すぐに使えるグループポリシーの“鉄板”設定:基礎から分かるグループポリシー再入門(3)
「グループポリシー」を運用していく上で、最も重要な要素は“何を設定するか”だ。今回からはテーマを絞って、よく使われるグループポリシーの具体的な設定項目を紹介していく。
よく使われるグループポリシーの「鉄板」設定とは?
「グループポリシー」を利用する最大のメリットは、社内にある複数のコンピューターに同じ設定をまとめて適用できることだ。それでは、社内のコンピューターにまとめて適用したい設定にはどのようなものがあるだろうか。いろいろな設定があると思うが、これはまず間違いなく適用したいという「鉄板」な設定があるはずだ。
例えば、以下の設定は、企業の規模や業種を問わずに設定する項目ではないだろうか。
- 社内のファイルサーバーにアクセスするための設定
- 社内のプリンターを利用するための設定
- プロキシサーバー経由でWebサイトにアクセスするためのInternet Explorerの設定
- 特定のWebサイトにアクセスするためのInternet Explorerの設定
今回はこれらの設定に関して、具体的にグループポリシー経由でまとめて設定を適用する方法を紹介する。
社内のファイルサーバーに簡単にアクセスするには?
通常、社内のファイルサーバーには、「\\サーバー名\共有フォルダー名」のように指定してアクセスする。しかし、ユーザーとしては、毎回サーバーのパスを入力するのは面倒なはずだ。そこで、よく行われる設定が、共有フォルダーにドライブを割り当てて、アクセスを簡単にする方法になる。この設定を行うには、グループポリシーの次の項目を利用する。
- 「ユーザーの構成」-「基本設定」-「Windowsの設定」-「ドライブマップ」
グループポリシーの設定は「グループポリシー管理エディター」で行う。グループポリシー管理エディターは、「グループポリシーの管理」管理ツールより、編集したいグループポリシーオブジェクト(GPO)を右クリックし、「編集」を選択することで起動する。
グループポリシー管理エディターが起動したら、左ペインで「ドライブマップ」を右クリックして、「新規作成」→「マップされたドライブ」を選択すると、「新しいドライブのプロパティ」画面が表示される(画面1)。ここで「場所」欄にユーザーがよくアクセスする共有フォルダーへのパスを「\\サーバー名\共有フォルダー名」形式で入力し、「ドライブ文字」欄で「次の文字を使用」にチェックを入れて、使用するアルファベット(ここでは「Z」)を指定する。
ここまでの設定が完了したら、あとはクライアントコンピューターにグループポリシーが適用されるのを待つだけだ。設定が適用されると、クライアントコンピューターのエクスプローラー内には「Zドライブ」が表示され、ダブルクリックすると共有フォルダーへ簡単にアクセスできる(画面2)。
社内のプリンターを利用するための設定
USB接続のプリンターであれば、プラグ&プレイ機能によって接続するだけですぐに利用できる。しかし、ネットワーク経由で利用するオフィスのプリンターの場合は、自動的に利用開始とはいかない。今度は、グループポリシーからネットワーク上のプリンターを利用するための設定をまとめて適用し、ユーザーがすぐに利用できるようにする方法を確認してみよう。
ネットワーク上のプリンターにはいくつかの種類があるが、ここではWindows Serverで「プリンター共有」が設定されているプリンターに接続する場合を確認する。Windows Serverのプリンター共有に接続するための設定をグループポリシーで行う場合は、次の項目を利用する。
- 「ユーザーの構成」-「基本設定」-「コントロールパネルの設定」-「プリンター」
グループポリシー管理エディターの左ペインで「プリンター」の項目を右クリックし、「新規作成」→「共有プリンター」を選択すると、「新しい共有プリンターのプロパティ」画面が表示される(画面3)。
「アクション」欄を「作成」に設定し、「共有パス」欄に共有プリンターへの接続パスを「\\サーバー名\共有プリンター名」形式で入力して、必要に応じて「このプリンターを通常使うプリンターとして設定する」にチェックを入れる。ここまでの設定が完了し、クライアントにグループポリシーが配布されると、クライアントコンピューターからネットワーク上の共有プリンターが利用できるようになる。
ただし、共有プリンターへの接続設定をグループポリシー経由で行うときに注意しなければならない点がある。それは、プリンタードライバーの配布だ。Windowsコンピューターでは共有プリンターに初めて接続するタイミングで、必要なプリンタードライバーをプリンターサーバーからダウンロードするようになっている。
