第5回 Active Directoryにおけるグループ・ポリシーグループ・ポリシーのしくみ(1/3 ページ)

Active Directory環境におけるグループ・ポリシーは、ローカル・グループ・ポリシーとどう違うのか? GPOの配布と適用方法は?

» 2006年08月04日 00時00分 公開
[畑中哲]
[Windows技術解説] グループ・ポリシーのしくみ ―― 統一的なクライアント管理を実現するActive Directoryグループ・ポリシーを知る ―― 
Windows Server Insider

 

「[Windows技術解説] グループ・ポリシーのしくみ ―― 統一的なクライアント管理を実現するActive Directoryグループ・ポリシーを知る ―― 」のインデックス

連載目次


 前回までの解説では、ローカル・グループ・ポリシーを基にグループ・ポリシーを見てきた。今回と次回の2回では、Active Directory環境におけるグループ・ポリシーを取り上げて解説する。


 Active Directoryでのグループ・ポリシーを管理するツールとしては、Windows 2000以来の標準的な管理ツール群と、当初はOSとは別にリリースされたが、Windows Server 2003 R2などでは標準搭載されている「グループ・ポリシー管理コンソール(以下GPMC)」とがある。GPMCの方がより統合された管理ツールだが、ここではWindows 2000でも利用できる従来の管理ツールを用いて解説を進める。両者は操作方法が異なるだけで概念は同じである。従来の管理ツールで理解した内容は、GPMCでもほぼそのまま通用する。

 Active Directoryにおけるグループ・ポリシーでも、ローカル・グループ・ポリシーと同じく、ポリシーの適用は各クライアント・コンピュータ上で行われる。ローカル・グループ・ポリシーについての理解と、Active Directoryの基本的な階層構造の理解があれば、それほど難しいものではない。

 ただし、Active Directoryでのグループ・ポリシーは、影響する範囲が広い。ローカル・グループ・ポリシーはローカル・コンピュータにしか影響がないので比較的気軽に設定を試すことができるが、Active Directoryでは、やり方によっては想像以上に広い範囲に適用されることもある。設定に当たっては、テスト環境で事前に確認するなど、慎重に行う必要がある。

ローカル・グループ・ポリシーの限界

 前回までに解説したローカル・グループ・ポリシーでは、各コンピュータがローカルにグループ・ポリシー・オブジェクト(以下GPO)を持ち、そのローカルGPO(以下LGPO)をコンピュータ自身に適用する。それによって、そのローカル・コンピュータ上では、常に統一したポリシー設定が維持される仕組みになっていた。

 これは、コンピュータの管理が1台または数台で完結している家庭や、SOHOなどのオフィスにおいては適切な機能だろう。だがやや規模が大きくなると、LGPOでは、組織内のコンピュータに統一したポリシー設定を行うことは難しくなる。LGPOの保存場所とリンク先はあくまでローカル・コンピュータに限られているからだ。

 LGPOでも、リモート・コンピュータからGPOを編集したり、あるコンピュータからほかのコンピュータへGPOをコピーしたりすることはできるが、そのような手段で多数のコンピュータのポリシー設定を統一し維持していくのは、たいへん手間がかかる。

 また、LGPOは各コンピュータに1つしかないため、常に1つのポリシー設定だけが適用される。条件によってポリシー内容を変化させることはできない。

Active Directory環境におけるグループ・ポリシー

 ローカル・グループ・ポリシーとActive Directoryでのグループ・ポリシーを比較すると、次のように、GPOの保存場所とリンク先が異なる。

保存場所 リンク先
LGPO ローカル・コンピュータ (%SystemRoot%\System32\GroupPolicy\) ローカル・コンピュータ
Active Directoryの GPO ドメイン・コントローラ ディレクトリ・コンテナ (サイト、ドメイン、OU)
GPOの保存場所とリンク先
LGPOとActive DirectoryのGPOでは、その保存場所やリンク先が異なる。

 Active Directoryでは、GPOがドメイン・コントローラ上に保存されるだけでなく、リンク先もディレクトリ上のコンテナになっている。各コンピュータに直接リンクされるわけではない。

LGPOの保存場所とリンク
LGPOは、ローカル・コンピュータ上に保存される。LGPOのリンク先(GPOの適用先)と考えてよいのも、ローカル・コンピュータ(自分自身)だけである。このような構成では、複数のコンピュータの集中管理や、柔軟なポリシー設定は難しい。

 このように、LGPOでは、ローカルのコンピュータがリンク先となる。しかしActive Directory環境では、Active Directoryのコンテナがリンク先となる。

Active DirectoryのGPOの保存場所とリンク
Active Directoryでは、GPOはディレクトリ/ドメイン・コントローラ上に保存される。GPOのリンク先はコンテナであり、コンピュータに直接はリンクしない。Active Directoryの情報管理と階層構造を活用することによって、集中管理と柔軟なポリシー設定が可能になっている。
 (1)Active Directory。
 (2)Active Directoryのコンテナ。ディレクトリの階層構造をなしている。GPOはこれらのコンテナにリンクする。
 (3)Active Directoryに参加しているコンピュータ。Active Directoryでは、GPOはコンピュータに直接リンクしない。
 (4)ドメイン・コントローラ。
 (5)Active Directoryでは、GPOはディレクトリ/ドメイン・コントローラに保存される。

 Active DirectoryのGPOは保存場所がディレクトリ/ドメイン・コントローラになっているので、集中管理することができる。そしてリンク先がコンテナになっていることから、階層化させてリンクすることができる。

 一方、必要なGPOの取得が各コンピュータによって行われる(各コンピュータが自身でGPOを“プル”して取得し、適用する)という点は同じである。ドメイン・コントローラなどが各コンピュータにGPOを送り込む(“プッシュ”する)わけではない。

 各コンピュータが必要なGPOを取得した後に行う適用処理も、LGPOと基本は同じである。GPOの適用は、各コンピュータのクライアント側拡張(CSE)が行う。

Active DirectoryにおけるGPOの作成と、各コンピュータ上での適用処理
GPOの作成と各コンピュータ上での適用処理は、LGPOでもActive DirectoryのGPOでも、基本的に同じである。管理者がグループ・ポリシー・エディタ(GPEdit)でGPOを作成し、各コンピュータ上のクライアント側拡張(CSE)が適用を行う。この全体の構成は、LGPOとActive Directoryとで、ほとんど違いはない。
 (1)サーバ側拡張。GPOを作成する拡張。MMCの[グループ ポリシー オブジェクト エディタ]スナップインに読み込まれる。担当しているポリシーの性格と必要に応じた独自のユーザー・インターフェイスを管理者に提供し、GPOを作成する。
 (2)管理者はサーバ側拡張を通じてGPOを作成する。
 (3)GPOの適用。
 (4)クライアント側拡張(CSE)。各コンピュータ上で動作し、GPOを実際に適用する拡張。サーバ側拡張によって作成されたGPOは、クライアント側拡張によって各コンピュータに適用される。具体的には、GPO内のポリシーに従ってレジストリやファイルを設定したりする。

 いったん取得したGPOの適用がLGPOとほぼ同じということは、Active Directoryにおけるグループ・ポリシーでは、GPOがどのように適用されるかよりも、どのGPOを適用すべきかがポイントになるということである。つまり、どのGPOがどこにリンクされているかが重要となる。


       1|2|3 次のページへ

Copyright© Digital Advantage Corp. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

AI for エンジニアリング
「サプライチェーン攻撃」対策
1P情シスのための脆弱性管理/対策の現実解
OSSのサプライチェーン管理、取るべきアクションとは
Microsoft & Windows最前線2024
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。