当記事は、Windowsにおけるグループポリシーの考え方と設定方法についてご紹介します。
グループポリシー
Windows OSにおける「ポリシー」とは、システムに関する機能やセキュリティ対策についての運用基準を指します。
Windows Serverにはさまざまなポリシーがありますが、適用範囲によって区別した場合、「グループポリシー」と「ローカルセキュリティポリシー」に分けることができます。
「グループポリシー」は、Active Directoryドメインに所属しているコンピューターやユーザーに様々なルールを設定し、Active Directoryのディレクトリデータベースで集中管理する機能です。
グループポリシーはサイトやドメイン、組織単位に割り当てることができ、これらのコンテナーに所属しているユーザーやコンピューターに、様々な制限(ルール付け)を設定することができます。
この機能を利用することで、ある組織単位のユーザー全員に共通のデスクトップ環境を使用させたり、すべてのコンピューターに様々なセキュリティに関する制限を一括に制御したりすることができます。
グループポリシーの利点
コンピューターやユーザーの環境は、レジストリで管理しているため、コントロールパネルやレジストリエディターでレジストリの内容を編集すれば、コンピューターやユーザーの環境を個別に設定することができます。
しかし、個々で設定するとユーザーやコンピューターなどが増えた際に、管理が困難になってしまいます。
また、様々なツールを使って設定すると設定も煩雑になってしまいます。
グループポリシーを使用するとこのような管理の負荷を減らすことができるようになります。
グループポリシーの利点は次のとおりです。
- 組織単位やドメインの単位でまとめて管理することができるため、個々に管理する必要がなくなる
- インストールやアプリケーションの利用なども集中管理できるため、管理の負荷を減らせる
- 組織単位にルール付けできるため、組織の目的に応じてセキュリティ構造を構築できる
ローカルセキュリティポリシー
「ローカルセキュリティポリシー」は、ローカルコンピューターのセキュリティの基準を管理します。
ローカルセキュリティポリシーでは、ローカルコンピューターの使用権限を制限する機能の他、イベントログにユーザーやグループの動作を記録する「監査ポリシー」もあります。
ローカルセキュリティの管理には、「ローカルセキュリティポリシー」コンソールを使用します。
GPOの作成と管理
グループポリシーを利用するには、グループポリシーの設定を記述するためのオブジェクト(GPO:グループポリシーオブジェクト)を作成し、必要なポリシーを設定します。
作成した任意のGPOをドメインやOUに関連付ける(リンクする)ことにより、ポリシーが有効になります。
GPOの作成時点では、グループポリシーの内容は設定されていないため、あらかじめ用意されたGPOのテンプレートを利用することにより、効率的にグループポリシーを設定することができます。 テンプレートを利用してグループポリシーを作成する場合は、後述する「スターターGPO」で定義します。
新規にGPOを作成は、「グループポリシーの管理」で行います。
あらかじめ作成対象のドメインやOUなどを選択してから、「このドメインにGPOを作成し、このコンテナーにリンクする」を選択することで、GPO作成とリンク設定を一度に行えます。
GPOを作成する際に、まだリンク先が用意されていなかったり、後でリンクするような場合は、リンク先のないGPOとして作成することができます。
リンク先のないGPOを作成する場合は、「グループポリシーの管理」コンソールで、左ペインの「グループポリシーオブジェクト」を右クリックして、「新規」を選択します。
リンク先のないGPOを複数作成しておき、後から適用対象のドメインやOUまたは、サイトに対してリンクすることにより、グループポリシーを運用環境に合わせて使い分けることもできます。
また、既にあるノードにリンク済みのGPOを、別のOUなどにリンクさせることもできます。
「グループポリシーオブジェクト」ノード配下のGPOを、他のノードにリンクさせるには、対象のGPOを選択してリンク先のノードにドラックします。
GPOのリンクを解除したい場合は、「グループポリシーの管理」コンソールで、リンクされているGPO一覧から解除対象のGPOを右クリックして「削除」を選択します。
なお、リンクの解除を行ってもGPO自体は削除されません。
また、GPOへのリンク設定を残したまま、リンクを無効にしたい場合は、「リンクの有効化」をクリックして、チェックマークを外します。
いかがでしたでしょうか。
ぜひお勉強の際にお役立て下さい。
