GPOの編集は、グループ・ポリシー・エディタ(GPEdit)で行う。グループ・ポリシー・エディタは、「マイクロソフト管理コンソール(MMC)」のスナップインである。MMCは拡張のためのインターフェイスを備えており、グループ・ポリシー・エディタもその拡張性を利用して、さまざまな形態のポリシー編集を可能にしている。システム・ポリシー・エディタには拡張性がなかったが、これもシステム・ポリシーとグループ・ポリシーの違いの1つだ。
それでは実際にグループ・ポリシー・エディタを開いて、GPOを読み込んでみよう。まず[スタート]メニューの[ファイル名を指定して実行]で「mmc」と入力し、MMCコンソールを起動する。 次にMMCの[ファイル]−[スナップインの追加と削除]メニューで[グループ ポリシー オブジェクト エディタ]スナップインを追加する。すると、[グループ ポリシーオブジェクトの選択]ウィザードが開き、どのGPOを開くか選択を求められる。デフォルトでは[ローカル コンピュータ]が選択されているはずだ。これは、LGPOのことだ。そのまま[完了]をクリックすればLGPOが開かれる。
[完了]をクリックして[スナップインの追加と削除]ダイアログを閉じたら、MMCにはLGPOを読み込んだ状態のグループ・ポリシー・エディタが表示される。
ただしLGPOを開くだけなら、[スタート]メニューの[ファイル名を指定して実行]で「gpedit.msc」と入力すれば、以上の操作を省略して最初からLGPOを読み込んだ状態でグループ・ポリシー・エディタを開くことができる。LGPOを開きたい場合は通常はこの方法を使えばよいだろう。
グループ・ポリシー・エディタ上には、GPOの内容が[コンピュータの構成]と[ユーザーの構成]として大きく分類されて表示されている。
[コンピュータの構成]は、コンピュータに対するポリシーである。このGPOが適用されるコンピュータには、この[コンピュータの構成]内のポリシーが適用される。LGPOの場合、GPOの適用先はローカル コンピュータ自身だから、ローカル・コンピュータ自身に適用されることになる。
[ユーザーの構成]は、ユーザーに対するポリシーである。このGPOが適用されたコンピュータに誰かユーザーがログオンすると、この[ユーザーの構成]内のポリシーがそのユーザーに適用される。LGPOの場合、ローカル・コンピュータにログオンしたユーザーに適用されることになる。
このような、コンピュータとユーザーという分け方は、システム・ポリシーと同じだし、レジストリのHKEY_LOCAL_MACHINEとHKEY_CURRENT_USERにも似ている。
グループ・ポリシーは拡張可能な設計になっていることはすでに述べたとおりであり、グループ・ポリシーの設定と適用はコンポーネント化されている。1つのGPOにはいくつものポリシーが含まれているが、複数のコンポーネントがポリシーの一部ずつをそれぞれ担当することによって成り立っている。コンポーネントによって拡張されていない素のグループ・ポリシーは、単なるフレームワークにすぎない。
グループ・ポリシー・エディタ上のツリー構成には、おおむねこのコンポーネントごとの分担が反映されている。
この画面では上記のようなツリーがあるが、OSによってツリーの構成は異なる。それは、OSによってサポートされているコンポーネントが異なるためだ。
このようにポリシーがコンポーネント化され、いくつかのコンポーネントが分担することによって成り立っていることは、意識しておいた方がよい。それぞれのコンポーネントによって動作の性格が大きく異なり、ポリシー設定の検討やトラブルシューティングの方針も異なってくるからだ。
Copyright© Digital Advantage Corp. All Rights Reserved.