォルト設定に戻すのが困難、用意されているテンプレート機能が不足など、機能的に不十分な点も少なくない。特に、大規模な組織では、システム・ポリシーでは十分に管理することが困難である。
このような問題を解決するため、Active Directoryでは新たにグループ・ポリシーというメカニズムが導入された。今回はこのグループ・ポリシーの概要について解説する。
グループ・ポリシーにおける改良点
Windows 2000のActive Directoryでは、システム・ポリシーに代わって新たにグループ・ポリシーが導入された。名前は似ているが、内容は大幅に拡充されている。まずは、グループ・ポリシーがシステム・ポリシーの欠点をどのように解消しているのか、その概要を見てみよう。
レジストリ以外の複雑な設定も可能
システム・ポリシーではレジストリの設定しかできなかったことは前回述べたとおりである。これに対してグループ・ポリシーでは、より拡張性を重視した設計になっている。必要に応じて拡張用DLLを組み込み、ポリシーの設定と適用を拡張できるようになった。Windows OSには、標準で拡張用DLLが複数提供されているが、マイクロソフト以外のベンダが独自のポリシーを提供することもできる。
これによって、レジストリ以外の複雑な設定もできるようになった。例えば、ソフトウェアの配布、レジストリやファイルのアクセス権設定などがグループ・ポリシーで行えるようになっている。
レジストリに対するポリシーはグループ・ポリシーでも依然として重要な柱だが、それはグループ・ポリシーという枠組みの中の拡張の1つにすぎない。グループ・ポリシーを利用すれば、例えば次のような項目を設定することができる。これらは単純なレジストリ設定だけでは実現できない機能である。
| 設定項目 | 設定内容 |
| セキュリティ設定 | ファイルやレジストリのアクセス権を設定する |
| ソフトウェアの配布 | Windowsインストーラを利用して、ソフトウェアを自動的にかつ一律にインストールする。また、ユーザーが初めてアプリケーションを起動しようとすると、それに先立って、まずアプリケーションを自動的にインストールする |
| スタートアップなどのスクリプト | コンピュータの起動時、終了時などにスクリプトを実行する |
| Internet Explorerの設定 | セキュリティ・ゾーンとドメインのマッピングの定義や「お気に入り」へのリンクの追加/削除を行う |
| フォルダのリダイレクト | マイ・ドキュメントなどのフォルダを、各コンピュータのローカルからファイル・サーバへリダイレクトする |
 |
|
| 単純なレジストリ設定にとどまらない設定項目の例 | |
ポリシーの定義と適用の階層化
システム・ポリシーでは、ポリシーの割り当ての対象はコンピュータ、グループ、ユーザーだけだった。そのため、それぞれの所属に応じて適用されるポリシーを変化させるような階層化は困難だった。階層化にかろうじて利用できるのは、グループに対するポリシーとそれらの間の優先度があったにすぎない。
グループ・ポリシーでは、各コンピュータのローカル、そしてActive Directoryのサイト、ドメイン、組織単位(OU)のそれぞれにポリシーを割り当てることができる。これによって、コンピュータに対する設定、ユーザーに対する設定が階層化できるようになった。親階層に割り当てたポリシーは、子階層へも継承して適用される。同一階層内でもさらに複数のポリシーを優先度を付けて割り当てることができる。
 |
||||||||||||||||||||||||
| 階層化された割り当て | ||||||||||||||||||||||||
グループ・ポリシーでは、各コンピュータのローカル、Active Directoryのサイト、ドメイン、組織単位(OU) のそれぞれにポリシーを割り当てることができる(この図はポリシー適用の優先度を加味して表しているため、厳密な階層構造とはやや異なる)。
|
子OU中のコンピュータ
グループ・ポリシーの処理優先度階層化したときの結果
システム・ポリシーでは、管理者が自分自身で綿密に立案/シミュレートするか、実際に適用させてみなければ、ポリシーが適用された結果が最終的にどうなるか分からなかった。階層化が不十分だったため単純な適用しかできず、結果の確認を支援するような機能があまり必要とされなかったともいえる。
グループ・ポリシーでは、「ポリシーの結果セット(RSoP:Result Set of Policy)」や「グループ・ポリシー管理コンソール(GPMC:Group Policy Management Console)」といった支援機能/ツールが提供されており、ポリシーの適用対象のどの階層においてどのような結果を得られるのか、確認することができる。
