GPはいつどのように適用されるのか? 適用によりコンピュータ内部では何が起こっているのか? 管理用テンプレート「未構成」の意味とは?
前回は、グループ・ポリシーにおける管理用テンプレートと、それによって設定される内容やしくみなどについて解説した。今回は、これらのポリシーを実際にシステムに適用し、どのように動作するかを見ていこう。
作成しリンクしたGPO(グループ・ポリシー・オブジェクト)の適用は、環境や設定など、そしてCSE(クライアント側拡張)によって異なるが、Windows XPでは基本的には以下のようなタイミングで行われる。
ポリシー | 適用のタイミング |
---|---|
コンピュータの構成 | コンピュータの起動時 |
ユーザーの構成 | ユーザーのログオン時 |
コンピュータの構成/ユーザーの構成 | バックグラウンドで90分(+アルファ)に1回、コンピュータの構成とユーザーの構成が適用される |
Windows XPにおけるポリシーの適用のタイミング |
今回は、新しくローカル・ユーザー(user2)を作成し、コンピュータを再起動してその新しいユーザーとしてログオンしてみよう。
まずコンピュータの起動時やログオン時に、詳細なメッセージが出るようになったことに気付くだろう。(コンピュータの処理が速すぎると分かりにくいかもしれない)。この詳細なメッセージには、GPOの適用(CSEの動作)が行われているというメッセージや、関連するメッセージも含まれている。
グループ・ポリシーの[コンピュータの構成]−[管理用テンプレート]−[システム]の[詳細な状態メッセージを表示する]を有効にした結果、HKEY_LOCAL_MACHINEのVerboseStatusに1がセットされた。そして、ポリシーに対応したログオン画面コンポーネントが、VerboseStatusの値が1になっているのを受けて、詳細なメッセージを表示するようになったというわけである。
ログオンしたら、コントロール・パネルの[画面]を開いて、[デスクトップ]タブを開いてみる。すると、壁紙を変更できない([参照]ボタンなどが無効になっている)ことが分かるだろう。
グループ・ポリシーの[ユーザーの構成]−[管理用テンプレート]−[コントロール パネル]−[画面]の[壁紙を変更できないようにする]を有効にした結果、HKEY_CURRENT_USERのNoChangingWallpaperに1がセットされた。そして、ポリシーに対応した[画面]コントロール・パネルが、NoChangingWallpaperの値が1になっているのを受けて、ボタンなどを無効にした結果である。
このあたりのしくみを、これまで説明したメカニズムに基づいてもう少し詳しくいえば次のようになる。
ここで、HKEY_CURRENT_USERの値が設定されたキー(Software\Microsoft\Windows\CurrentVersion\Policies)のアクセス権を見てみよう。HKEY_CURRENT_USERの通常のキーとは異なり、管理者でなければユーザー自身でも変更できないようになっていることが分かる。従って、ユーザーのレジストリでありながら、ポリシーで設定した値はユーザーが勝手に書き換えることはできない。
比較のため、最初はレジストリ・キーに対する通常のアクセス権設定を見てみよう。
これは一般的なレジストリ・キーのアクセス権であり、通常はこのように「フル コントロール」のアクセス権が設定されている。だがPoliciesキーに対しては、次のように、「読み取り」のみ許可するというアクセス権が設定されている。
Copyright© Digital Advantage Corp. All Rights Reserved.