しかし、そのプリンタードライバーが「デジタル署名付きのドライバー」でない場合(信頼されたドライバーではない場合)は、ドライバーのインストールに失敗し、共有プリンターの設定も適用されない。そのため、デジタル署名付きのドライバーでない場合でも自動的にドライバーがインストールされるように、以下のグループポリシーを設定する必要がある(画面4)。
- 「コンピューターの構成」-「ポリシー設定」-「管理用テンプレート」-「プリンター」-「ポイントアンドプリントの制限」
「ポイントアンドプリントの制限」項目をダブルクリックで開いたら、プロパティで「有効」を選択する。その上で「新しい接続用にドライバーをインストールした場合」と「既存の接続用にドライバーをインストールした場合」の項目で、「警告または昇格時のプロンプトを表示しない」を選択する。この設定により、プリンタードライバーの種類を問わず、自動的にプリンタードライバーがインストールされるようになる。
プロキシサーバー経由でWebサイトにアクセスするためのIE設定
社内ネットワークからインターネット上のWebサイトにアクセスする場合は、プロキシサーバー経由で接続することが多いはずだ。「Internet Explorer(IE)」でプロキシサーバーを利用するには、各クライアントコンピューターでプロキシサーバーの設定が必要だが、この設定もグループポリシーでまとめて適用しよう。
- 「ユーザーの構成」-「基本設定」-「コントロールパネルの設定」-「インターネット設定」
「インターネット設定」の項目を右クリックして、「新規作成」→「Internet Explorer 10」をクリックすると、IEのプロパティ画面と全く同じ画面が表示される。プロキシサーバーの設定は、IEのプロパティ画面と同じように「接続」タブの「LANの設定」から行う(画面5)。本来、この設定はコンピューターごとに行う必要があるのだが、グループポリシーで設定すれば、全てのコンピューター(ユーザー)にまとめて適用できるのだ。
なお、本稿ではIE 10のメニューを操作しているが、IE 11でも同様の設定が可能だ。IEのバージョンごとにおける対応や設定項目の違いなどについては、次の記事でも紹介されているので、併せて参考にしていただきたい。
特定のWebサイトにアクセスするためのIE設定
IEを利用してWebサイトにアクセスする場合、アクセスするWebサイトによってIEの設定を変更することなどができる。その代表ともいえるのが「ゾーン」の設定だ。IEでは、アクセスするWebサイトを「インターネットゾーン」「イントラネットゾーン」「信頼済みサイトゾーン」などに分け、ゾーンによって異なるセキュリティ設定でWebサイトにアクセスできるようにしている。
ところが、近年の複雑化したWebサイトの構成では、このセキュリティ設定が原因でWebサイトが正しく表示されないケースがある(特にSharePointサイトは影響を受けやすい)。
そこで、あらかじめデフォルト設定のままでWebサイトにアクセスすると影響が及ぶような場合、グループポリシーで最初からゾーンの設定を変更しておき、ユーザーがWebサイトにアクセスできないようなことがないように構成したい。
ここでは例として、社内のユーザーがSharePointで構成されたWebサイトにアクセスする場合で考えてみよう。SharePointのWebサイトにアクセスする場合、SharePoint Serverの場合でも、Office 365で提供されるSharePoint Onlineの場合でも、「信頼済みサイト」ゾーンにあらかじめ登録しておくことが望ましい。このような場合、グループポリシーでSharePointサイトのURLを信頼済みゾーンに登録しておく。
グループポリシーからIEのゾーン設定を変更する場合には、次の項目を利用する。
- 「ユーザーの設定」-「ポリシー」-「管理用テンプレート」-「Windowsコンポーネント」-「Internet Explorer」-「インターネットコントロールパネル」「セキュリティページ」-「サイトとゾーンの割り当て一覧」
「サイトとゾーンの割り当て一覧」項目を開き、設定を有効にして「表示」をクリックすると、WebサイトのURLとそのURLに対応するゾーンを設定できる(画面6、画面7)。
