Vistaの地平
4.ドメイン環境でのグループ・ポリシーの展開
Microsoft MVP
互換性のために.admxテンプレート・ファイルをSYSVOL共有にコピーする
Windows Vistaのグループ・ポリシーは従来のWindowsでは作成・編集できないことはすでに述べたが、Windows Server 2003以前のActive Directoryに参加させて運用する際には、実は注意が必要だ。
Windows Server 2003で作成したグループ・ポリシーは従来のWindows用のテンプレートを基に作成されるため、Windows Vistaにしか適用できない項目についてはカバーできない。以前のWindowsと共通で利用可能なポリシーについては、Windows Server 2003で作成したグループ・ポリシーでも適用は可能だが、これではWindows Vistaの設定をすべてコントロールすることはできない。
この問題は当然Windows Server 2008(次期Windows Server OS。開発コード名は“Longhorn Server”)では解消されるが、当座の方法として、Windows Vista側で必要なテンプレートをActive Directoryドメイン・コントローラにコピーすることで対応できる。このコピー先を「中央ストア」と呼び、ドメイン・コントローラのSYSVOL共有上に設定される。各ドメイン・グループ・ポリシーは、中央ストアにあるテンプレートを必要時に参照する。中央ストアの作成方法は以下のとおりだ。
なお、グループ・ポリシーの複製を前提とした編集などには一般にPDCエミュレータが選択されるため、可能な限りFSMO のPDCエミュレータにログオンしているWindows Vistaで作業を行った方がよいだろう。
1. まず、クライアントがログオンしているドメイン・コントローラ側で%SYSTEMROOT%\SYSVOL\domain\policiesフォルダ内にPolicydefinitionsフォルダを作成し、PolicyDefinitionsフォルダの中にja-JPフォルダを作成する(英語版など、別のリビジョンがある場合は地域別のフォルダを作成する)。
作成するフォルダ
互換性のためには、このようなフォルダを作成して新しいグループ・ポリシー・テンプレートの保存場所を確保する。
このフォルダ中に作成する。
作成するフォルダ1。
作成したPolicyDefinitionsフォルダ。
作成するフォルダ2。
2. ドメインAdministrator(ドメイン管理者)でログオンした、Windows Vistaのコマンド・プロンプト画面で、以下のコマンドを実行してadmxテンプレートをSYSVOL共有にコピーする。
xcopy %systemroot%\PolicyDefinitions\* %logonserver%\SYSVOL\%userdnsdomain%\policies\PolicyDefinitions\
.admxテンプレート・ファイルのコピー
.admxテンプレート・ファイルをxcopyコマンドでコピーする。
実行するコピー・コマンド。
3. コマンド・プロンプト画面で引き続き、以下のコマンドを実行して.admlテンプレート・ファイルをSYSVOL共有にコピーする。
xcopy %systemroot%\PolicyDefinitions\ja-JP\* %logonserver%\SYSVOL\%userdnsdomain%\policies\PolicyDefinitions\ja-JP
.admlテンプレート・ファイルのコピー
.admlテンプレート・ファイルをxcopyコマンドでコピーする。
実行するコピー・コマンド。
4. Windows Vista上でMMCスナップインから[グループ ポリシーの管理]スナップインを追加し、これを開く。[ファイル名を指定して実行]からgpmc.mscと入力実行してもよいだろう。
グループ・ポリシーの管理ツールの起動
管理コンソールMMCを起動して、「グループ ポリシーの管理」スナップインを追加する。
これを選択する。
これをクリックして追加する。
追加したスナップイン。
5. 左ペインの[グループ ポリシーの管理]を開き、[グループ ポリシー オブジェクト]を右クリックし、[新規]メニューでグループ・ポリシーを新しく作成する。ドメイン・コントローラ側で先にグループ・ポリシーを作成しておいても同じではあるが、1度でもWindows Server 2003などのGPOE(グループ・ポリシー・オブジェクト・エディタ)で開いてしまうと(不要な)従来のテンプレートが登録されてしまうので、注意する。
グループ・ポリシー・オブジェクトの新規追加
グループ・ポリシー・オブジェクトを追加して編集する。
これを選択する。
新規作成する。
6. 真ん中のペインのグループ・ポリシー自体を右クリックし[編集]をクリックすることで、グループ・ポリシーの内容を編集することができる。
グループ・ポリシー・オブジェクトの編集
追加されたグループ・ポリシー・オブジェクトを編集する。
編集画面。
7. 最後に、必要なOU(組織単位。グループ・ポリシーを適用するオブジェクトの入れ物)などにリンクを行えば完了である。
OUへのリンク
作成したグループ・ポリシー・オブジェクト(GPO)を目的とするOUなどにリンクする。
作成したGPOを、指定したOUへリンクさせる例。
2つ目以降のグループ・ポリシー作成には、手順1から3までの作業は必要ない。手順4以降の作業を行えばよいだろう。
Windows Vistaのグループ・ポリシーの互換性
Windows Vistaで作成編集したグループ・ポリシーは従来との互換性があり、以前のバージョンに適用可能な項目については、そのまま利用できる(どのOSに適用されるかどうかは各ポリシーの説明を確認のこと)ので、Windows VistaとWindows XP用としてそれぞれグループ・ポリシーを用意する必要はないだろう。
まとめ
以上、Windows Vistaにおけるグループ・ポリシーの新機能や変更された点などについて解説してきた。まとめると次のようになる。
Windows Vistaのグループ・ポリシーでは、ポリシーの適用には従来と互換性があるが、新しいadmxテンプレートには従来との互換性がないため、Windows Vistaから編集を行わなければならない。
テンプレート・フォルダは %SYSTEMROOT%\PolicyDefinitionsフォルダおよびja-JPフォルダとなり、各グループ・ポリシーはこのフォルダを共用するためオーバーヘッドが減少しているが、特にドメイン環境では所定の場所にテンプレート・フォルダをコピーして配置しなければならない。
ローカル・グループ・ポリシーでは、管理者/非管理者グループおよび各ユーザー別にユーザー・ポリシーを使い分けることが可能となった。
ADMX Migratorツールを使うことで、admx/admlテンプレートを新規作成や直接編集したり、admテンプレートをadmxテンプレートに移行させることが可能である。
上記のように、大きく進歩したグループ・ポリシーであるが、ドメイン環境に適用する際には、煩雑な手順を加えなければならないところもあり、悩ましいところだ。しかし利点も少なからず存在するので、積極的に対応したいものである。完全対応となるWindows Server 2008の発売が、大いに待たれるだろう。
TechTargetジャパン
Windows Server Insider フォーラム 新着記事
キャリアアップ
