ではグループ・ポリシーの詳細を見ていこう。グループ・ポリシーといえば、難解な印象もある。確かに難解にすることもできるが、それはActive Directoryで、複雑な継承や、継承のブロックを行ったり、拡張機能を多用した場合だ。まずはごく基本的な機能から使用すれば、あまり難しいことはない。またそれだけでも得られるメリットは十分ある。
そこでまずはグループ・ポリシーの基本概念である「グループ・ポリシー・オブジェクト(GPO)」と「リンク」について見てみよう。
グループ・ポリシーの最も基本的な構成要素として、GPOがある。
システム・ポリシーではレジストリしか設定しなかった(できなかった)ので、「ポリシー」=「レジストリ設定」というものが1つあるだけと考えれば十分だった。だがグループ・ポリシーでは、レジストリ設定は重要な柱として依然存在するものの、それは数あるポリシーの一部にすぎない。ほかに、ソフトウェアを配布するポリシーや、レジストリやファイルのアクセス権を規定するポリシーなど、いくつものカテゴリーのポリシーがある。まずは、これらすべてのポリシー設定をまとめたものをGPOとして考えればよいだろう。
このGPOを管理者が作成し、それをどこかに保存し、必要に応じてコンピュータやユーザーに適用するのがグループ・ポリシーの基本動作である。
「適用する」といっても、管理者が「いますぐ一斉適用」のような指令を出して一斉に適用するようなものではない。各コンピュータがそれぞれのタイミングでGPOにアクセスし、必要に応じて自らに適用する。このように各コンピュータがプル実行的に適用を行う点は、システム・ポリシーと同じだ(プル実行とは、各コンピュータが自分自身でGPOを取得し、自分自身に適用・実行すること。外部から送り込まれて実行させられるプッシュ実行とは反対の概念)。
グループ・ポリシーのこのような適用のされ方だけを見ると、管理者がファイル・サーバに保存したポリシー・ファイルをコンピュータやユーザーに適用するシステム・ポリシーと、大して変わらないように思えるかもしれない。だがそこには大きな違いがある。
グループ・ポリシーでは、GPOと何かとの間に適用関係を結ぶことを「リンク」と呼ぶ。例えば、「営業部用ポリシー」というGPOを作成し、「営業部」という組織単位(OU)に適用する場合、「営業部用ポリシー」GPOを「営業部」OUにリンクするという。
システム・ポリシーでは、各コンピュータには1つのポリシー・ファイルが適用されるだけだった。これに対して、グループ・リシーのリンクは1対1や1対多の関係にとどまらない。多対多でリンクすることができる。同じGPOを複数の対象にリンクしたり、逆に複数のGPOを1つの対象にリンクしたりすることができる。ここから、よりきめ細かい運用や、階層化、再利用などの可能性が開ける。
このGPOの1つが、ローカル・コンピュータに保存され、ローカル・コンピュータ自身にリンクされているとしたらどうなるだろう。特に難しいことはない。ローカル・コンピュータに保存されているそのGPOが、そのローカル・コンピュータ自身に適用されることになるだろう。
グループ・ポリシーに対応しているWindows(Windows 2000以降のOS)は、サーバ/クライアントを問わず、ドメインに所属しているいないにかかわらず、すべてこのようなGPOを最初から持っているものと考えていただきたい。このGPOを特に「ローカル・グループ・ポリシー・オブジェクト(LGPO)」と呼ぶ。LGPO自身や、LGPO内のポリシーや、LGPOの存在と適用のしくみなどを総称して「ローカル・グループ・ポリシー」と呼ぶこともある。特別な呼び名はあるものの、GPOが存在し、そのGPOが何か(この場合ローカル・コンピュータ)にリンクされていると考えればよいという点には変わりはない。
以下ではグループ・ポリシーのメカニズムを見ていくうえで、Windows XP上のLGPOを主な例として取り上げる。前述のように、特別な呼び名はあるが、グループ・ポリシーとしての基本概念や動作に違いはない。保存場所も適用対象も1つのローカル・コンピュータ内で完結しているから、Active Directoryは必要ない。何か間違えても、ローカル・コンピュータにしか影響はないので、実際に試してみるのも簡単だ。
Copyright© Digital Advantage Corp. All Rights Reserved.