第2回 グループ・ポリシーとは何か：グループ・ポリシーのしくみ（2/5 ページ）

[畑中哲，著]

　ではグループ・ポリシーの詳細を見ていこう。グループ・ポリシーといえば、難解な印象もある。確かに難解にすることもできるが、それはActive Directoryで、複雑な継承や、継承のブロックを行ったり、拡張機能を多用した場合だ。まずはごく基本的な機能から使用すれば、あまり難しいことはない。またそれだけでも得られるメリットは十分ある。

　そこでまずはグループ・ポリシーの基本概念である「グループ・ポリシー・オブジェクト（GPO）」と「リンク」について見てみよう。

グループ・ポリシー・オブジェクト（GPO）

　グループ・ポリシーの最も基本的な構成要素として、GPOがある。

　システム・ポリシーではレジストリしか設定しなかった（できなかった）ので、「ポリシー」＝「レジストリ設定」というものが1つあるだけと考えれば十分だった。だがグループ・ポリシーでは、レジストリ設定は重要な柱として依然存在するものの、それは数あるポリシーの一部にすぎない。ほかに、ソフトウェアを配布するポリシーや、レジストリやファイルのアクセス権を規定するポリシーなど、いくつものカテゴリーのポリシーがある。まずは、これらすべてのポリシー設定をまとめたものをGPOとして考えればよいだろう。

グループ・ポリシー・オブジェクト（GPO）
グループ・ポリシーには、レジストリに値を設定するポリシーだけでなく、さまざまなカテゴリーのポリシーがある。これらを1つにまとめた「グループ・ポリシー・オブジェクト（GPO）」が、グループ・ポリシーの基本単位となる。
　（1）ソフトウェアを配布するポリシー。
　（2）ファイルやレジストリのアクセス権を設定するポリシー。
　（3）レジストリに何らかの値を設定するポリシー。
　（4）1つのGPO内には、そのほかにもさまざまなカテゴリーのポリシーが含まれている。

　このGPOを管理者が作成し、それをどこかに保存し、必要に応じてコンピュータやユーザーに適用するのがグループ・ポリシーの基本動作である。

　「適用する」といっても、管理者が「いますぐ一斉適用」のような指令を出して一斉に適用するようなものではない。各コンピュータがそれぞれのタイミングでGPOにアクセスし、必要に応じて自らに適用する。このように各コンピュータがプル実行的に適用を行う点は、システム・ポリシーと同じだ（プル実行とは、各コンピュータが自分自身でGPOを取得し、自分自身に適用・実行すること。外部から送り込まれて実行させられるプッシュ実行とは反対の概念）。

GPOの作成と適用
グループ・ポリシーはGPOという単位で保存される。そのGPOを各コンピュータが取得し、自らに適用する。これがグループ・ポリシーの基本動作である。
　（1）管理者が必要に応じてさまざまなポリシーを作成・設定し、GPOとして保存する。
　（2）各コンピュータが必要に応じてGPOを取得し、自らに適用する。

グループ・ポリシーのリンク

　グループ・ポリシーのこのような適用のされ方だけを見ると、管理者がファイル・サーバに保存したポリシー・ファイルをコンピュータやユーザーに適用するシステム・ポリシーと、大して変わらないように思えるかもしれない。だがそこには大きな違いがある。

　グループ・ポリシーでは、GPOと何かとの間に適用関係を結ぶことを「リンク」と呼ぶ。例えば、「営業部用ポリシー」というGPOを作成し、「営業部」という組織単位（OU）に適用する場合、「営業部用ポリシー」GPOを「営業部」OUにリンクするという。

　システム・ポリシーでは、各コンピュータには1つのポリシー・ファイルが適用されるだけだった。これに対して、グループ・リシーのリンクは1対1や1対多の関係にとどまらない。多対多でリンクすることができる。同じGPOを複数の対象にリンクしたり、逆に複数のGPOを1つの対象にリンクしたりすることができる。ここから、よりきめ細かい運用や、階層化、再利用などの可能性が開ける。

グループ・ポリシーのリンク
上図では、リンクを線で表している。「全社用ポリシー」GPOは「総務部」OUにも「営業部」OUにもリンクしている。「営業部用ポリシー」GPOは「営業部」OUにだけリンクしている。このとき、「総務部」OUには「全社用ポリシー」GPOだけが適用される。「営業部」OUには「全社用ポリシー」GPOと「営業部用ポリシー」GPOの2つが適用されることになる。このようなリンクによって、階層化やGPOの再利用、それらを利用したよりきめ細かい運用が可能となる。

ローカル・グループ・ポリシー・オブジェクト（LGPO）

　このGPOの1つが、ローカル・コンピュータに保存され、ローカル・コンピュータ自身にリンクされているとしたらどうなるだろう。特に難しいことはない。ローカル・コンピュータに保存されているそのGPOが、そのローカル・コンピュータ自身に適用されることになるだろう。

ローカル・グループ・ポリシー・オブジェクト
グループ・ポリシーに対応しているWindowsは、デフォルトでローカル・コンピュータ上に1つのGPOを持っている。このGPOは、そのローカル・コンピュータ自身に適用される。前記のような「リンク」という概念を踏まえていえば、ローカル・コンピュータに保存されているGPOがローカル・コンピュータ自身にリンクされていると考えてもよい。このGPOを「ローカル・グループ・ポリシー・オブジェクト（LGPO）」と呼ぶ。LGPOという特別な呼び名はあるが、ポリシーを集めたGPOが存在し、それがコンピュータに適用されるという基本的な概念と動作は、ほかのGPOと同じだ。

　グループ・ポリシーに対応しているWindows（Windows 2000以降のOS）は、サーバ／クライアントを問わず、ドメインに所属しているいないにかかわらず、すべてこのようなGPOを最初から持っているものと考えていただきたい。このGPOを特に「ローカル・グループ・ポリシー・オブジェクト（LGPO）」と呼ぶ。LGPO自身や、LGPO内のポリシーや、LGPOの存在と適用のしくみなどを総称して「ローカル・グループ・ポリシー」と呼ぶこともある。特別な呼び名はあるものの、GPOが存在し、そのGPOが何か（この場合ローカル・コンピュータ）にリンクされていると考えればよいという点には変わりはない。

　以下ではグループ・ポリシーのメカニズムを見ていくうえで、Windows XP上のLGPOを主な例として取り上げる。前述のように、特別な呼び名はあるが、グループ・ポリシーとしての基本概念や動作に違いはない。保存場所も適用対象も1つのローカル・コンピュータ内で完結しているから、Active Directoryは必要ない。何か間違えても、ローカル・コンピュータにしか影響はないので、実際に試してみるのも簡単だ。