＠IT：Windows TIPS -- Tips：グループ・ポリシー管理を強力に支援するGPMCを活用する

Windows TIPS

［System Environment］

→ Windows TIPS TOPへ
→ Windows TIPS全リストへ
→ 内容別分類一覧へ

グループ・ポリシー管理を強力に支援するGPMCを活用する

デジタルアドバンテージ
2003/05/24
2004/01/24
2008/06/06 更新

対象OS

Windows XP Professional

Windows 2000 Server

Windows 2000 Advanced Server

Windows Server 2003

Windows Vista

Windows Server 2008


■	大規模なネットワークを統一的に管理するには、Active Directoryとグループ・ポリシーを活用するとよい。
■	しかし従来は、グループ・ポリシー・オブジェクト（GPO）のバックアップが行えないことや、GPOの適用テストなどを簡単に行えないため、大規模ユーザーがグループ・ポリシーを積極的に活用するのは困難だった。
■	グループ・ポリシー管理コンソールを利用すれば、これらの問題を解消して、グループ・ポリシーを柔軟に活用できるようになる。

解説

　Active Directoryを利用したネットワークの集中管理において、大きな役割を果たすのがグループ・ポリシーである。グループ・ポリシーを利用することで、Windowsドメインに参加するすべてのコンピュータに対し、管理者が設定したポリシー（環境設定）を強制的に適用できるようになる。これにより例えば、セキュリティ設定やソフトウェア・インストール、スクリプト実行の制限、ログオン・ログオフ設定、フォルダ・リダイレクトの制限などを行うことが可能だ。グループ・ポリシーの適用はOU（組織単位）ごとに設定できる。

　グループ・ポリシーの設定を行うには、管理コンソール（MMC）の［グループポリシー］スナップインを利用する。これには、設定したいポリシーのレベルに応じて、コントロール・パネルの［管理ツール］にある［Active Directoryユーザーとコンピュータ］か［Active Directoryサイトとサービス］のいずれかのアイテムを実行する。そしてツリー表示からグループ・ポリシー・オブジェクト（以下GPO）を作成したいActive Directoryコンテナ（ドメインやOUなど）をマウスで右クリックし、表示されるメニューの［プロパティ］を実行する。こうして表示されるダイアログの［グループポリシー］タブを選択し、GPOを新規作成するには［新規］ボタンを押してGPOに名前を付ける。次にこのGPO（または既存のGPOを編集するなら、その項目）を選択して、［編集］ボタンをクリックする。

［Active Directoryユーザーとコンピュータ］のツリーから表示されたプロパティ・ダイアログ

新しいGPOの作成、既存GPOの編集はここから実行できる。

		新しいGPOを作成するにはこれをクリックする。するとに新しい項目ができるので、適当な名前を付ける。
		既存のGPOを編集するには、で編集したい項目を選択してこのボタンをクリックする。
		現在設定されているGPOがここに一覧表示される。

　ここで、GPO一覧から項目を選択し、［編集］ボタンをクリックするとMMCが起動され、［グループ・ポリシー］スナップインがロードされる。

［グループ・ポリシー］エディタ

左側のツリーから設定カテゴリを選択すると、選択可能な項目が右のペインに表示される。項目をダブルクリックすると、設定を変更できる。

強力でメリットもあるが、積極的に使いにくかったグループ・ポリシー

　グループ・ポリシーを利用した集中管理は非常に強力であり、特に大規模なネットワークを管理する上では数々のメリットがある。しかしいくつかの理由から、大規模ユーザーが積極的にこれを利用するのは困難だった。

　まず、GPOのバックアップ、リストアを行うための標準的な手段がない。このため、詳細な設定を行ったGPOの情報を失うと、1から設定をし直さなければならない。また、ある程度ベースとなるポリシーのセットを設定しておき、それを一部修正しながらグループ単位に一部カスタマイズしたポリシーを用意することなども簡単にできない。

　第2の問題は、設定したGPOがどのように適用されるのかを簡単にシミュレーションする方法がないことだ。特にGPOの扱いに慣れないうちは、GPOがどのように適用されるか分からずに、トライ＆エラーを繰り返すものだが、これには実際にGPOを設定し、コンピュータに適用されるところを調べるしかなかった。

　つまり、グループ・ポリシーのメリットが生きるのは、多数のコンピュータを抱える大規模ネットワークなのだが、上記のような理由から、大規模環境で本格的にグループ・ポリシーを活用するのは容易ではなかった。

グループ・ポリシーの単一管理インターフェイスを提供するGPMC

　この問題を解決して、グループ・ポリシー活用を促すために、マイクロソフトは「グループ・ポリシー管理コンソール（Group Policy Management Console、以下GPMC）」というツールを開発し、Webサイトで公開している。

グループポリシー管理コンソールによる企業システムの管理（マイクロソフトダウンロードセンター）

　当初公開されたGPMCのバージョンは1.0であったが、2004年1月13日には、不具合の修正や使用ライセンスの更新などを行った新しい「グループポリシー管理コンソール (GPMC) Service Pack 1」が公開された（バージョンは1.0.1）。GPMCをインストールするには、以下のページからインストール・プログラムをダウンロードして実行すればよい。

