Active DirectoryのGPOで重要となるGPOのリンクだが、リンクは、ディレクトリ・コンテナに対して行われる。コンテナについては関連記事の「管理者のためのActive Directory入門(Windows Server 2003対応改訂版) 連載第3回」などを参照していただきたい。
■関連記事
コンピュータ/ユーザーの管理という面から見たActive Directoryの典型的なオブジェクト階層構成は、およそ次の図のようになるだろう。
Active Directoryの典型的な階層構成
コンピュータ/ユーザーの管理という面から見ると、Active Directoryはおよそこのような構成と考えてよい。グループ・ポリシーはこの階層構成と密接に関係する。
(1)フォレスト。Active Directoryにおける最大の単位。
(2)サイト。論理的な階層とは独立して、物理的なネットワーク構成を反映した単位。
(3)ドメイン。内部にさらに階層を持つ。
(4)組織単位(OU)。ドメイン内の階層化に用いられる。
(5)コンピュータ/ユーザー。管理上は階層の末端に位置する。
GPOをリンクすることができるコンテナは、以下の3つである(上の図中の(2)、(3)、(4))。
これらのコンテナの中でも、サイトはやや特殊である。どのコンピュータがどのサイトに属するかは、一定でない。ということは、どのサイトにリンクしているGPOがコンピュータに適用されるか、断定することができないということである。
そういった事情から、GPOをサイトへリンクすることは、ネットワーク・トポロジに依存するような場合に限るべきである。そのような場合としては、IPSecのポリシーや、ネットワーク構成にばらつきがある環境でのWSUSサーバの指定などが考えられる。
GPOとコンテナのリンクは、Active Directoryの管理ツール([Active Directoryユーザーとコンピュータ]など)で対象コンテナのプロパティを開き、[グループ ポリシー]タブで行う。
GPOとコンテナとのリンク
GPOとコンテナのリンクは、Active Directoryの管理ツールで対象コンテナのプロパティを開き、[グループ ポリシー]タブで行う。
(1)GPOとコンテナのリンクを設定するには、このタブを開く。
(2)リンクの一覧。このコンテナにリンクしているGPOが一覧表示される。
(3)これをクリックすると、新規にGPOが作成される。新規GPOは作成と同時にこのコンテナにリンクされる。
(4)これをクリックすると、既存のGPOから選択してこのコンテナにリンクすることができる。
(5)GPOとのリンクを選択してこのボタンをクリックすると、リンクに対してオプションを設定することができる。
[新規]をクリックすると、新しいGPOを作成し、同時にこのコンテナにリンクすることができる。
[追加]をクリックすると、既存のGPOをこのコンテナにリンクすることができる。
リンクの追加
[グループ ポリシー]タブで[追加]をクリックすると、既存のGPOから選択して、コンテナへのリンクを追加することができる。
(1)このタブでは、ドメイン/OUにリンク済みのGPOから選択することができる。
(2)このタブでは、サイトにリンク済みのGPOから選択することができる。
(3)このタブでは、どこにもリンクされていないGPOも含めて、すべてのGPOから選択することができる。
(4)リンク先/保存場所のドメイン/OU/サイトを選択する。
(5)クリックすると、新しいGPOを作成する。
(6)既存のGPOの一覧が表示される。ここから、リンクしたいGPOを選択する。
(7)リンクしたいGPOを選択したら、これをクリックして、コンテナへのリンクを追加する。
[オプション]をクリックすると、リンクを有効化/無効化できる。
リンクの有効化/無効化
[グループ ポリシー]タブでリンクを選択し、[オプション]ボタンをクリックすると、リンクの有効/無効を切り替えることができる。
(1)リンクを上書き禁止にする(後述)。
(2)これにチェックを入れると、リンクは無効になる。チェックを外すと、有効になる。
(3)有効/無効を選択したら、これをクリックする。
リンクだけを有効/無効化することによって、GPO自体には変更を加えずに、コンテナへのポリシー適用を有効/無効化することができる。
例えば、GPOの作成と編集は終了したが適用を延期したい場合には、コンテナとそのGPOとの間のリンクを無効にしておくことができる。ポリシーの適用を開始したくなったら、リンクを有効にすればよい。
また、何らかの問題により、特定のGPOのコンテナへの適用を一時的に無効にしたい場合には、GPOとリンク自体は残したまま、コンテナへのリンクを無効にする。問題が解決したら、再びリンクを有効にすればよい。
Active Directoryにおいても、LGPOと同じく、GPOの編集はグループ・ポリシー・エディタ(GPEdit)で行う。
MMCの[ファイル]−[スナップインの追加と削除]メニューで[グループ ポリシー オブジェクト エディタ]スナップインを追加する。すると、[グループ ポリシー オブジェクトの選択]ウィザードが開き、どのGPOを開くか選択を求められる。デフォルトでは[ローカル コンピュータ](LGPO)が選択されているが、[参照]ボタンをクリックすれば、次の画面のように、Active Directory上のGPOを一覧して選択することができる。
編集するGPOの選択
Active Directoryにおいても、GPOの編集には、LGPOと同じグループ・ポリシー・エディタ(GPEdit)を用いる。[グループ ポリシー オブジェクト エディタ]スナップインの[グループ ポリシー オブジェクトの参照]で、編集したいGPOを選択する。
(1)これらのタブでは、ドメイン/OU/サイトにリンク済みのGPOから選択することができる。
(2)LGPOを選択するためのタブ。
(3)このタブでは、どこにもリンクされていないGPOも含めて、すべてのGPOから選択することができる。
(4)リンク先/保存場所のドメイン/OU/サイトを選択する。
(5)クリックすると、新しいGPOを作成する。
(6)既存のGPOの一覧が表示される。ここから、編集したいGPOを選択する。
(7)編集したいGPOを選択したら、これをクリックして、コンテナへのリンクを追加する。