前述のようにSharePointサイトを信頼済みサイトとして登録したい場合、登録画面の左側にはURL、右側にはゾーンに対応する番号をそれぞれ入力する。信頼済みサイトは「2」に当たるため、画面右側には「2」と入力する。
その他、イントラネットゾーンの場合は「1」、制限付きゾーンの場合は「4」と設定するとそれぞれのURLを管理者が思い描いたゾーンに登録することができる(デフォルトのゾーンはインターネットゾーンであるため、この設定でインターネットゾーンを設定することはないだろう)。
設定が終わったら、全てのダイアログで「OK」ボタンを押せば完了だ。あとは、グループポリシーが適用されれば、IEの信頼済みサイトにSharePointサイトのURLが登録されていることが確認できる。
今回は、グループポリシーを利用して会社でよく使う鉄板設定について見てきた。この他にも「うちの会社ではこの設定は欠かせない」という設定項目もあるだろう。その他の項目については次回以降登場するので、楽しみにしていただきたい。
- 「アカウントポリシー」でユーザーのパスワード設定を定義する
- 「管理用テンプレート」を拡張してアプリケーションの設定をカスタマイズする
- 「ポリシー」と「基本設定」の違いを理解する
- グループポリシーで「ストアアプリ」をインストールする
- コントロールパネルの設定項目をカスタマイズする
- Windows 10でグループポリシー設定を利用するには
- グループポリシーでファイルやフォルダー、レジストリを操作する
- ログオンスクリプトをグループポリシーに置き換えるには?
- フォルダーリダイレクトでユーザープロファイルを管理する
- グループポリシーで利用させる/利用させない「サービス」を柔軟に制御する
- これだけはやっておきたい! 基本的なサーバー管理に役立つグループポリシー設定
- イベントビューアーでセキュリティ監査を行うためのグループポリシー設定
- “必要ないもの/使わないもの”は無効化し、クライアントのセキュリティを向上させる
- クライアントのセキュリティを強化するグループポリシー設定
- グループポリシーでアプリケーションの実行を制御する
- セキュリティの強化に役立つグループポリシー設定
- まだあるぞ! グループポリシーの“鉄板”設定パート2
- すぐに使えるグループポリシーの“鉄板”設定
- グループポリシーを確実に運用するには
- グループポリシーの仕組み、理解できていますか?
筆者紹介
国井 傑(くにい すぐる)
株式会社ソフィアネットワーク取締役。1997年よりマイクロソフト認定トレーナーとして、Active DirectoryやActive Directoryフェデレーションサービス(ADFS)など、ID管理を中心としたトレーニングを提供している。2007年よりMicrosoft MVP for Directory Servicesを連続して受賞。なお、テストで作成するユーザーアカウントには必ずサッカー選手の名前が登場するほどのサッカー好き。
関連記事
Active Directoryのアカウントロック解除/パスワードリセットをセルフサービス化、ゾーホージャパン
ドメインユーザー自身で、Active Directoryのアカウントロック解除パスワードリセットを行える環境を整え、情報システム部門やITヘルプデスクの対応工数を大幅に削減する。
ゾーホー、「ManageEngine ADManager Plus」を提供開始
人事異動や組織改編などがあるたびに求められるActive Directory管理作業。機能が限定された支援ツールが多い中、複数の支援機能を搭載した低価格なActive Directory管理ツールが登場した。
Active Directoryドメインをアップグレードする
Active Directoryドメインの移行には、「ドメインをアップグレードする」と「ドメインを再編して、オブジェクトを移行する」の2パターンがある。今回は「ドメインをアップグレードする」場合の手順を解説する。
Windows Server 2012 R2で行こう!
本稿では、Windows Server 2003から最新のWindows Server 2012 R2へ移行する理由やメリットについて取り上げる。- 改訂 管理者のためのActive Directory入門(Windows Server 2003対応改訂版)
Active Directory基礎連載を、Windows Server 2003対応に改訂。今回は、ディレクトリサービスの基礎を概説。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。