第7回 グループ・ポリシー管理コンソール（GPMC）：グループ・ポリシーのしくみ（2/5 ページ）

[畑中哲，著]

　GPMCのコンソールで行うのは、単にGPOの作成やリンクだけではない。適用結果のシミュレーションや確認、GPOのバックアップといった、グループ・ポリシー管理の一連の作業を1つのコンソールで行うことができる。

GPMCのコンソール画面

　GPMCのコンソール画面は、Active Directoryの階層に、GPOやWMIフィルタといったオブジェクトと、GPO適用のシミュレーションや確認のクエリとを統合したものになっている。

GPMCのコンソール画面
GPMCのコンソール画面には、Active Directoryの階層に、GPOやWMIフィルタと、適用結果のシミュレーションや確認とが統合されている。
　（1）管理対象のフォレスト。複数のフォレストを追加表示することもできる。
　（2）フォレスト内のドメイン。複数のドメインを表示することもできる。
　（3）フォレスト内のサイト。複数のサイトを表示することもできる。
　（4）ここからグループ・ポリシーの適用結果をシミュレーションできる。フォルダ内にはシミュレーションのクエリが保存される。
　（5）ここからグループ・ポリシーの適用結果を確認できる。フォルダ内には確認のクエリが保存される。
　（6）OU。ドメインのディレクトリ階層を反映してツリー表示される。
　（7）ディレクトリ・コンテナとGPOとのリンク。
　（8）ドメインに格納されているGPO。
　（9）ドメインに格納されているWMIフィルタ。

　コンソール画面は比較的分かりやすい構成になっているが、とまどいやすい点もある。以下、いくつか注意点を挙げておく。

コンソール画面の注意点

　グループ・ポリシーでは親子ドメイン間での継承は行われないので（前回の「リンクの継承」参照）、親子関係はツリー表示に反映されない。例えば上の画面において、child1.example.comはexample.comの子ドメインだが、並列に表示されている。

　また、サイトはデフォルトでは1つも表示されない。サイトを表示させたい場合は、［サイト］フォルダを右クリックして、ポップアップ・メニューから［サイトの表示］を選択する。サイトへのGPOのリンクは特殊であり（連載第5回の「GPOとコンテナとのリンク」参照）、予想外に大きな影響を及ぼすこともあるので（前回の「上書き禁止（強制）」参照）、表示するのは必要なサイトだけに限定した方がよい。

　さらに、GPOとリンクは、アイコンは似ているが、両者ははっきり区別しておく必要がある。GPMCでは、リンクを開いてGPOを変更できたりするからだ。これは便利である半面、操作するときには、GPOを変更しようとしているのかリンクを変更しようとしているのかを間違えやすいので、注意が必要である。詳しくは次に解説する。

GPMCコンソールで行う一連の作業

　GPMCのコンソールを利用してグループ・ポリシーの運用を行うと、一連の作業はおおよそ以下のような流れになる。

（1）GPOを作成する。
（2）GPOのポリシーを編集したり設定を行う。
（3）GPOをコンテナにリンクする。
（4）複数のリンクの優先度を調整する。
（5）［グループ ポリシーのモデル作成］で適用結果をシミュレーションする。
（6）［グループ ポリシーの結果］で実際の適用結果を確認する。
（7）GPOをバックアップし、必要に応じて復元する。

　本記事では、最も基本的な（1）から（4）の作業について解説する。