グループポリシーを使って楽々管理

2009年1月26日(月)
安納 順一

グループポリシーとは

グループポリシーとは、Windows 2000 Serverから実装されたユーザーおよびコンピュータの運用管理機構である。Windows NT 4.0時代のシステムポリシーが大幅に改良され、より広くかつ深い管理が可能となった。

ここで、以下の要件を考えてみよう。

  • 数百台のWindowsクライアントが存在している
  • 社内のプロキシーサーバーのホスト名変更に伴い、全クライアントのInternet Explorerのプロキシーサーバー設定を変更する必要がある

上記要件を実現する最も単純な方法は、全利用者にメールを送付してプロキシーサーバーの設定を周知徹底することだろう。一見簡単に思えるが、現実はそうではない。「周知徹底ほど難しいことは無い」ことは現場の運用管理者であればいやというほど知っている。「たかだかプロキシーサーバーの設定」であっても、経験の無い利用者にとっては敷居が高く難解な課題なのだ。

こうした問題は「グループポリシー」を使用すると簡単に解決できる。サーバーのグループポリシー管理コンソールを使用して、ブラウザの環境を変更するだけでよいのだ。設定後は、次回ユーザーがログオンする際に、自動的に変更後のプロキシーサーバーの設定が適用される。

ここでは最も単純な例を挙げたが、グループポリシーが持つ設定項目は約3000項目にも及び、ほぼすべてのデスクトップ設定をグループポリシーで集中管理することができる。ただし、サポートされる設定項目はOSのバージョンごとに異なるため注意が必要だ。OSごとにサポートされている設定項目については、以下に示すドキュメントに詳しい。

Group Policy Settings Reference for Windows Server 2008 and Windows Vista SP1(英語)

なお、本稿ではローカルコンピュータ単体を管理する「ローカルグループポリシー」については扱わない。グループポリシー全体については、以下を確認してほしい。

Windows Serverのグループポリシー

グループポリシー適用の動作

図1-1をご覧いただきたい。Active Directoryドメインを構築すると、ドメインコントローラによりグループポリシーを集中管理することができる。これは、ドメインのメンバーであるサーバーおよびクライアントが持つの多くの環境設定項目を個別に変更しなくてもよいことを意味する。

グループポリシーは、コンピュータ用の設定とユーザー用の設定の2つのカテゴリに大きく分けられる。前者を「コンピュータポリシー」、後者を「ユーザーポリシー」と呼ぶ。また、グループポリシーの実体を「グループポリシーオブジェクト(以下GPO)」と呼ぶことも覚えておこう。

コンピュータポリシーは「サーバーやクライアント自身の動作環境」を管理するものであり、例えば「収集する監査ログの内容」や「ファイルシステムへのアクセス権の設定」「Windowsファイアウォールの設定」などが含まれる。適用のタイミングはコンピュータの起動時だ。

ユーザーポリシーはユーザー自身のプロファイルを管理するものであり、例えば「Internet Explorerを含む各種アプリケーションの環境設定」「デスクトップの背景やスクリーンセーバーなどのコントロールパネル系の設定」「アプリケーションやシステム機能の使用禁止に関する設定」などが含まれる。適用のタイミングはユーザーのログオン時である。

グループポリシーの管理において重要な概念の1つが適用の優先順位だ。図1-2をご覧いただきたい。GPOはActive Directoryの各階層に関連付けることができ、その配下にいるコンピュータやユーザーには上位の階層に関連付けられた(リンクされた)GPOがすべて適用される。

例えば、「第一営業部」というOU(Organizational Unit)に存在するユーザーには、「第一営業部」に関連付けられたOU以外に、「Contoso.jpドメイン」「営業部」OUに関連付けられたGPOが適用される。ただし、その優先度は上位であるほど低くなる。つまり、ユーザーがログオンするとはじめに最も上位のContoso.jpドメインに関連付けられたGPOが適用され、次に営業部OU、最後に第一営業部OUのGPOが適用される。適用は、特別に指定した場合を除き、上位の設定が下位の設定により上書きされる。

ファイルサーバーの運用管理では、クライアントを使用するユーザーが、難しい設定をすることなく、容易にサーバーにアクセスできることも重要である。以降では数あるグループポリシーの中から、サーバーおよびクライアント、ユーザーに適用することでファイルサーバーの運用コストを低減できる代表的な項目として、「フォルダリダイレクト機能」について紹介する。

マイクロソフト株式会社
国内コンピュータメーカーにて15年のフィールドSEとパッケージ開発経験を経て2007年マイクロソフトに入社。IT Pro 向けエバンジェリストとしてマイクロソフトの製品技術を広く伝える仕事に就く。http://blogs.technet.com/junichia/

Think ITメルマガ会員登録受付中

Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。

Think ITメルマガ会員のサービス内容を見る

他にもこの記事が読まれています