［Windows技術解説］ グループ・ポリシーのしくみ ―― 統一的なクライアント管理を実現するActive Directoryグループ・ポリシーを知る ―― 第5回　Active Directoryにおけるグループ・ポリシー 1．Active Directory環境でのグループ・ポリシー 畑中 哲 2006/08/04

Index

第1回 システム設定とシステム・ポリシー 第2回 グループ・ポリシーとは何か 第3回 グループ・ポリシーの設定ファイル 第4回 グループ・ポリシーの適用 第5回 Active Directoryにおけるグループ・ポリシー 第6回 リンクの継承と優先度およびフィルタ機能 第7回 グループ・ポリシー管理コンソール（GPMC）

　前回までの解説では、ローカル・グループ・ポリシーを基にグループ・ポリシーを見てきた。今回と次回の2回では、Active Directory環境におけるグループ・ポリシーを取り上げて解説する。

■

　Active Directoryでのグループ・ポリシーを管理するツールとしては、Windows 2000以来の標準的な管理ツール群と、当初はOSとは別にリリースされたが、Windows Server 2003 R2などでは標準搭載されている「グループ・ポリシー管理コンソール（以下GPMC）」とがある。GPMCの方がより統合された管理ツールだが、ここではWindows 2000でも利用できる従来の管理ツールを用いて解説を進める。両者は操作方法が異なるだけで概念は同じである。従来の管理ツールで理解した内容は、GPMCでもほぼそのまま通用する。

　Active Directoryにおけるグループ・ポリシーでも、ローカル・グループ・ポリシーと同じく、ポリシーの適用は各クライアント・コンピュータ上で行われる。ローカル・グループ・ポリシーについての理解と、Active Directoryの基本的な階層構造の理解があれば、それほど難しいものではない。

　ただし、Active Directoryでのグループ・ポリシーは、影響する範囲が広い。ローカル・グループ・ポリシーはローカル・コンピュータにしか影響がないので比較的気軽に設定を試すことができるが、Active Directoryでは、やり方によっては想像以上に広い範囲に適用されることもある。設定に当たっては、テスト環境で事前に確認するなど、慎重に行う必要がある。

ローカル・グループ・ポリシーの限界

　前回までに解説したローカル・グループ・ポリシーでは、各コンピュータがローカルにグループ・ポリシー・オブジェクト（以下GPO）を持ち、そのローカルGPO（以下LGPO）をコンピュータ自身に適用する。それによって、そのローカル・コンピュータ上では、常に統一したポリシー設定が維持される仕組みになっていた。

　これは、コンピュータの管理が1台または数台で完結している家庭や、SOHOなどのオフィスにおいては適切な機能だろう。だがやや規模が大きくなると、LGPOでは、組織内のコンピュータに統一したポリシー設定を行うことは難しくなる。LGPOの保存場所とリンク先はあくまでローカル・コンピュータに限られているからだ。

　LGPOでも、リモート・コンピュータからGPOを編集したり、あるコンピュータからほかのコンピュータへGPOをコピーしたりすることはできるが、そのような手段で多数のコンピュータのポリシー設定を統一し維持していくのは、たいへん手間がかかる。

• 連載第4回「ローカルからリモートへの接続と編集」
• NT 4.0 ドメイン/ワークグループ内の Professional クライアントへのグループ・ポリシー（マイクロソフト サポート技術情報）

　また、LGPOは各コンピュータに1つしかないため、常に1つのポリシー設定だけが適用される。条件によってポリシー内容を変化させることはできない。

Active Directory環境におけるグループ・ポリシー

　ローカル・グループ・ポリシーとActive Directoryでのグループ・ポリシーを比較すると、次のように、GPOの保存場所とリンク先が異なる。

	保存場所	リンク先
LGPO	ローカル・コンピュータ （%SystemRoot%\System32\GroupPolicy\）	ローカル・コンピュータ
Active Directoryの GPO	ドメイン・コントローラ	ディレクトリ・コンテナ （サイト、ドメイン、OU)
GPOの保存場所とリンク先
LGPOとActive DirectoryのGPOでは、その保存場所やリンク先が異なる。

