連載
» 2006年06月08日 00時00分 公開

グループ・ポリシーのしくみ:第4回 グループ・ポリシーの適用 (4/4)

[畑中哲,著]
前のページへ 1|2|3|4       

管理用テンプレート:「管理されているポリシー」と「設定(preferences)」

 実は、管理用テンプレートのポリシーすべてがこのような「管理されているポリシー」というわけではない。以下のレジストリ・キーに対する設定だけが、「管理されているポリシー」である。

  • HKU\Software\Policies
  • HLM\Software\Policies
  • HKU\Microsoft\Windows\CurrentVersion\Policies
  • HLM\Microsoft\Windows\CurrentVersion\Policies

 管理用テンプレート・ファイル(.admファイル)には、これら以外のキーに対する設定を定義することもできる。そのような、Policiesキー以外に値を設定するポリシーは、単に「設定(preferences)」あるいは「(Windows NT 4.0の)システム・ポリシー設定」などと呼ばれる。

 このような「設定」は、デフォルトではグループ・ポリシー・エディタに表示されず設定できない。「設定」をグループ・ポリシー・エディタに表示するには、[管理用テンプレート]フォルダを選択し、[表示]−[フィルタ]で[完全に管理されているポリシー設定のみ表示します(Only Show Policy Settings That Can Be Fully Managed)]というチェック・ボックスをオフにする必要がある。

[設定]を表示させるためのフィルタ
グループ・ポリシー・エディタの[表示]−[フィルタ]を変更すれば、「設定」も表示/編集することができる。
 (1)このチェックを外す。

 このチェック・ボックスをオフにすると、次のように、「設定」が、赤い印の付いたアイコンでグループ・ポリシー・エディタ上に表示されるようになる。

グループ・ポリシー・エディタに表示した「設定」
「設定」を定義している例。これは「How to Disable Windows 2000 Dynamic Domain Name System Registrations with Group Policy(サポート技術情報)」の管理用テンプレート・ファイルを追加したグループ・ポリシー・エディタの画面例。[フィルタ]オプションをデフォルトから変更すると、このように「設定」が赤い印の付いたアイコンで表示される。
 (1)赤い印の付いたアイコンで表示された「設定」の例。

 このようにオプションを変更すれば、「管理されているポリシー」以外の「設定」もグループ・ポリシー・エディタで表示/編集し、そのGPOは通常どおりリンク(適用)させることができる。ただし、「設定」には以下のような、システム・ポリシーと同様の欠点がある。

■各ユーザーのレジストリ(HKEY_CURRENT_USER)に対する設定は、各ユーザーがログオン後に自分で変更できてしまう

 HKEY_CURRENT_USERのキーには通常、そのユーザーがフル・コントロールのアクセス権を持っているため、ユーザー自身で変更することができる。これに対して「管理されているポリシー」のPoliciesキーは、各ユーザーが変更できないようなアクセス権が設定されている。

■tattoo effect

 1度設定されたレジストリは、その後ポリシーを「未構成」にしても、レジストリに設定されたまま残り続ける(tattoo effect)。

 「設定」は、デフォルトの管理用テンプレート・ファイルでは定義されていない。「設定」は、グループ・ポリシーにあまり対応していないアプリケーションやコンポーネントを管理用テンプレートで管理したい場合に用いられることが多い(例:「How to Disable Windows 2000 Dynamic Domain Name System Registrations with Group Policy(サポート技術情報)」)。やむを得ず「設定」を用いる場合には、このような欠点があることを考慮しておく必要がある。「設定」の使用は必要最小限にとどめ、多くの「設定」を導入することはできれば控えたいところだ。

ローカルからリモートへの接続と編集

 以上、GPOの構成と適用を、LGPOと管理用テンプレートを中心に見てきた。

 ポリシーはGPOという単位でまとめられている。GPOの編集はどのコンピュータから行ってもよい。ローカル・コンピュータに保存されているLGPOであっても、リモート・コンピュータからある程度編集することはできる。

 リモート・コンピュータ上のLGPOを編集するには、まず[ファイル名を指定して実行] でMMCコンソール(mmc.exe)を起動する。次に[ファイル]−[スナップインの追加と削除]で[グループ ポリシー オブジェクト エディタ]を追加する。すると、[グループ ポリシー オブジェクトの選択]ウィザードが開き、どのGPOを開くかの選択を求められる。ここで[参照]ボタンをクリックし、[グループ ポリシー オブジェクトの参照]を開き、[コンピュータ]タブで[別のコンピュータ]を選び、編集するLGPOのあるコンピュータを指定すればよい。

 あるいは、[ファイル名を指定して実行]で

gpedit.msc /gpcomputer:"<編集するLGPOのあるコンピュータ名>"

と指定してもよい。例えば「gpedit.msc /gpcomputer:"server.example.com"」などとする(引用符の位置に注意)。

編集と適用の独立性

 これまで見たように、編集するときにはGPOに書き込むが、適用するときには読み取るだけである。従って、GPOの独立性は高い。

 また、GPOの適用は、各コンピュータ(上のUserEnv.dllや各CSE)が処理を行っている(第2回参照)。従って、基本的には、各コンピュータが自分の適用すべき(リンクされている)GPOを知り、GPTをはじめとしたGPOの実体にアクセスすることさえできれば、グループ・ポリシーは適用することができる。

LGPOからActive Directoryによる組織的な管理へ

 第2回で述べたように、LGPOは、ローカル・コンピュータ上に保存され、各コンピュータは暗黙にそれを自分に適用すべきGPOと知っていた。だから適用することができていたわけだ。これを組織的な管理に拡張するには、GPOをネットワーク上に保存し、どのGPOを適用すべきか(リンクされているか)を各コンピュータが検索することができるようにすればよい。Active Directoryでは、当然、GPOをドメイン・コントローラに保存し、ドメインの各メンバー・コンピュータがディレクトリを検索してリンクされているGPOを知る、という形になる。各メンバー・コンピュータが、リンクされているGPOを知り、その実体にアクセスしたら、あとはLGPOの場合と同じようにそのGPOを適用すればよい。


「[Windows技術解説] グループ・ポリシーのしくみ ―― 統一的なクライアント管理を実現するActive Directoryグループ・ポリシーを知る ―― 」のインデックス

グループ・ポリシーのしくみ

前のページへ 1|2|3|4       

Copyright© Digital Advantage Corp. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。