連載
» 2006年06月08日 00時00分 公開

グループ・ポリシーのしくみ:第4回 グループ・ポリシーの適用 (1/4)

GPはいつどのように適用されるのか? 適用によりコンピュータ内部では何が起こっているのか? 管理用テンプレート「未構成」の意味とは?

[畑中哲,著]
[Windows技術解説] グループ・ポリシーのしくみ ―― 統一的なクライアント管理を実現するActive Directoryグループ・ポリシーを知る ―― 
Windows Server Insider

 

「[Windows技術解説] グループ・ポリシーのしくみ ―― 統一的なクライアント管理を実現するActive Directoryグループ・ポリシーを知る ―― 」のインデックス

連載目次


 前回は、グループ・ポリシーにおける管理用テンプレートと、それによって設定される内容やしくみなどについて解説した。今回は、これらのポリシーを実際にシステムに適用し、どのように動作するかを見ていこう。

ポリシーの適用タイミング

 作成しリンクしたGPO(グループ・ポリシー・オブジェクト)の適用は、環境や設定など、そしてCSE(クライアント側拡張)によって異なるが、Windows XPでは基本的には以下のようなタイミングで行われる。

ポリシー 適用のタイミング
コンピュータの構成 コンピュータの起動時
ユーザーの構成 ユーザーのログオン時
コンピュータの構成/ユーザーの構成 バックグラウンドで90分(+アルファ)に1回、コンピュータの構成とユーザーの構成が適用される
Windows XPにおけるポリシーの適用のタイミング

 今回は、新しくローカル・ユーザー(user2)を作成し、コンピュータを再起動してその新しいユーザーとしてログオンしてみよう。

[詳細な状態メッセージを表示する]ポリシー

 まずコンピュータの起動時やログオン時に、詳細なメッセージが出るようになったことに気付くだろう。(コンピュータの処理が速すぎると分かりにくいかもしれない)。この詳細なメッセージには、GPOの適用(CSEの動作)が行われているというメッセージや、関連するメッセージも含まれている。

[詳細な状態メッセージを表示する]ポリシーを有効にする
グループ・ポリシーの[コンピュータの構成]−[管理用テンプレート]−[システム]で[詳細な状態メッセージを表示する]を有効にすると、コンピュータの起動時やログオン時に表示されるメッセージが、より詳細になる。これはWindows XPのログオン画面の例。
 (1)user2というユーザー名でログオンしている。
 (2)ログオン中の状態メッセージ。[詳細な状態メッセージを表示する]ポリシーを有効にすると、より詳細に表示される。例えば、グループ・ポリシーで設定するログオン・スクリプトが動作すると、このようなメッセージが表示される(通常は表示されない)。

 グループ・ポリシーの[コンピュータの構成]−[管理用テンプレート]−[システム]の[詳細な状態メッセージを表示する]を有効にした結果、HKEY_LOCAL_MACHINEのVerboseStatusに1がセットされた。そして、ポリシーに対応したログオン画面コンポーネントが、VerboseStatusの値が1になっているのを受けて、詳細なメッセージを表示するようになったというわけである。

[壁紙を変更できないようにする]ポリシー

 ログオンしたら、コントロール・パネルの[画面]を開いて、[デスクトップ]タブを開いてみる。すると、壁紙を変更できない([参照]ボタンなどが無効になっている)ことが分かるだろう。

適用された[壁紙を変更できないようにする]ポリシー
[壁紙を変更できないようにする]ポリシーを有効にし、それが適用されると、コントロール・パネルの[画面]では壁紙を変更できなくなる。
 (1)無効になっていて、ユーザーが変更することはできない。

 グループ・ポリシーの[ユーザーの構成]−[管理用テンプレート]−[コントロール パネル]−[画面]の[壁紙を変更できないようにする]を有効にした結果、HKEY_CURRENT_USERのNoChangingWallpaperに1がセットされた。そして、ポリシーに対応した[画面]コントロール・パネルが、NoChangingWallpaperの値が1になっているのを受けて、ボタンなどを無効にした結果である。

 このあたりのしくみを、これまで説明したメカニズムに基づいてもう少し詳しくいえば次のようになる。

  1. グループ・ポリシー・エディタで[ユーザーの構成]−[管理用テンプレート]−[コントロール パネル]−[画面]の[壁紙を変更できないようにする]を有効にした。
  2. 「管理用テンプレート」サーバ側拡張が、GPT(グループ・ポリシー・テンプレート)の\User\Registry.polファイルに、レジストリに値をセットするよう指示を書き込んだ。
  3. ユーザーのログオン時に、グループ・ポリシーの「ユーザーの構成」が適用された。
  4. グループ・ポリシーのエンジンが「管理用テンプレート」CSEを呼び出す。
  5. 「管理用テンプレート」CSEは、GPTの\User\Registry.polファイルの指示に従い、HKEY_CURRENT_USERのNoChangingWallpaperに1をセットした。
  6. ユーザーが[画面]コントロール・パネルを開いたが、[画面]コントロール・パネルはポリシーに対応しているので、NoChangingWallpaperの値が1になっているのを受けて、ボタンなどを無効にした。

Policiesキーのアクセス権

 ここで、HKEY_CURRENT_USERの値が設定されたキー(Software\Microsoft\Windows\CurrentVersion\Policies)のアクセス権を見てみよう。HKEY_CURRENT_USERの通常のキーとは異なり、管理者でなければユーザー自身でも変更できないようになっていることが分かる。従って、ユーザーのレジストリでありながら、ポリシーで設定した値はユーザーが勝手に書き換えることはできない。

 比較のため、最初はレジストリ・キーに対する通常のアクセス権設定を見てみよう。

HKEY_CURRENT_USERの通常のキーのアクセス権
レジストリ・エディタでSoftware\Microsoft\Windows\CurrentVersion\Runキーのアクセス許可の詳細を表示したところ。HKEY_CURRENT_USERの通常のキーは、ユーザー自身にフル・コントロールのアクセス許可が付いている。
 (1)ログオン中のユーザー=user2。
 (2)ログオン中のユーザー自身には、フル・コントロールのアクセス許可が付いている。

 これは一般的なレジストリ・キーのアクセス権であり、通常はこのように「フル コントロール」のアクセス権が設定されている。だがPoliciesキーに対しては、次のように、「読み取り」のみ許可するというアクセス権が設定されている。

HKEY_CURRENT_USERのPoliciesキーのアクセス権画面
レジストリ・エディタでSoftware\Microsoft\Windows\CurrentVersion\Policiesキーのアクセス許可の詳細を表示したところ。HKEY_CURRENT_USERのPoliciesキーには特別なアクセス許可が設定されており、ユーザー自身には読み取りのアクセス許可しか付いていない。
 (1)ログオン中のユーザー=user2。
 (2)ログオン中のユーザー自身には、読み取りのアクセス許可しか付いていない。


       1|2|3|4 次のページへ

Copyright© Digital Advantage Corp. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。