連載
» 2006年08月04日 00時00分 公開

グループ・ポリシーのしくみ:第5回 Active Directoryにおけるグループ・ポリシー (2/3)

[畑中哲,著]

Active Directoryの階層

 Active DirectoryのGPOで重要となるGPOのリンクだが、リンクは、ディレクトリ・コンテナに対して行われる。コンテナについては関連記事の「管理者のためのActive Directory入門(Windows Server 2003対応改訂版) 連載第3回」などを参照していただきたい。

■関連記事

 コンピュータ/ユーザーの管理という面から見たActive Directoryの典型的なオブジェクト階層構成は、およそ次の図のようになるだろう。

Active Directoryの典型的な階層構成
コンピュータ/ユーザーの管理という面から見ると、Active Directoryはおよそこのような構成と考えてよい。グループ・ポリシーはこの階層構成と密接に関係する。
 (1)フォレスト。Active Directoryにおける最大の単位。
 (2)サイト。論理的な階層とは独立して、物理的なネットワーク構成を反映した単位。
 (3)ドメイン。内部にさらに階層を持つ。
 (4)組織単位(OU)。ドメイン内の階層化に用いられる。
 (5)コンピュータ/ユーザー。管理上は階層の末端に位置する。

GPOとコンテナとのリンク

 GPOをリンクすることができるコンテナは、以下の3つである(上の図中の(2)(3)(4))。

  • サイト
  • ドメイン
  • 組織単位(OU)

 これらのコンテナの中でも、サイトはやや特殊である。どのコンピュータがどのサイトに属するかは、一定でない。ということは、どのサイトにリンクしているGPOがコンピュータに適用されるか、断定することができないということである。

 そういった事情から、GPOをサイトへリンクすることは、ネットワーク・トポロジに依存するような場合に限るべきである。そのような場合としては、IPSecのポリシーや、ネットワーク構成にばらつきがある環境でのWSUSサーバの指定などが考えられる。

 GPOとコンテナのリンクは、Active Directoryの管理ツール([Active Directoryユーザーとコンピュータ]など)で対象コンテナのプロパティを開き、[グループ ポリシー]タブで行う。

GPOとコンテナとのリンク
GPOとコンテナのリンクは、Active Directoryの管理ツールで対象コンテナのプロパティを開き、[グループ ポリシー]タブで行う。
 (1)GPOとコンテナのリンクを設定するには、このタブを開く。
 (2)リンクの一覧。このコンテナにリンクしているGPOが一覧表示される。
 (3)これをクリックすると、新規にGPOが作成される。新規GPOは作成と同時にこのコンテナにリンクされる。
 (4)これをクリックすると、既存のGPOから選択してこのコンテナにリンクすることができる。
 (5)GPOとのリンクを選択してこのボタンをクリックすると、リンクに対してオプションを設定することができる。

 [新規]をクリックすると、新しいGPOを作成し、同時にこのコンテナにリンクすることができる。

 [追加]をクリックすると、既存のGPOをこのコンテナにリンクすることができる。

リンクの追加
[グループ ポリシー]タブで[追加]をクリックすると、既存のGPOから選択して、コンテナへのリンクを追加することができる。
 (1)このタブでは、ドメイン/OUにリンク済みのGPOから選択することができる。
 (2)このタブでは、サイトにリンク済みのGPOから選択することができる。
 (3)このタブでは、どこにもリンクされていないGPOも含めて、すべてのGPOから選択することができる。
 (4)リンク先/保存場所のドメイン/OU/サイトを選択する。
 (5)クリックすると、新しいGPOを作成する。
 (6)既存のGPOの一覧が表示される。ここから、リンクしたいGPOを選択する。
 (7)リンクしたいGPOを選択したら、これをクリックして、コンテナへのリンクを追加する。

 [オプション]をクリックすると、リンクを有効化/無効化できる。

リンクの有効化/無効化
[グループ ポリシー]タブでリンクを選択し、[オプション]ボタンをクリックすると、リンクの有効/無効を切り替えることができる。
 (1)リンクを上書き禁止にする(後述)。
 (2)これにチェックを入れると、リンクは無効になる。チェックを外すと、有効になる。
 (3)有効/無効を選択したら、これをクリックする。

 リンクだけを有効/無効化することによって、GPO自体には変更を加えずに、コンテナへのポリシー適用を有効/無効化することができる。

 例えば、GPOの作成と編集は終了したが適用を延期したい場合には、コンテナとそのGPOとの間のリンクを無効にしておくことができる。ポリシーの適用を開始したくなったら、リンクを有効にすればよい。

 また、何らかの問題により、特定のGPOのコンテナへの適用を一時的に無効にしたい場合には、GPOとリンク自体は残したまま、コンテナへのリンクを無効にする。問題が解決したら、再びリンクを有効にすればよい。

GPOの編集方法

 Active Directoryにおいても、LGPOと同じく、GPOの編集はグループ・ポリシー・エディタ(GPEdit)で行う。

 MMCの[ファイル]−[スナップインの追加と削除]メニューで[グループ ポリシー オブジェクト エディタ]スナップインを追加する。すると、[グループ ポリシー オブジェクトの選択]ウィザードが開き、どのGPOを開くか選択を求められる。デフォルトでは[ローカル コンピュータ](LGPO)が選択されているが、[参照]ボタンをクリックすれば、次の画面のように、Active Directory上のGPOを一覧して選択することができる。

編集するGPOの選択
Active Directoryにおいても、GPOの編集には、LGPOと同じグループ・ポリシー・エディタ(GPEdit)を用いる。[グループ ポリシー オブジェクト エディタ]スナップインの[グループ ポリシー オブジェクトの参照]で、編集したいGPOを選択する。
 (1)これらのタブでは、ドメイン/OU/サイトにリンク済みのGPOから選択することができる。
 (2)LGPOを選択するためのタブ。
 (3)このタブでは、どこにもリンクされていないGPOも含めて、すべてのGPOから選択することができる。
 (4)リンク先/保存場所のドメイン/OU/サイトを選択する。
 (5)クリックすると、新しいGPOを作成する。
 (6)既存のGPOの一覧が表示される。ここから、編集したいGPOを選択する。
 (7)編集したいGPOを選択したら、これをクリックして、コンテナへのリンクを追加する。

Copyright© Digital Advantage Corp. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。