第4回 グループ・ポリシーの適用:グループ・ポリシーのしくみ(4/4 ページ)
管理用テンプレート:「管理されているポリシー」と「設定(preferences)」
実は、管理用テンプレートのポリシーすべてがこのような「管理されているポリシー」というわけではない。以下のレジストリ・キーに対する設定だけが、「管理されているポリシー」である。
- HKU\Software\Policies
- HLM\Software\Policies
- HKU\Microsoft\Windows\CurrentVersion\Policies
- HLM\Microsoft\Windows\CurrentVersion\Policies
管理用テンプレート・ファイル(.admファイル)には、これら以外のキーに対する設定を定義することもできる。そのような、Policiesキー以外に値を設定するポリシーは、単に「設定(preferences)」あるいは「(Windows NT 4.0の)システム・ポリシー設定」などと呼ばれる。
このような「設定」は、デフォルトではグループ・ポリシー・エディタに表示されず設定できない。「設定」をグループ・ポリシー・エディタに表示するには、[管理用テンプレート]フォルダを選択し、[表示]−[フィルタ]で[完全に管理されているポリシー設定のみ表示します(Only Show Policy Settings That Can Be Fully Managed)]というチェック・ボックスをオフにする必要がある。
[設定]を表示させるためのフィルタこのチェック・ボックスをオフにすると、次のように、「設定」が、赤い印の付いたアイコンでグループ・ポリシー・エディタ上に表示されるようになる。
グループ・ポリシー・エディタに表示した「設定」「設定」を定義している例。これは「How to Disable Windows 2000 Dynamic Domain Name System Registrations with Group Policy(サポート技術情報)」の管理用テンプレート・ファイルを追加したグループ・ポリシー・エディタの画面例。[フィルタ]オプションをデフォルトから変更すると、このように「設定」が赤い印の付いたアイコンで表示される。
(1)赤い印の付いたアイコンで表示された「設定」の例。
このようにオプションを変更すれば、「管理されているポリシー」以外の「設定」もグループ・ポリシー・エディタで表示/編集し、そのGPOは通常どおりリンク(適用)させることができる。ただし、「設定」には以下のような、システム・ポリシーと同様の欠点がある。
■各ユーザーのレジストリ(HKEY_CURRENT_USER)に対する設定は、各ユーザーがログオン後に自分で変更できてしまう
HKEY_CURRENT_USERのキーには通常、そのユーザーがフル・コントロールのアクセス権を持っているため、ユーザー自身で変更することができる。これに対して「管理されているポリシー」のPoliciesキーは、各ユーザーが変更できないようなアクセス権が設定されている。
■tattoo effect
1度設定されたレジストリは、その後ポリシーを「未構成」にしても、レジストリに設定されたまま残り続ける(tattoo effect)。
「設定」は、デフォルトの管理用テンプレート・ファイルでは定義されていない。「設定」は、グループ・ポリシーにあまり対応していないアプリケーションやコンポーネントを管理用テンプレートで管理したい場合に用いられることが多い(例:「How to Disable Windows 2000 Dynamic Domain Name System Registrations with Group Policy(サポート技術情報)」)。やむを得ず「設定」を用いる場合には、このような欠点があることを考慮しておく必要がある。「設定」の使用は必要最小限にとどめ、多くの「設定」を導入することはできれば控えたいところだ。
ローカルからリモートへの接続と編集
以上、GPOの構成と適用を、LGPOと管理用テンプレートを中心に見てきた。
ポリシーはGPOという単位でまとめられている。GPOの編集はどのコンピュータから行ってもよい。ローカル・コンピュータに保存されているLGPOであっても、リモート・コンピュータからある程度編集することはできる。
リモート・コンピュータ上のLGPOを編集するには、まず[ファイル名を指定して実行] でMMCコンソール(mmc.exe)を起動する。次に[ファイル]−[スナップインの追加と削除]で[グループ ポリシー オブジェクト エディタ]を追加する。すると、[グループ ポリシー オブジェクトの選択]ウィザードが開き、どのGPOを開くかの選択を求められる。ここで[参照]ボタンをクリックし、[グループ ポリシー オブジェクトの参照]を開き、[コンピュータ]タブで[別のコンピュータ]を選び、編集するLGPOのあるコンピュータを指定すればよい。
あるいは、[ファイル名を指定して実行]で
gpedit.msc /gpcomputer:"<編集するLGPOのあるコンピュータ名>"
と指定してもよい。例えば「gpedit.msc /gpcomputer:"server.example.com"」などとする(引用符の位置に注意)。
- グループ ポリシー オブジェクト エディタを開く方法(マイクロソフト)
http://www.microsoft.com/resources/documentation/WindowsServ/2003
/standard/proddocs/ja-jp/gpedit_start.asp
編集と適用の独立性
これまで見たように、編集するときにはGPOに書き込むが、適用するときには読み取るだけである。従って、GPOの独立性は高い。
また、GPOの適用は、各コンピュータ(上のUserEnv.dllや各CSE)が処理を行っている(第2回参照)。従って、基本的には、各コンピュータが自分の適用すべき(リンクされている)GPOを知り、GPTをはじめとしたGPOの実体にアクセスすることさえできれば、グループ・ポリシーは適用することができる。
LGPOからActive Directoryによる組織的な管理へ
第2回で述べたように、LGPOは、ローカル・コンピュータ上に保存され、各コンピュータは暗黙にそれを自分に適用すべきGPOと知っていた。だから適用することができていたわけだ。これを組織的な管理に拡張するには、GPOをネットワーク上に保存し、どのGPOを適用すべきか(リンクされているか)を各コンピュータが検索することができるようにすればよい。Active Directoryでは、当然、GPOをドメイン・コントローラに保存し、ドメインの各メンバー・コンピュータがディレクトリを検索してリンクされているGPOを知る、という形になる。各メンバー・コンピュータが、リンクされているGPOを知り、その実体にアクセスしたら、あとはLGPOの場合と同じようにそのGPOを適用すればよい。
![「[Windows技術解説] グループ・ポリシーのしくみ ―― 統一的なクライアント管理を実現するActive Directoryグループ・ポリシーを知る ―― 」のインデックス](https://image.itmedia.co.jp/ait/files/20010101/backn2.gif){kind=small}
Copyright© Digital Advantage Corp. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。