第5回 Active Directoryにおけるグループ・ポリシー：グループ・ポリシーのしくみ（3/3 ページ）

[畑中哲，著]

GPOの実体（GPTとGPC）

　LGPO の実体は、グループ・ポリシー・テンプレート（GPT）として、%SystemRoot%\System32\GroupPolicy\ に保存されている。

• 連載第3回「グループ・ポリシーの設定ファイル――グループ・ポリシー・テンプレート」

　これに対して、Active DirectoryのGPTは、ドメイン・コントローラのSYSVOL共有に保存される。

Active DirectoryのGPT
これはSYSBOL共有フォルダの内容をツリー表示したもの。Active Directoryのグループ・ポリシー・テンプレート（GPT）は、ドメイン・コントローラのSYSVOL共有に保存される。
　（1）SYSVOL共有。
　（2）ドメイン名。
　（3） GPTはここに保存される。
　（4）各GPOのGPT。1つの{GUID}以下が、1つのGPOのGPT。

　Policiesの下に{GUID}フォルダがいくつか並んでいる（例：{6AC1786C-…}など）。1つの{GUID}以下が、1つのGPOのグループ・ポリシー・テンプレート（以下GPT）である。Active DirectoryではGPOをGUIDで識別する。

　GPTの構成はLGPOのGPTとほとんど同じなので、そちらの解説を参照していただきたい。

• 連載第3回「グループ・ポリシーの設定ファイル」

　ただし、GPT.iniには重要な違いがある。LGPOのGPT.iniは、バージョン情報以外にもいくつか情報を持っている。Active Directoryでは、これらの情報はGPT.iniには保存されず、代わりにディレクトリ上に保存されている。ドメイン・パーティションのSystemの下のPoliciesである。Policiesの下に、各GPOの情報が並んでいる。GPOを識別するのは、GPTと同じGUIDである。

グループ・ポリシー・コンテナ（GPC）
Active Directoryでは、GPTだけでなく、ディレクトリ上にもGPOの情報が保存される。これはグループ・ポリシー・コンテナ（GPC）と呼ばれる。これは、［表示］メニューの［拡張機能］を有効にした状態の、［Active Directory ユーザーとコンピュータ］ツールの画面。
　（1）GPOの保存されているドメイン。
　（2）GPCはここに保存される。
　（3）各GPOのGPC。1つの{GUID}以下が、1つのGPOのGPC。

　GPOのうち、このようにディレクトリに保存されている部分は、グループ・ポリシー・コンテナ（GPC）と呼ばれる。

　GPCはActive Directoryのディレクトリの一部にすぎないので、そこに保存されている情報は、ADSIEdit（サポート・ツール）やLDAPのクエリ・ツールなど、一般的なActive Directoryの管理ツールで調べることができる。GPCに保存されている主要な情報についてはLGPOのGPT.iniと同じなので、そちらの解説を参照していただきたい。

• 連載第3回「グループ・ポリシーの設定ファイル――2．GPT：GPT.iniファイル」

GPOの複製と、クライアント・コンピュータからのアクセス

　GPTが保存されるSYSVOL共有は、分散ファイル・システム（DFS）によって、クライアント・ンピュータに提供される。つまり、SYSVOL共有はドメイン・コントローラ間で複製され、同期されており、クライアント・コンピュータからは、物理的には分散しながらも内容は同期されたSYSVOL共有にアクセスすることができる。GPTもその一環として、ドメイン・コントローラ間で複製／同期され、クライアント・コンピュータからアクセスを行うことができる。

　もし、DFSおよびそれが依存するファイル複製サービス（FRS）に異常があったり、SYSVOL共有のファイル・システムに異常が発生したりすると、GPTにも正しくアクセスすることができなくなる。例えば、次のようなエラーが発生する。

• Dfs クライアントを無効にした際 SceCli イベント ID1001,UserEnv イベント ID1000（マイクロソフト サポート技術情報）

　このような原因で問題が発生した場合、このサポート技術情報のように、各クライアント・コンピュータ上のエラー・イベントを調べれば、SYSVOL共有へのアクセスに問題があることが分かることが多い。LGPOの場合と同じく、クライアント上で注目すべきイベント・ソースは、グループ・ポリシーのエンジン（UserEnv）や各CSE（SCECliなど）である。

• 連載第2回「グループ・ポリシーとは何か――5．クライアント側拡張（CSE）」

　一方、GPCは通常のディレクトリ・パーティションの複製のしくみ（KCCとISTGによる）によって、ドメイン・コントローラ間で複製／同期が行われている。

　このようにGPTとGPCは別々のサービスによってドメイン・コントローラ間で複製されているので、ある時点では両者のバージョンが一致しているとは限らない。一致していない場合でも、通常はクライアント側で問題は起きないようになっている。しかし、リンクしたGPOがいつまでたってもクライアント・コンピュータに適用されないときなどは、GPTとGPCの内容を調べる必要はあるだろう。例えば、筆者の管理していたドメインにおいて、ドメイン・コントローラで異常な再起動が発生し、復旧処理を行った後、ポリシーが適用されなくなったことがある。原因は、復旧処理によってGPTのファイルのアクセス権が変わってしまったためであった。

　なお、クライアント・コンピュータがGPOにアクセスし、適用するタイミングは、LGPOの場合と同じである（LGPOもActive DirectoryのGPOも、すべてまとめて同じタイミングで適用される）。

• 連載第4回「グループ・ポリシーの設定ファイル――4．グループ・ポリシーの適用」

---

　今回は、Active Directoryにおけるグループ・ポリシーと、コンテナへのリンク、GPOの実体と編集方法などについて解説した。次回は、Active Directoryにおけるグループ・ポリシーの継承と優先度などについて解説する。

次の回へ »

「グループ・ポリシーのしくみ」