 |
||||||||||||
| グループ・ポリシーの「ポリシーの結果セット(RSoP)」ウィザード | ||||||||||||
グループ・ポリシーでは複数のポリシーがさまざまな条件に応じて各コンピュータへ適用される。複数の条件とポリシーが影響し合った結果どのような設定がもたらされるのかを確認するためには、いくつかのツールを利用することができる。RSoPもその1つである。この画面では、ドメインの特定のOUに所属しているユーザーと、ドメインの通常のコンピュータにどのようなポリシーが適用される結果になるのかをシミュレートしようとしている。
|
ポリシーの一貫性
システム・ポリシーでは、どのレジストリ・キーに値を設定するかが必ずしも統一されていなかった。このため、特にユーザーのレジストリ(HKEY_CURRENT_USER)の場合は、(通常)ユーザー本人に書き込みアクセス権があるため、ポリシーが適用された後に各ユーザーが再びレジストリ値を変更してしまう可能性もあった。
グループ・ポリシーでは、レジストリに対するポリシー設定は、Policiesキーに集中させている(HKEY_CURRENT_USERおよびHKEY_LOCAL_MACHINEの、Software\PoliciesキーとMicrosoft\Windows\CurrentVersion\Policiesキー)。Policiesキーへはデフォルトでアクセス権が厳しくなっている。従って、たとえユーザーのレジストリ(HKEY_CURRENT_USER)以下のPoliciesキーであっても、各ユーザーが勝手に改変することはできない。
また、各コンピュータ上でレジストリに対してどのようなポリシーが適用されたかを記録するようになった。これにより、システム・ポリシーにあったような「tattoo effect」は基本的になくなった(tattoo effectとは、1度設定した効果がずっと残り続けること。前回の記事参照)。レジストリに対するポリシーを「未構成」にすれば、それまでポリシーが設定していた値はレジストリから削除され、ポリシーの対象システム/コンポーネントはデフォルトの動作に戻る。また、コンピュータやユーザーにポリシーがいったん適用された後、そのコンピュータやユーザーがポリシーの適用対象から外れた場合も、同様に、ポリシーで設定されていたレジストリが自動的に削除される。
 |
||||||
| より一貫性のあるポリシー | ||||||
グループ・ポリシーでは、ポリシーを「有効」にしたときにレジストリに値を設定するだけではない。そのポリシーを「未構成」にしたときに、以前設定したレジストリの値は削除される。
|
多くのシステム・コンポーネントが対応
システム・ポリシーでは、シェルやデスクトップに対する設定が中心で、しかも、あまり多くのポリシーが標準で提供されているとはいえなかった。
グループ・ポリシーでは、サーバ機能を含めて多くのコンポーネントがポリシーに対応している。また、レジストリに対するポリシーは、システム・ポリシーと同様に管理者が必要に応じてカスタマイズしたテンプレートで拡充することもできる。
 |
| グループ・ポリシーがカバーする多くのコンポーネント(一部) |
| グループ・ポリシーでは多くのシステム・コンポーネントが標準でポリシーに対応している。その範囲はシステム・ポリシーのようなシェルやデスクトップ中心の設定にとどまらず、サーバ機能を含め多くのコンポーネントに及ぶ。これは、グループ・ポリシーで設定できるさまざまなポリシーのカテゴリーを、ポリシーの編集ツールで見た様子。 |
ツール類の拡充
システム・ポリシーでは、基本的なGUI編集ツールである「システム・ポリシー・エディタ(PolEdit.exe)」こそあるものの、それ以外の支援ツールが広く提供されることはなかった。
グループ・ポリシーでは、基本的なGUI編集ツール以外に、より体系的、包括的なGUIの「グループ・ポリシー管理コンソール(GPMC)」をはじめして、各種コマンドライン・ツールも提供されている。なおこのツールについては、今後の連載で詳しく取り上げる予定である。
 |
||||||
| グループ・ポリシー管理コンソール(GPMC) | ||||||
グループ・ポリシーを使用した管理を支援するためのツールは、コマンドライン・ツールを含め、いくつか提供されている。画面は、グループ・ポリシーを体系的、包括的に管理するための「グループ・ポリシー管理コンソール(GPMC)」の例。
|
 |
 |
| INDEX | ||
| [Windows基礎解説]グループ・ポリシーのしくみ | ||
| 第2回 グループ・ポリシーとは何か | ||
 |
1.グループ・ポリシーにおける改良点 | |
| 2.グループ・ポリシー・オブジェクト(GPO)とリンク | ||
