 |
|
[Windows基礎解説]グループ・ポリシーのしくみ ―― 統一的なクライアント管理を実現するActive Directoryグループ・ポリシーを知る ―― 第2回 グループ・ポリシーとは何か1.グループ・ポリシーにおける改良点畑中 哲2006/02/23 |
|
|
|
|
|
Index
|
||||||||||||||
|
前回は、「グループ・ポリシー」を理解する準備として、その前身である「システム・ポリシー」について解説した。システム・ポリシーとは、簡単にいえば、コンピュータのレジストリ設定を統一管理するためのメカニズムであり、例えばユーザーのデスクトップ環境を変更/統一したり、Webブラウザの設定を変更したりできる。だが、システム・ポリシーではレジストリの設定しか操作することができないし、階層的な管理ができない、デフォルト設定に戻すのが困難、用意されているテンプレート機能が不足など、機能的に不十分な点も少なくない。特に、大規模な組織では、システム・ポリシーでは十分に管理することが困難である。
このような問題を解決するため、Active Directoryでは新たにグループ・ポリシーというメカニズムが導入された。今回はこのグループ・ポリシーの概要について解説する。
グループ・ポリシーにおける改良点
Windows 2000のActive Directoryでは、システム・ポリシーに代わって新たにグループ・ポリシーが導入された。名前は似ているが、内容は大幅に拡充されている。まずは、グループ・ポリシーがシステム・ポリシーの欠点をどのように解消しているのか、その概要を見てみよう。
レジストリ以外の複雑な設定も可能
システム・ポリシーではレジストリの設定しかできなかったことは前回述べたとおりである。これに対してグループ・ポリシーでは、より拡張性を重視した設計になっている。必要に応じて拡張用DLLを組み込み、ポリシーの設定と適用を拡張できるようになった。Windows OSには、標準で拡張用DLLが複数提供されているが、マイクロソフト以外のベンダが独自のポリシーを提供することもできる。
これによって、レジストリ以外の複雑な設定もできるようになった。例えば、ソフトウェアの配布、レジストリやファイルのアクセス権設定などがグループ・ポリシーで行えるようになっている。
レジストリに対するポリシーはグループ・ポリシーでも依然として重要な柱だが、それはグループ・ポリシーという枠組みの中の拡張の1つにすぎない。グループ・ポリシーを利用すれば、例えば次のような項目を設定することができる。これらは単純なレジストリ設定だけでは実現できない機能である。
| 設定項目 | 設定内容 |
| セキュリティ設定 | ファイルやレジストリのアクセス権を設定する |
| ソフトウェアの配布 | Windowsインストーラを利用して、ソフトウェアを自動的にかつ一律にインストールする。また、ユーザーが初めてアプリケーションを起動しようとすると、それに先立って、まずアプリケーションを自動的にインストールする |
| スタートアップなどのスクリプト | コンピュータの起動時、終了時などにスクリプトを実行する |
| Internet Explorerの設定 | セキュリティ・ゾーンとドメインのマッピングの定義や「お気に入り」へのリンクの追加/削除を行う |
| フォルダのリダイレクト | マイ・ドキュメントなどのフォルダを、各コンピュータのローカルからファイル・サーバへリダイレクトする |
 |
|
| 単純なレジストリ設定にとどまらない設定項目の例 | |
ポリシーの定義と適用の階層化
システム・ポリシーでは、ポリシーの割り当ての対象はコンピュータ、グループ、ユーザーだけだった。そのため、それぞれの所属に応じて適用されるポリシーを変化させるような階層化は困難だった。階層化にかろうじて利用できるのは、グループに対するポリシーとそれらの間の優先度があったにすぎない。
グループ・ポリシーでは、各コンピュータのローカル、そしてActive Directoryのサイト、ドメイン、組織単位(OU)のそれぞれにポリシーを割り当てることができる。これによって、コンピュータに対する設定、ユーザーに対する設定が階層化できるようになった。親階層に割り当てたポリシーは、子階層へも継承して適用される。同一階層内でもさらに複数のポリシーを優先度を付けて割り当てることができる。
 |
||||||||||||||||||||||||
| 階層化された割り当て | ||||||||||||||||||||||||
