【2/17】今年は「濃厚」技術トーク!@ITメールセミナー スラッシュドット    はてなブックマーク  Yahoo!ブックマークに登録  印刷
 
 

[Windows技術解説]

グループ・ポリシーのしくみ

―― 統一的なクライアント管理を実現するActive Directoryグループ・ポリシーを知る ――

第4回 グループ・ポリシーの適用

1.グループ・ポリシーの適用

畑中 哲
2006/06/08


Index
システム設定とシステム・ポリシー
グループ・ポリシーとは何か
グループ・ポリシーの設定ファイル
グループ・ポリシーの適用
Active Directoryにおけるグループ・ポリシー
リンクの継承と優先度およびフィルタ機能
グループ・ポリシー管理コンソール(GPMC)

 前回は、グループ・ポリシーにおける管理用テンプレートと、それによって設定される内容やしくみなどについて解説した。今回は、これらのポリシーを実際にシステムに適用し、どのように動作するかを見ていこう。

ポリシーの適用タイミング

 作成しリンクしたGPO(グループ・ポリシー・オブジェクト)の適用は、環境や設定など、そしてCSE(クライアント側拡張)によって異なるが、Windows XPでは基本的には以下のようなタイミングで行われる。

ポリシー 適用のタイミング
コンピュータの構成 コンピュータの起動時
ユーザーの構成 ユーザーのログオン時
コンピュータの構成/ユーザーの構成 バックグラウンドで90分(+アルファ)に1回、コンピュータの構成とユーザーの構成が適用される
Windows XPにおけるポリシーの適用のタイミング

 今回は、新しくローカル・ユーザー(user2)を作成し、コンピュータを再起動してその新しいユーザーとしてログオンしてみよう。

[詳細な状態メッセージを表示する]ポリシー

 まずコンピュータの起動時やログオン時に、詳細なメッセージが出るようになったことに気付くだろう。(コンピュータの処理が速すぎると分かりにくいかもしれない)。この詳細なメッセージには、GPOの適用(CSEの動作)が行われているというメッセージや、関連するメッセージも含まれている。

[詳細な状態メッセージを表示する]ポリシーを有効にする
グループ・ポリシーの[コンピュータの構成]−[管理用テンプレート]−[システム]で[詳細な状態メッセージを表示する]を有効にすると、コンピュータの起動時やログオン時に表示されるメッセージが、より詳細になる。これはWindows XPのログオン画面の例。
  user2というユーザー名でログオンしている。
  ログオン中の状態メッセージ。[詳細な状態メッセージを表示する]ポリシーを有効にすると、より詳細に表示される。例えば、グループ・ポリシーで設定するログオン・スクリプトが動作すると、このようなメッセージが表示される(通常は表示されない)。

 グループ・ポリシーの[コンピュータの構成]−[管理用テンプレート]−[システム]の[詳細な状態メッセージを表示する]を有効にした結果、HKEY_LOCAL_MACHINEのVerboseStatusに1がセットされた。そして、ポリシーに対応したログオン画面コンポーネントが、VerboseStatusの値が1になっているのを受けて、詳細なメッセージを表示するようになったというわけである。

[壁紙を変更できないようにする]ポリシー

 ログオンしたら、コントロール・パネルの[画面]を開いて、[デスクトップ]タブを開いてみる。すると、壁紙を変更できない([参照]ボタンなどが無効になっている)ことが分かるだろう。

適用された[壁紙を変更できないようにする]ポリシー
[壁紙を変更できないようにする]ポリシーを有効にし、それが適用されると、コントロール・パネルの[画面]では壁紙を変更できなくなる。
  無効になっていて、ユーザーが変更することはできない。

 グループ・ポリシーの[ユーザーの構成]−[管理用テンプレート]−[コントロール パネル]−[画面]の[壁紙を変更できないようにする]を有効にした結果、HKEY_CURRENT_USERのNoChangingWallpaperに1がセットされた。そして、ポリシーに対応した[画面]コントロール・パネルが、NoChangingWallpaperの値が1になっているのを受けて、ボタンなどを無効にした結果である。

 このあたりのしくみを、これまで説明したメカニズムに基づいてもう少し詳しくいえば次のようになる。

  1. グループ・ポリシー・エディタで[ユーザーの構成]−[管理用テンプレート]−[コントロール パネル]−[画面]の[壁紙を変更できないようにする]を有効にした。

