連載
» 2006年08月04日 00時00分 公開

グループ・ポリシーのしくみ:第5回 Active Directoryにおけるグループ・ポリシー (3/3)

[畑中哲,著]
前のページへ 1|2|3       

GPOの実体(GPTとGPC)

 LGPO の実体は、グループ・ポリシー・テンプレート(GPT)として、%SystemRoot%\System32\GroupPolicy\ に保存されている。

 これに対して、Active DirectoryのGPTは、ドメイン・コントローラのSYSVOL共有に保存される。

Active DirectoryのGPT
これはSYSBOL共有フォルダの内容をツリー表示したもの。Active Directoryのグループ・ポリシー・テンプレート(GPT)は、ドメイン・コントローラのSYSVOL共有に保存される。
 (1)SYSVOL共有。
 (2)ドメイン名。
 (3) GPTはここに保存される。
 (4)各GPOのGPT。1つの{GUID}以下が、1つのGPOのGPT。

 Policiesの下に{GUID}フォルダがいくつか並んでいる(例:{6AC1786C-…}など)。1つの{GUID}以下が、1つのGPOのグループ・ポリシー・テンプレート(以下GPT)である。Active DirectoryではGPOをGUIDで識別する。

 GPTの構成はLGPOのGPTとほとんど同じなので、そちらの解説を参照していただきたい。

 ただし、GPT.iniには重要な違いがある。LGPOのGPT.iniは、バージョン情報以外にもいくつか情報を持っている。Active Directoryでは、これらの情報はGPT.iniには保存されず、代わりにディレクトリ上に保存されている。ドメイン・パーティションのSystemの下のPoliciesである。Policiesの下に、各GPOの情報が並んでいる。GPOを識別するのは、GPTと同じGUIDである。

グループ・ポリシー・コンテナ(GPC)
Active Directoryでは、GPTだけでなく、ディレクトリ上にもGPOの情報が保存される。これはグループ・ポリシー・コンテナ(GPC)と呼ばれる。これは、[表示]メニューの[拡張機能]を有効にした状態の、[Active Directory ユーザーとコンピュータ]ツールの画面。
 (1)GPOの保存されているドメイン。
 (2)GPCはここに保存される。
 (3)各GPOのGPC。1つの{GUID}以下が、1つのGPOのGPC。

 GPOのうち、このようにディレクトリに保存されている部分は、グループ・ポリシー・コンテナ(GPC)と呼ばれる。

 GPCはActive Directoryのディレクトリの一部にすぎないので、そこに保存されている情報は、ADSIEdit(サポート・ツール)やLDAPのクエリ・ツールなど、一般的なActive Directoryの管理ツールで調べることができる。GPCに保存されている主要な情報についてはLGPOのGPT.iniと同じなので、そちらの解説を参照していただきたい。

GPOの複製と、クライアント・コンピュータからのアクセス

 GPTが保存されるSYSVOL共有は、分散ファイル・システム(DFS)によって、クライアント・ンピュータに提供される。つまり、SYSVOL共有はドメイン・コントローラ間で複製され、同期されており、クライアント・コンピュータからは、物理的には分散しながらも内容は同期されたSYSVOL共有にアクセスすることができる。GPTもその一環として、ドメイン・コントローラ間で複製/同期され、クライアント・コンピュータからアクセスを行うことができる。

 もし、DFSおよびそれが依存するファイル複製サービス(FRS)に異常があったり、SYSVOL共有のファイル・システムに異常が発生したりすると、GPTにも正しくアクセスすることができなくなる。例えば、次のようなエラーが発生する。

 このような原因で問題が発生した場合、このサポート技術情報のように、各クライアント・コンピュータ上のエラー・イベントを調べれば、SYSVOL共有へのアクセスに問題があることが分かることが多い。LGPOの場合と同じく、クライアント上で注目すべきイベント・ソースは、グループ・ポリシーのエンジン(UserEnv)や各CSE(SCECliなど)である。

 一方、GPCは通常のディレクトリ・パーティションの複製のしくみ(KCCとISTGによる)によって、ドメイン・コントローラ間で複製/同期が行われている。

 このようにGPTとGPCは別々のサービスによってドメイン・コントローラ間で複製されているので、ある時点では両者のバージョンが一致しているとは限らない。一致していない場合でも、通常はクライアント側で問題は起きないようになっている。しかし、リンクしたGPOがいつまでたってもクライアント・コンピュータに適用されないときなどは、GPTとGPCの内容を調べる必要はあるだろう。例えば、筆者の管理していたドメインにおいて、ドメイン・コントローラで異常な再起動が発生し、復旧処理を行った後、ポリシーが適用されなくなったことがある。原因は、復旧処理によってGPTのファイルのアクセス権が変わってしまったためであった。

 なお、クライアント・コンピュータがGPOにアクセスし、適用するタイミングは、LGPOの場合と同じである(LGPOもActive DirectoryのGPOも、すべてまとめて同じタイミングで適用される)。


 今回は、Active Directoryにおけるグループ・ポリシーと、コンテナへのリンク、GPOの実体と編集方法などについて解説した。次回は、Active Directoryにおけるグループ・ポリシーの継承と優先度などについて解説する。


「[Windows技術解説] グループ・ポリシーのしくみ ―― 統一的なクライアント管理を実現するActive Directoryグループ・ポリシーを知る ―― 」のインデックス

グループ・ポリシーのしくみ

前のページへ 1|2|3       

Copyright© Digital Advantage Corp. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。