グループ・ポリシーでは、各コンピュータのローカル、Active Directoryのサイト、ドメイン、組織単位(OU) のそれぞれにポリシーを割り当てることができる(この図はポリシー適用の優先度を加味して表しているため、厳密な階層構造とはやや異なる)。
|
子OU中のコンピュータ
グループ・ポリシーの処理優先度階層化したときの結果
システム・ポリシーでは、管理者が自分自身で綿密に立案/シミュレートするか、実際に適用させてみなければ、ポリシーが適用された結果が最終的にどうなるか分からなかった。階層化が不十分だったため単純な適用しかできず、結果の確認を支援するような機能があまり必要とされなかったともいえる。
グループ・ポリシーでは、「ポリシーの結果セット(RSoP:Result Set of Policy)」や「グループ・ポリシー管理コンソール(GPMC:Group Policy Management Console)」といった支援機能/ツールが提供されており、ポリシーの適用対象のどの階層においてどのような結果を得られるのか、確認することができる。
 |
||||||||||||
| グループ・ポリシーの「ポリシーの結果セット(RSoP)」ウィザード | ||||||||||||
グループ・ポリシーでは複数のポリシーがさまざまな条件に応じて各コンピュータへ適用される。複数の条件とポリシーが影響し合った結果どのような設定がもたらされるのかを確認するためには、いくつかのツールを利用することができる。RSoPもその1つである。この画面では、ドメインの特定のOUに所属しているユーザーと、ドメインの通常のコンピュータにどのようなポリシーが適用される結果になるのかをシミュレートしようとしている。
|
ポリシーの一貫性
システム・ポリシーでは、どのレジストリ・キーに値を設定するかが必ずしも統一されていなかった。このため、特にユーザーのレジストリ(HKEY_CURRENT_USER)の場合は、(通常)ユーザー本人に書き込みアクセス権があるため、ポリシーが適用された後に各ユーザーが再びレジストリ値を変更してしまう可能性もあった。
グループ・ポリシーでは、レジストリに対するポリシー設定は、Policiesキーに集中させている(HKEY_CURRENT_USERおよびHKEY_LOCAL_MACHINEの、Software\PoliciesキーとMicrosoft\Windows\CurrentVersion\Policiesキー)。Policiesキーへはデフォルトでアクセス権が厳しくなっている。従って、たとえユーザーのレジストリ(HKEY_CURRENT_USER)以下のPoliciesキーであっても、各ユーザーが勝手に改変することはできない。
また、各コンピュータ上でレジストリに対してどのようなポリシーが適用されたかを記録するようになった。これにより、システム・ポリシーにあったような「tattoo effect」は基本的になくなった(tattoo effectとは、1度設定した効果がずっと残り続けること。前回の記事参照)。レジストリに対するポリシーを「未構成」にすれば、それまでポリシーが設定していた値はレジストリから削除され、ポリシーの対象システム/コンポーネントはデフォルトの動作に戻る。また、コンピュータやユーザーにポリシーがいったん適用された後、そのコンピュータやユーザーがポリシーの適用対象から外れた場合も、同様に、ポリシーで設定されていたレジストリが自動的に削除される。
 |
||||||
| より一貫性のあるポリシー | ||||||
グループ・ポリシーでは、ポリシーを「有効」にしたときにレジストリに値を設定するだけではない。そのポリシーを「未構成」にしたときに、以前設定したレジストリの値は削除される。
|
多くのシステム・コンポーネントが対応
システム・ポリシーでは、シェルやデスクトップに対する設定が中心で、しかも、あまり多くのポリシーが標準で提供されているとはいえなかった。
グループ・ポリシーでは、サーバ機能を含めて多くのコンポーネントがポリシーに対応している。また、レジストリに対するポリシーは、システム・ポリシーと同様に管理者が必要に応じてカスタマイズしたテンプレートで拡充することもできる。
 |
| グループ・ポリシーがカバーする多くのコンポーネント(一部) |
| グループ・ポリシーでは多くのシステム・コンポーネントが標準でポリシーに対応している。その範囲はシステム・ポリシーのようなシェルやデスクトップ中心の設定にとどまらず、サーバ機能を含め多くのコンポーネントに及ぶ。これは、グループ・ポリシーで設定できるさまざまなポリシーのカテゴリーを、ポリシーの編集ツールで見た様子。 |
