「グループポリシー」を効果的に活用するには、ポリシーの設定内容はもちろん、確実に運用していくことも大事になる。今回は、グループポリシーの運用面でIT管理者が行うべき作業を紹介する。
前回、グループポリシーを利用する際の作業には、どのような設定を行うかを決める「グループポリシーオブジェクト」(以下、GPO)の作成と、GPOの適用先を決める「リンク」の設定の二つがあることを説明した。GPOとリンクはグループポリシーを運用する上で重要な要素なので、サーバーのトラブルや故障などで喪失しないようにしなければならない。そのために「グループポリシーのバックアップ」もIT管理者の大事な作業となる。
通常、グループポリシーはドメインコントローラーごとに保存される。ドメインコントローラーを2台以上で運用している環境では、グループポリシーも複数の場所(ドメインコントローラー)に保存されていることになる。従って、操作ミスなどでグループポリシーを削除してしまった場合には、同期している全てのドメインコントローラー上からそのグループポリシーは削除されることになる。そうした事態に備え、別途オフラインへのバックアップは用意しておきたいものだ。
一般的にグループポリシーは、Active Directoryデータベースと同時にバックアップされるようになっている。そのため、Active Directoryデータベースが正しくバックアップされていれば、グループポリシーのバックアップに特別な作業は必要ない。ただし、バックアップからのグループポリシーの復元は、“Active Directoryデータベース全体を復元”しなければならないことに注意してほしい。
グループポリシーを間違って消してしまったというレベルのミスに手軽に対処したいのであれば、グループポリシーだけを単独でバックアップする方法も用意されているので、そちらを利用して復元するとよいだろう。
GPOだけをバックアップするには、「グループポリシー管理コンソール」(GPMC)を利用する方法がある。GPMCを起動して左ペインの「グループポリシーオブジェクト」に移動し、右ペインでバックアップしたいGPOを右クリックして、メニューから「バックアップ」を実行する(画面1)。
バックアップからGPOを復元する場合は、GPMCで左ペインの「グループポリシーオブジェクト」を右クリックして、「バックアップの管理」を選択して、バックアップしておいたGPOデータを指定すればよい(画面2)。
GPOを作成する際には、複数のGPOに同じような設定を何度もしなければならないことがある。こうした場合には、GPOの「コピー/貼り付け」機能を活用したい。操作は簡単で、作成済みのGPOを右クリックしたメニューから「コピー」を選択し、GPMCの左ペインで「グループポリシーオブジェクト」を右クリックしたメニューから「貼り付け」を実行するだけだ。
グループポリシーを活用すると、さまざまな設定をユーザーやコンピューターに適用できる。しかし、作成したグループポリシーの設定は、IT管理者が考えていた通りに適用されているのか不安になることもあるだろう。この不安を解消してくれるのが、グループポリシー設定のシミュレーション機能だ。
GPMCの左ペインで「グループポリシーのモデル作成」を右クリックしたメニューから「グループポリシーのモデル作成ウィザード」を実行し、グループポリシーを適用したいユーザー/コンピューターを指定する(画面3)。すると、指定したユーザー/コンピューターに割り当てられる(であろう)グループポリシーの設定を確認できる(画面4)。
前回、グループポリシーには“優先順位”があり、「OU(Organizational Unit:組織単位)→ドメイン→サイト」の順で適用されると説明した。
しかし、グループポリシーには優先順位をカスタマイズする機能があり、OUよりもドメインのリンクを優先する「強制」や、特定のOUではドメインのリンクを一切適用させない「継承しない」といった設定が用意されている。これらの設定については、以下の記事で詳しく解説されているので、参考にしてほしい。
グループポリシー適用の優先順位をうまく活用できれば、ユーザー/コンピューターを柔軟にコントロールできるようになるのだが、筆者はあまりお勧めしたくない。その理由は「策士策に溺れる」ではないが、自分で設定した内容が複雑になりすぎて、最終的にどのような設定が適用されるのかが分かりにくくなるからだ。