  2. 「管理用テンプレート」サーバ側拡張が、GPT(グループ・ポリシー・テンプレート)の\User\Registry.polファイルに、レジストリに値をセットするよう指示を書き込んだ。

  3. ユーザーのログオン時に、グループ・ポリシーの「ユーザーの構成」が適用された。

  4. グループ・ポリシーのエンジンが「管理用テンプレート」CSEを呼び出す。

  5. 「管理用テンプレート」CSEは、GPTの\User\Registry.polファイルの指示に従い、HKEY_CURRENT_USERのNoChangingWallpaperに1をセットした。

  6. ユーザーが[画面]コントロール・パネルを開いたが、[画面]コントロール・パネルはポリシーに対応しているので、NoChangingWallpaperの値が1になっているのを受けて、ボタンなどを無効にした。

Policiesキーのアクセス権

 ここで、HKEY_CURRENT_USERの値が設定されたキー(Software\Microsoft\Windows\CurrentVersion\Policies)のアクセス権を見てみよう。HKEY_CURRENT_USERの通常のキーとは異なり、管理者でなければユーザー自身でも変更できないようになっていることが分かる。従って、ユーザーのレジストリでありながら、ポリシーで設定した値はユーザーが勝手に書き換えることはできない。

 比較のため、まず最初はレジストリ・キーに対する通常のアクセス権設定を見てみよう。

HKEY_CURRENT_USERの通常のキーのアクセス権
レジストリ・エディタでSoftware\Microsoft\Windows\CurrentVersion\Runキーのアクセス許可の詳細を表示したところ。HKEY_CURRENT_USERの通常のキーは、ユーザー自身にフル・コントロールのアクセス許可が付いている。
  ログオン中のユーザー=user2。
  ログオン中のユーザー自身には、フル・コントロールのアクセス許可が付いている。

 これは一般的なレジストリ・キーのアクセス権であり、通常はこのように「フル コントロール」のアクセス権が設定されている。だがPoliciesキーに対しては、次のように、「読み取り」のみ許可するというアクセス権が設定されている。

HKEY_CURRENT_USERのPoliciesキーのアクセス権画面
レジストリ・エディタでSoftware\Microsoft\Windows\CurrentVersion\Policiesキーのアクセス許可の詳細を表示したところ。HKEY_CURRENT_USERのPoliciesキーには特別なアクセス許可が設定されており、ユーザー自身には読み取りのアクセス許可しか付いていない。
  ログオン中のユーザー=user2。
  ログオン中のユーザー自身には、読み取りのアクセス許可しか付いていない。


 INDEX
  [Windows技術解説]グループ・ポリシーのしくみ
  第4回 グループ・ポリシーの適用
  1.グループ・ポリシーの適用
    2.グループ・ポリシーの適用の記録
    3.「未構成」の適用
    4.「管理されているポリシー」と「設定」

 基礎解説

ホワイトペーパーTechTargetジャパン

Windows Server Insider フォーラム 新着記事

@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

RSSフィード

スキルアップ/キャリアアップ(JOB@IT)

- PR -
- PR -

お勧め求人情報

キャリアアップ 〜JOB@IT
@IT Special -PR-
  企業の仮想化に足りない“発想”とは?
仮想化運用管理のキモは意外なところに!

New!
  操作もマニュアルも分かりやすい!
ユーザー視点で開発されたPC管理ツール

New!
  仮想化すればコストは削減できるか?
仮想化に必要な「3つの視点」を解説する

  セキュリティを知り尽くす上野氏が登壇!
@ITメールソリューションLive! in Tokyo

  運用管理の課題を“2つの観点”から分析
ユーザー満足度の高い「仮想環境」とは?

  世界に通用するストレージの作り方とは?
製品に込めた思いを富士通の開発者に聞く

  OSSで手間も時間も、障害も減った――
「マピオンの事例」オープンソース活用法

  「ノートPCの持ち出し禁止」で大丈夫?
情報漏えいを防ぐ管理手法とインフラは?

  1日の処理を1秒に――MySQLの達人が語る
「コスト削減」できるチューニング

  ドキュメント作成を自動化して、SEの作業
効率を大幅アップ! Visio 2007の魅力

  急速に広がるHyper-Vでのサーバ仮想化
そのベストプラクティスをデルが解説

  @IT主催セミナーで語られた、「担当者に
求められるセキュリティ対策」をレポート

  @IT「Windows 7」 特設サイトオープン!
最新情報・移行ノウハウを公開しています