第2回 グループ・ポリシーとは何か：グループ・ポリシーのしくみ（3/5 ページ）

[畑中哲，著]

グループ・ポリシー・エディタ

　GPOの編集は、グループ・ポリシー・エディタ（GPEdit）で行う。グループ・ポリシー・エディタは、「マイクロソフト管理コンソール（MMC）」のスナップインである。MMCは拡張のためのインターフェイスを備えており、グループ・ポリシー・エディタもその拡張性を利用して、さまざまな形態のポリシー編集を可能にしている。システム・ポリシー・エディタには拡張性がなかったが、これもシステム・ポリシーとグループ・ポリシーの違いの1つだ。

　それでは実際にグループ・ポリシー・エディタを開いて、GPOを読み込んでみよう。まず［スタート］メニューの［ファイル名を指定して実行］で「mmc」と入力し、MMCコンソールを起動する。　次にMMCの［ファイル］−［スナップインの追加と削除］メニューで［グループ ポリシー オブジェクト エディタ］スナップインを追加する。すると、［グループ ポリシーオブジェクトの選択］ウィザードが開き、どのGPOを開くか選択を求められる。デフォルトでは［ローカル コンピュータ］が選択されているはずだ。これは、LGPOのことだ。そのまま［完了］をクリックすればLGPOが開かれる。

グループ・ポリシー・オブジェクト・エディタ・スナップインの追加
MMCを起動し、スナップインの追加で［グループ ポリシー オブジェクト エディタ］を追加する。すると、操作対象のオブジェクトを選択するウィザードが起動するので、［ローカル コンピュータ］を選択する。
　（1）MMCを起動して［ファイル］メニューの［スナップインの追加と削除］を実行し、スナップインを追加する。
　（2）［グループ ポリシー オブジェクト エディタ］を追加する。
　（3）スナップインを追加すると、このように操作対象のGPOを選択するウィザードが起動する。
　（4）デフォルトではローカル・コンピュータ場のLGPOを開く。
　（5）これをクリックするとLGPOの表示／編集が行える。

　［完了］をクリックして［スナップインの追加と削除］ダイアログを閉じたら、MMCにはLGPOを読み込んだ状態のグループ・ポリシー・エディタが表示される。

　ただしLGPOを開くだけなら、［スタート］メニューの［ファイル名を指定して実行］で「gpedit.msc」と入力すれば、以上の操作を省略して最初からLGPOを読み込んだ状態でグループ・ポリシー・エディタを開くことができる。LGPOを開きたい場合は通常はこの方法を使えばよいだろう。

グループ・ポリシー・エディタ
GPOを編集するためのGUIツールがグループ・ポリシー・エディタである。グループ・ポリシー・エディタでGPOを開くと、このようなツリーが出てくる。これが、現在開いているGPOで定義され、このグループ・ポリシー・エディタで編集できるポリシーだ。画面はLGPOを開いたグループ・ポリシー・エディタ。
　（1）さまざまなカテゴリーで分類されたポリシーの一覧。［コンピュータの構成］と［ユーザーの構成］からなる。
　（2）コンピュータに適用されるポリシー。
　（3）ユーザーに適用されるポリシー。
　（4）左ペインで選択したカテゴリー内にあるポリシーの一覧。

コンピュータとユーザー

　グループ・ポリシー・エディタ上には、GPOの内容が［コンピュータの構成］と［ユーザーの構成］として大きく分類されて表示されている。

　［コンピュータの構成］は、コンピュータに対するポリシーである。このGPOが適用されるコンピュータには、この［コンピュータの構成］内のポリシーが適用される。LGPOの場合、GPOの適用先はローカル コンピュータ自身だから、ローカル・コンピュータ自身に適用されることになる。

　［ユーザーの構成］は、ユーザーに対するポリシーである。このGPOが適用されたコンピュータに誰かユーザーがログオンすると、この［ユーザーの構成］内のポリシーがそのユーザーに適用される。LGPOの場合、ローカル・コンピュータにログオンしたユーザーに適用されることになる。

　このような、コンピュータとユーザーという分け方は、システム・ポリシーと同じだし、レジストリのHKEY_LOCAL_MACHINEとHKEY_CURRENT_USERにも似ている。

グループ・ポリシー設定のコンポーネント化

　グループ・ポリシーは拡張可能な設計になっていることはすでに述べたとおりであり、グループ・ポリシーの設定と適用はコンポーネント化されている。1つのGPOにはいくつものポリシーが含まれているが、複数のコンポーネントがポリシーの一部ずつをそれぞれ担当することによって成り立っている。コンポーネントによって拡張されていない素のグループ・ポリシーは、単なるフレームワークにすぎない。

　グループ・ポリシー・エディタ上のツリー構成には、おおむねこのコンポーネントごとの分担が反映されている。

グループ・ポリシー・エディタ上のポリシー分類とコンポーネント
グループ・ポリシーはコンポーネント化されており、それぞれのコンポーネントがポリシーの一部ずつを担当している。グループ・ポリシー・エディタ上で表示されているツリー状の分類は、これらのコンポーネントごとの分担をおおむね反映している。例えば、画面の（1） 〜（6） は別々のコンポーネントが担当している。
　（1）コンピュータの起動／終了時、ユーザーのログオン／ログオフ時にスクリプトを実行させるポリシー。
　（2）アカウントのパスワード／ロックアウトの設定や、監査、ユーザーの権利などを定めるポリシー。
　（3）ソフトウェアの実行を制限するポリシー。
　（4）IPSecのポリシー。
　（5）Internet Explorerのポリシー。
　（6）レジストリに何らかの値を設定するポリシー。

　この画面では上記のようなツリーがあるが、OSによってツリーの構成は異なる。それは、OSによってサポートされているコンポーネントが異なるためだ。

　このようにポリシーがコンポーネント化され、いくつかのコンポーネントが分担することによって成り立っていることは、意識しておいた方がよい。それぞれのコンポーネントによって動作の性格が大きく異なり、ポリシー設定の検討やトラブルシューティングの方針も異なってくるからだ。