前述のシミュレーション機能を使えば事前に設定状況を簡単に確認できるが、何度もシミュレーションしながら設定していたのでは作業の効率が悪くなってしまう。そうならないためにも、適用順位のカスタマイズは絶対に必要な場合だけに絞って活用した方がよいのだ。
グループポリシーは数あるマイクロソフトの製品(や機能、テクノロジ)の中でも、非常に信頼性が高い機能の一つである。そのため、グループポリシーがクライアントに正しく適用されていない場合は、どこかで設定をミスしていることが多い。設定ミスが原因なのか、それとも他に原因があるのかどうかを見極める方法は、知っておくとよいだろう。ここでは、その見極め方法をいくつか紹介する。
グループポリシーが適用されないコンピューターで、コマンドプロンプトから「gpresult /r」コマンドを実行することで、そのコンピューターまたはユーザーに割り当てられたGPOの一覧を確認できる。もし、特定のコンピューターまたはユーザーにグループポリシーが割り当てられていないというケースがあったら、もう一度リンクが正しく設定されているかどうかを確認しよう。
グループポリシーはコンピューターの起動時やユーザーのログオン時の他、およそ90分間隔でドメインコントローラーが保持している最新の設定が割り当てられるようになっている。もし、グループポリシーを設定したばかりであれば、ある程度時間が経過するまでクライアントには最新の設定が割り当てられない。もちろん、適用されるまで待っていてもよいのだが、すぐに適用したい場合もあるだろう。
そんなときに使えるのが「gpupdate」コマンドだ。クライアントのコマンドプロンプトから、「gpupdate /force」コマンドを実行するだけで、すぐに最新のグループポリシーが適用される。もし、コマンド実行時にエラーが発生する場合には、クライアントとドメインコントローラーでうまく通信ができていないことも考えられるので、ネットワーク接続もチェックしてみよう。
グループポリシーがドメインコントローラーから配信、適用されたことは「イベントビューアー」でも確認できる。「イベントビューアー」の右ペインで「Windowsログ」→「Application」(または「アプリケーション」)を展開すると、中央ペインでグループポリシーが適用されたことと、適用された日時が確認できる(画面5)。
また、イベントビューアーの「アプリケーションとサービスログ」→「Microsoft」→「Windows」→「GroupPolicy」ログを参照すると、グループポリシーに関する詳細な内容を確認できる。トラブルが発生しているような場合には「GroupPolicy」ログも同時に参照して、原因の追跡に活用したい。
ある特定のグループポリシーだけが適用されない、または適用されているかどうかは、前述の「gpresult」コマンドで確認できる。しかし、もう少し踏み込んで、個々のグループポリシーが適用されているかどうかを確認したい場合には「ポリシーの結果セット」を活用しよう。
「ポリシーの結果セット」は、コマンドプロンプトから「mmc」と入力して「Microsoft管理コンソール(Microsoft Management Console:MMC)」を起動し、「ファイル」メニューの「スナップインの追加と削除」から追加する。
MMCに追加した「ポリシーの結果セット」の右クリックメニューから「RSoPデータの生成」を選択すると「ポリシーの結果セットウィザード」が起動するので、あとはウィザードの指示に従って操作を進める(画面6)。
すると、現在利用しているユーザーとコンピューターの組み合わせで適用されているグループポリシーを項目レベルで確認できる(画面7)。「ポリシーの結果セット」は思い通りのグループポリシーが割り当てられているかどうかの確認に最も適したツールであることがお分かりいただけただろう。
本連載の第1回と第2回で、グループポリシーの基本的な利用方法と運用上のトピックを紹介した。次回からは、いよいよ会社で役立つ具体的なグループポリシーの設定方法を紹介していく。
株式会社ソフィアネットワーク取締役。1997年よりマイクロソフト認定トレーナーとして、Active DirectoryやActive Directoryフェデレーションサービス(ADFS)など、ID管理を中心としたトレーニングを提供している。2007年よりMicrosoft MVP for Directory Servicesを連続して受賞。なお、テストで作成するユーザーアカウントには必ずサッカー選手の名前が登場するほどのサッカー好き。
Copyright © ITmedia, Inc. All Rights Reserved.