　Active Directoryでは、GPOがドメイン・コントローラ上に保存されるだけでなく、リンク先もディレクトリ上のコンテナになっている。各コンピュータに直接リンクされるわけではない。

LGPOの保存場所とリンク

LGPOは、ローカル・コンピュータ上に保存される。LGPOのリンク先（GPOの適用先）と考えてよいのも、ローカル・コンピュータ（自分自身）だけである。このような構成では、複数のコンピュータの集中管理や、柔軟なポリシー設定は難しい。

　このように、LGPOでは、ローカルのコンピュータがリンク先となる。しかしActive Directory環境では、Active Directoryのコンテナがリンク先となる。

Active DirectoryのGPOの保存場所とリンク

Active Directoryでは、GPOはディレクトリ／ドメイン・コントローラ上に保存される。GPOのリンク先はコンテナであり、コンピュータに直接はリンクしない。Active Directoryの情報管理と階層構造を活用することによって、集中管理と柔軟なポリシー設定が可能になっている。

Active Directory。 　 Active Directoryのコンテナ。ディレクトリの階層構造をなしている。GPOはこれらのコンテナにリンクする。 　 Active Directoryに参加しているコンピュータ。Active Directoryでは、GPOはコンピュータに直接リンクしない。 　 ドメイン・コントローラ。 　 Active Directoryでは、GPOはディレクトリ／ドメイン・コントローラに保存される。

　Active DirectoryのGPOは保存場所がディレクトリ／ドメイン・コントローラになっているので、集中管理することができる。そしてリンク先がコンテナになっていることから、階層化させてリンクすることができる。

　一方、必要なGPOの取得が各コンピュータによって行われる（各コンピュータが自身でGPOを“プル”して取得し、適用する）という点は同じである。ドメイン・コントローラなどが各コンピュータにGPOを送り込む（“プッシュ”する）わけではない。

　各コンピュータが必要なGPOを取得した後に行う適用処理も、LGPOと基本は同じである。GPOの適用は、各コンピュータのクライアント側拡張（CSE）が行う。

Active DirectoryにおけるGPOの作成と、各コンピュータ上での適用処理

GPOの作成と各コンピュータ上での適用処理は、LGPOでもActive DirectoryのGPOでも、基本的に同じである。管理者がグループ・ポリシー・エディタ（GPEdit）でGPOを作成し、各コンピュータ上のクライアント側拡張（CSE）が適用を行う。この全体の構成は、LGPOとActive Directoryとで、ほとんど違いはない。

サーバ側拡張。GPOを作成する拡張。MMCの［グループ ポリシー オブジェクト エディタ］スナップインに読み込まれる。担当しているポリシーの性格と必要に応じた独自のユーザー・インターフェイスを管理者に提供し、GPOを作成する。 　 管理者はサーバ側拡張を通じてGPOを作成する。 　 GPOの適用。 　 クライアント側拡張（CSE）。各コンピュータ上で動作し、GPOを実際に適用する拡張。サーバ側拡張によって作成されたGPOは、クライアント側拡張によって各コンピュータに適用される。具体的には、GPO内のポリシーに従ってレジストリやファイルを設定したりする。

　いったん取得したGPOの適用がLGPOとほぼ同じということは、Active Directoryにおけるグループ・ポリシーでは、GPOがどのように適用されるかよりも、どのGPOを適用すべきかがポイントになるということである。つまり、どのGPOがどこにリンクされているかが重要となる。

INDEX
	［Windows技術解説］グループ・ポリシーのしくみ
	第5回　Active Directoryにおけるグループ・ポリシー
	1．Active Directory環境でのグループ・ポリシー
	2．Active Directoryの階層とコンテナへのリンク
	3．Active DirectoryにおけるGPO

　

基礎解説

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）