| 3.GPOをのぞいてみる | ||
| 4.グループ・ポリシーの「拡張」 | ||
| 5.クライアント側拡張(CSE) | ||
 |
||
 |
基礎解説 |
ホワイトペーパー(TechTargetジャパン)
- WindowsTIPS (2010/3/19)
− [シャットダウン]ボタンの設定を変更する
− WINSサーバをインストールする
− WINSサーバをnetshコマンドで管理する - Windows 7のファイアウォール機能 (2010/3/18)
Win 7のファイアウォールの概要解説。ルールセットを切り替えるプロファイル機能が強化され、ドメインでもVPNでも、適切なルールが自動選択される - 第212話 プリンタ用紙 (2010/3/16)
致命的なディスク・クラッシュが起きる確率は、クラッシュによってもたらされる被害の大きさに比例する… - WindowsTIPS (2010/3/12)
− 不要なアドオンを無効化してIE8の起動を高速化する
− IE8のソース表示エディタを変更する
− RRASのNATでポートマッピングを定義する
 |
|
|
|
|
スキルアップ/キャリアアップ(JOB@IT)
スポンサーからのお知らせ
- - PR -
 |
「いつかは壊れるサーバ」そんな故障に 迅速で安価に手軽に対応する方法とは? New! |
 |
「特権ユーザー」の事件を防げ! 万能権限を持つユーザーの管理方法とは? New! |
 |
仮想環境の構築とデータ保護の特効薬?! 実績と信頼性の高いパッケージで安心運用 |
 |
仮想環境のバックアップもこれまでどおり 「まるごと取ってまるごと戻す」簡単運用 |
 |
おばかアプリ選手権、第4弾開催中!! ムダにカッコよくてくだらない作品求ム! |
 |
社内ファイルサーバを“クラウド”に統合 VPN直結「クラウド型ストレージ」を紹介 |
 |
その数、なんと400台以上! グループ内 サーバの「統合管理」によるメリットは? |
 |
美人!? まあまあ? 気になる いやし系!! PV急増で「美人時計」がとった手段とは? |
 |
進化を続ける富士通ストレージETERNUS DX 製品開発者の自信を裏付けるものとは何か |
 |
運用管理の課題を“2つの観点”から分析 ユーザー満足度の高い「仮想環境」とは? |
- - PR -
お勧め求人情報
**先週の人気講座ランキング**
〜CCNA編〜
| ◆ | TomcatやJBossなどAPサーバ環境に関する 情報を集約! “業務”用APサーバ大百科 New! |
| ◆ | 一気に解説! 最新のクラスタストレージ 「RAIDを超えたストレージ基準」……など New! |
| ◆ | クラウド的ユーザー体験の変化は脅威か? 仮想化技術を使いこなす運用管理術を紹介 New! |
| ◆ | 上司や部下、部署内メンバーとの情報共有 を“ガラッ”と変えるコラボツールとは? New! |
| ◆ | おばかアプリ選手権、第4弾開催中!! ムダにカッコよくてくだらない作品求ム! |
| ◆ | 社内ファイルサーバを“クラウド”に統合 VPN直結「クラウド型ストレージ」を紹介 |
| ◆ | Twitterのアカウントはなぜ突破された? メールによる新手の攻撃手法とその対策 |
| ◆ | もう仮想化のお試しフェイズは終わりだ! Hyper-V 2.0が基幹システムも仮想化 |
| ◆ | 美人!? まあまあ? 気になる いやし系!! PV急増で「美人時計」がとった手段とは? |
| ◆ | クライアント企業から求められる人材 ⇒IT技術と経営戦略を併せ持つ「戦略家」 |
| ◆ | .NET編集長が実践する「技術情報検索術」 サンプル・コードを簡単に探す“技”は? |
| ◆ | 業務効率と情報セキュリティ対策を両立! 手間なく確実に機密情報を守る方法とは? |
| ◆ | 進化を続ける富士通ストレージETERNUS DX 製品開発者の自信を裏付けるものとは何か |
| ◆ | 運用管理の課題を“2つの観点”から分析 ユーザー満足度の高い「仮想環境」とは? |
| ◆ | 【CTC事例】約30の基幹システムを統合! 膨大なバッジジョブを制御した方法は? |
| ◆ | 仮想化すればコストは削減できるか? 仮想化に必要な「3つの視点」を解説する |
| ◆ | その数、なんと400台以上! グループ内 サーバの「統合管理」によるメリットは? |
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「@IT MONOist」「ITmedia」「誠」「BARKS」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。