グループ・ポリシー管理コンソールSP1のダウンロード・ページ（マイクロソフトダウンロードセンター）

グループ・ポリシー管理コンソール

グループ・ポリシーの設定やシミュレーション、バックアップなど、GPOの管理作業を1つの窓口で実行可能にした。GPMCもMMCスナップインとして開発されている。

		現在定義されているフォレスト。
		現在定義されているドメイン。
		現在定義されているグループ・ポリシー。ドラッグ＆ドロップで簡単にOUへ適用したり、コピーしたりできる。
		現在定義されているサイト。

　GPMCでは、GPOの設定からGPOの適用シミュレーションなど、グループ・ポリシーに関するすべての処理をここから行うことができる。

　GPMCによって提供される主要な機能は次のとおり。

単一で使いやすいGUI：グループ・ポリシーの管理や運用支援を統一的に行えるMMCスナップインを提供（複数フォレストにも対応）。
ドラッグ＆ドロップによる操作：あるグループに適用されているGPOを別のグループにドラッグ＆ドロップによって適用する、テスト用のフォレストから本番用のフォレストにGPOをドラッグ＆ドロップによって適用するなどが可能になる。
GPOのバックアップとリストア：設定したGPOの内容をバックアッップし、必要に応じてリストできるようになった。
シミュレーション機能／適用状況の検証機能：例えばユーザーが本来とは異なる事業所にいって端末にログオンしたとき、どのようなポリシーが適用されるかなどをGPMCの内部でシミュレーションすることが可能。
スクリプト機能：GPMC内部の処理はすべてスクリプトによる制御が可能。これにより、決まりきった操作に関するスクリプトを記述し、自動化することが可能。
レポート機能：GPOの設定内容と、ポリシーの結果セット（RSoP）をHTML形式でレポートする。

GPMCを利用したポリシーの適用結果のシミュレーション

GPMCの適用結果の表示機能を使えば、さまざまな状況でグループ・ポリシーがどのように適用されるのかを調査することができる。

		グループ・ポリシーを適用するコンピュータやユーザー名。
		指定された環境における適用結果が表示される。
		結果の詳細。

　GPMCをインストールすることができるのはWindows XP SP1かWindows Server 2003だけで、Windows 2000にはインストールできない。またWindows XPにインストールするときには、あらかじめSP1を適用した上で、さらに.NET Frameworkをインストールしておく必要がある。

　いま述べたようにWindows 2000にGPMCをインストールすることはできないが、管理対象としては、Windows 2000ドメインのグループ・ポリシーも、Windows Server 2003ドメインのグループ・ポリシーも操作できる。ただしセキュリティ上の問題から、GPMCを利用するコンソールと同一のフォレスト内にあるWindows 2000 Serverを管理するには、Windows 2000 Server側にSP2以降（推奨はSP3以降）のService Packを適用する必要がある。また別フォレストにあるWindows 2000 Serverを管理するには、Windows 2000 Server側にSP3以降のService Packを適用する必要がある。

　なお当初のGPMCはライセンス・フリーではなく、利用にあたってはWindows Server 2003の有効なライセンスが最低1つ必要であった（Windows 2000 Serverのライセンスだけでは利用できない）。だがGPMC SP1ではこのライセンス制約は緩和され、Windows Server 2003が存在しない場合でも、（Windows 2000 Serverによる）Active Directoryドメイン上のWindows XPマシンにインストールして利用することが許可されている。

Windows Vista／Windows Server 2008向けのGPMC

　Windows Vista（Service Pack未適用版）向け、およびWindows Server 2008向けのGPMCは、あらかじめOSに含まれているので、別途ダウンロードしてインストールする必要はない。

　Windows Vista Service Pack 1（SP1）にはGPMCは含まれていないし、Service Pack未適用のWindows VistaにSP1を適用すると、（互換性のために）GPMCは削除され、利用できなくなる。そのためGPMCが必要ならば、TIPS「RSATツールでWindows Server 2008をリモート管理する」の方法でリモート・サーバ管理ツールRSATをインストールする必要がある。Windows Vista SP1向けのGPMCはこのRSATツールの中に含まれている。

この記事と関連性の高い別の記事

このリストは、デジタルアドバンテージが開発した自動関連記事探索システム Jigsaw（ジグソー）により自動抽出したものです。

generated by

更新履歴

【2004/01/24】GPMC SP1に関する情報を追加して修正しました。
【2008/06/06】Windows Vista／Windows Server 2008向けの GPMCに関する情報を追加しました。

「Windows TIPS」

Windows Server Insider フォーラム新着記事

Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる （2017/7/27）
　AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう
Azure Storage ExplorerでStorageを手軽に操作する （2017/7/24）
　エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう
Win 10でキーボード配列が誤認識された場合の対処 （2017/7/21）
　キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう
Azure Web AppsでWordPressをインストールしてみる （2017/7/20）
　これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた！まずはWordPressをインストールしてみる