ツール類の拡充
システム・ポリシーでは、基本的なGUI編集ツールである「システム・ポリシー・エディタ(PolEdit.exe)」こそあるものの、それ以外の支援ツールが広く提供されることはなかった。
グループ・ポリシーでは、基本的なGUI編集ツール以外に、より体系的、包括的なGUIの「グループ・ポリシー管理コンソール(GPMC)」をはじめして、各種コマンドライン・ツールも提供されている。なおこのツールについては、今後の連載で詳しく取り上げる予定である。
 |
||||||
| グループ・ポリシー管理コンソール(GPMC) | ||||||
グループ・ポリシーを使用した管理を支援するためのツールは、コマンドライン・ツールを含め、いくつか提供されている。画面は、グループ・ポリシーを体系的、包括的に管理するための「グループ・ポリシー管理コンソール(GPMC)」の例。
|
 |
 |
| INDEX | ||
| [Windows基礎解説]グループ・ポリシーのしくみ | ||
| 第2回 グループ・ポリシーとは何か | ||
 |
1.グループ・ポリシーにおける改良点 | |
| 2.グループ・ポリシー・オブジェクト(GPO)とリンク | ||
| 3.GPOをのぞいてみる | ||
| 4.グループ・ポリシーの「拡張」 | ||
| 5.クライアント側拡張(CSE) | ||
 |
||
 |
基礎解説 |
ホワイトペーパー(TechTargetジャパン)
- 第207話 究極の人事システム (2010/2/9)
部長、わが人事部が開発した究極の人事評価システムがついに完成しました! これで不要な社員が一発で分かります! - WindowsTIPS (2010/2/5)
− netshコマンドでTCP/IPのパラメータを設定する
− Virtual PC 2007の共有NATで利用可能なアドレス範囲
− スタンバイ復帰でパスワード入力を要求されないように - 仮想環境でActive Directoryを利用する (2010/2/4)
仮想環境にADをインストールすれば、自由にActive Directoryドメイン・ネットワークを構築して実験できる - 第206話 バナー広告案 (2010/2/2)
いまどきWebマーケティングが不可欠なのは分かるが、強烈な競合に並べてバナーなんか出して、勝ち目はあるのか?
 |
|
|
|
|
スキルアップ/キャリアアップ(JOB@IT)
スポンサーからのお知らせ
- - PR -
- - PR -
お勧め求人情報
**先週の人気講座ランキング**
〜CCNA編〜
| ◆ | 企業の仮想化に足りない“発想”とは? 仮想化運用管理のキモは意外なところに! New! |
| ◆ | 操作もマニュアルも分かりやすい! ユーザー視点で開発されたPC管理ツール New! |
| ◆ | 仮想化すればコストは削減できるか? 仮想化に必要な「3つの視点」を解説する |
| ◆ | セキュリティを知り尽くす上野氏が登壇! @ITメールソリューションLive! in Tokyo |
| ◆ | 運用管理の課題を“2つの観点”から分析 ユーザー満足度の高い「仮想環境」とは? |
| ◆ | 世界に通用するストレージの作り方とは? 製品に込めた思いを富士通の開発者に聞く |
| ◆ | OSSで手間も時間も、障害も減った―― 「マピオンの事例」オープンソース活用法 |
| ◆ | 「ノートPCの持ち出し禁止」で大丈夫? 情報漏えいを防ぐ管理手法とインフラは? |
| ◆ | 1日の処理を1秒に――MySQLの達人が語る 「コスト削減」できるチューニング |
| ◆ | ドキュメント作成を自動化して、SEの作業 効率を大幅アップ! Visio 2007の魅力 |
| ◆ | 急速に広がるHyper-Vでのサーバ仮想化 そのベストプラクティスをデルが解説 |
| ◆ | @IT主催セミナーで語られた、「担当者に 求められるセキュリティ対策」をレポート |
| ◆ | @IT「Windows 7」 特設サイトオープン! 最新情報・移行ノウハウを公開しています |
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「@IT MONOist」「ITmedia」「誠」「BARKS」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。