第7回 グループ・ポリシー管理コンソール(GPMC)グループ・ポリシーのしくみ(1/5 ページ)

グループポリシー管理コンソールを使えば、複雑で分かりづらいグループポリシーの継承やリンク、優先度などの管理作業が容易になる。

» 2006年10月06日 00時00分 公開
[畑中哲]
[Windows基礎解説] グループ・ポリシーのしくみ ―― 統一的なクライアント管理を実現するActive Directoryグループ・ポリシーを知る ―― 
Windows Server Insider

 

「[Windows基礎解説] グループ・ポリシーのしくみ ―― 統一的なクライアント管理を実現するActive Directoryグループ・ポリシーを知る ―― 」のインデックス

連載目次

はじめに

 第5回「Active Directoryにおけるグループ・ポリシー」と第6回「リンクの継承と優先度およびフィルタ機能」で見たように、Active Directoryでのグループ・ポリシーは、ディレクトリの階層と密接に関連している。グループ・ポリシーの管理も、[Active Directory ユーザーとコンピュータ]ツールなどのディレクトリ管理コンソールから行えるようになっている。しかし、これらの汎用コンソールではグループ・ポリシー特有の継承/優先度などの全体像を見わたすことができない。実際の運用に当たって欲しくなる、適用結果のシミュレーションや確認、グループ・ポリシー・オブジェクト(GPO)のバックアップ、スクリプトのサポートといった機能も十分ではない。

 これらの欠点を大きく改善するツールが、マイクロソフトから無償で提供されている「グループ・ポリシー管理コンソール(Group Policy Management Console:GPMC)」である。連載最終回の今回は、このGPMCを使ったグループ・ポリシーの管理方法について解説する。

 GPMCに関する情報は以下のページから得られる。

 GPMCの概要については、以下のTIPS記事も参照していただきたい。GPMCの機能や操作画面について簡単にまとめている。

GPMCのインストール

 GPMCは、その名前のとおり、グループ・ポリシーを管理するための管理コンソール・ツールである。このツールは、Active Directoryのグループ・ポリシー自体を拡張するものではない。そのため、GPMCを使用するに当たっては、ドメイン・コントローラや、グループ・ポリシーの適用対象のコンピュータには何もインストールする必要はない。管理者がグループ・ポリシーの管理に使用している端末にGPMCをインストールすればよい。

 GPMCをインストールするにはWindows XP SP1以降か、Windows Server 2003/2003 R2が必要だが、GPMCで管理する対象のActive Directoryは、Windows 2000でもWindows Server 2003でもよい。逆にいうと、Active Directoryを導入していない環境ではGPMCは意味がないし、動作しない。

 リモート管理している場合は、管理者が使用しているノート・パソコンなどにGPMCをインストールする。ドメイン・コントローラに直接ログオンして管理している場合は、ドメイン・コントローラにインストールすることもできる。だが、GPMCがほかのコンポーネント(.NET FrameworkやMSXML)に依存していることや、問題なく稼働しているサーバに必然性のないものはインストールしないという鉄則からすれば、なるべく管理用端末にインストールした方がよいだろう。

GPMCのインストール手順

 GPMCのインストール作業は難しくない。ローカル・コンピュータに管理者としてログオンし、ダウンロードしたWindowsインストーラ・パッケージ(gpmc.msi)をダブルクリックして実行すればよい。

 もし必要なコンポーネント(.NET FrameworkやMSXML)がシステムにインストールされていなければ、インストール・ウィザードにメッセージが表示され、インストールが中断される。ただしMSXMLについてはgpmc.msiにも内蔵されているので、多くの環境では自動的にインストールされる。必要なコンポーネントを適宜入手してインストールしたら、再びgpmc.msiを実行して、インストール・ウィザードを進める。

 インストール・ウィザードで必要なのは使用許諾契約への同意だけなので、迷うことはないだろう。

GPMCの起動

 GPMCはドメイン・アカウントで実行する。フォレストやドメインの管理者である必要はないが、実際に管理作業を行うには、当然それぞれに適切な権限が必要となる。

 GPMCのコンソールを起動するには、主に次のような方法がある。どの方法で起動しても構わない。

■[スタート]メニューから起動する

 [スタート]メニューから起動するには、[スタート]メニューの[管理ツール]−[グループ ポリシーの管理]をクリックする。メニューに[管理ツール]グループが見当たらないときは、[スタート]ボタンを右クリックして[プロパティ]を選択し、[スタート]メニュー]タブで[カスタマイズ]をクリックし、[詳細設定]タブで管理ツールをメニューに表示するように設定する。

■[ファイル名を指定して実行]やコマンド・プロンプトで起動する

[スタート]メニューの[ファイル名を指定して実行]やコマンド・プロンプトから起動するには、コマンド名として「gpmc.msc」と入力し、実行する。

■MMCスナップインとして起動する

 GPMCのコンソールはマイクロソフト管理コンソール(MMC)のスナップインなので、ほかのコンソールに追加することもできる。GPMCのスナップインを追加するには、MMC.EXEを起動後、MMCの[ファイル]−[スナップインの追加と削除]で[グループ ポリシーの管理]スナップインを追加する。

■ディレクトリ管理コンソールから起動する

 GPMCのない従来の環境では、グループ・ポリシー・オブジェクト(GPO)がリンクしているディレクトリ・コンテナを[管理ツール]−[Active Directoryユーザーとコンピュータ]などのディレクトリ管理コンソールで開き、プロパティの[グループ ポリシー]タブでリンクの設定などを行っていた。GPMCをインストールするとこのタブはGPMCのコンソールを開くためのボタンに置き換わる。

GPMCをインストールした後の[グループ ポリシー]タブ
グループ・ポリシーの管理に従来、主に使用していた[グループ ポリシー]タブは、GPMCのコンソールを起動するボタンに置き換えられる。これは、[Active Directory ユーザーとコンピュータ]でDomain Controllers組織単位(OU)のプロパティを開いたところ。
 (1)管理対象のディレクトリ・コンテナのプロパティ。ここではDomain Controllers OUを開いている。
 (2)従来はこのタブでGPOのリンクなどを行っていた。
 (3)このボタンをクリックすると、GPMCのコンソールが起動して、現在のディレクトリ・コンテナが開かれる。

 いったんGPMCを導入すると、グループ・ポリシーを管理するために従来のディレクトリ管理コンソールを使うことはほとんどなくなるだろう。


       1|2|3|4|5 次のページへ

Copyright© Digital Advantage Corp. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

AI for エンジニアリング
「サプライチェーン攻撃」対策
1P情シスのための脆弱性管理/対策の現実解
OSSのサプライチェーン管理、取るべきアクションとは
Microsoft & Windows最前線2024
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。