グループポリシーでファイルやフォルダー、レジストリを操作する：基礎から分かるグループポリシー再入門（14）

前回は「ログオンスクリプトからの脱却」をテーマとして、ログオンスクリプトに代えてグループポリシーの「基本設定」を活用する方法を紹介した。今回も、「基本設定」の中から、企業での活用シナリオを紹介する。

[新井慎太朗，株式会社ソフィアネットワーク]

連載目次

ログオンスクリプトよりも「基本設定」を使おう

　企業や組織におけるクライアントコンピュータの管理では、以下のような構成を自動化するシナリオが考えられる。

• クライアントコンピュータ上の特定のディレクトリにフォルダーを作成したい
• ファイルをクライアントコンピュータに配布したい
• クライアントコンピュータ上の特定のファイルやフォルダーを削除したい
• クライアントコンピュータのレジストリ構成を変更したい

　こうしたクライアントコンピュータの構成作業は、従来は「ログオンスクリプト」で自動化してきただろう。だが、同じ作業をグループポリシーの「基本設定」を用いることで実現することができる。ログオンスクリプトでも「基本設定」でも、上記作業を自動化できることには変わりないが、同じことが実現できるのであれば「基本設定」の利用を勧めたい。

　その理由は、前回の「ログオンスクリプトをグループポリシーに置き換えるには？」でも紹介したように、ログオンスクリプトにはさまざまなテクノロジーが使われている可能性があったり、前任者が作成したスクリプトファイルを変更する際には内容の把握から始めなければならなかったりするからだ。

　管理作業の工数を増やさないようにするためにも、グループポリシーの「基本設定」を活用して、「簡単に」「誰でも分かる」ようにシステム環境の自動化や標準化を進めた方が後々楽になるのである。

　それでは、上記のシナリオを「基本設定」で実現する方法を紹介していこう。

ファイル／フォルダーを操作する

　まずは、クライアントコンピュータの特定のディレクトリにフォルダーを作成したり、ファイルを配布したりしたい場合のシナリオを考えてみよう。

　これをスクリプトで実現する場合、フォルダーの作成には「mkdir」コマンドを利用する方法が最初に思いつくだろう。ファイルの配布に関しては、配布したいファイルをファイルサーバ上の共有フォルダーに置き、クライアントコンピュータから共有フォルダーにアクセスしてファイルをコピーするといった方法が考えられる。この場合は、「copy」コマンドなどを用いてスクリプトを作成することになるだろう。

　しかし、グループポリシーの「基本設定」を使えば、コマンドを記述したスクリプトを作成することなく、同様の作業を自動化することができる。

　ファイルやフォルダーをグループポリシーで操作するには、「グループポリシーの管理」管理ツールを起動して、適用したい「グループポリシーオブジェクト」（GPO）の右クリックメニューから「編集」を選択して表示されるGPOの編集画面で次の項目を構成する。

ファイル／フォルダーを操作する

ファイルの操作

• 「コンピューターの構成」−「基本設定」−「Windowsの設定」−「ファイル」
• 「ユーザーの構成」−「基本設定」−「Windowsの設定」−「ファイル」

フォルダーの操作

• 「コンピューターの構成」−「基本設定」−「Windowsの設定」−「フォルダー」
• 「ユーザーの構成」−「基本設定」−「Windowsの設定」−「フォルダー」

　どちらも「コンピューターの構成」と「ユーザーの構成」のそれぞれの配下に項目がある。どちらを使うかは、GPOをリンクする場所によって選択すればよいだろう。今回は「ユーザーの構成」の配下から構成しているが、どちらも設定画面は共通なので戸惑うことはないはずだ。

　まずは、フォルダーの操作例から見ていこう。フォルダーを操作するには、「フォルダー」項目を右クリックして「新規作成」→「フォルダー」を選択する。すると、「新しいフォルダーのプロパティ」画面が表示される（画面1）。

画面1　GPOの「フォルダー」の設定画面→「全般」タブ

　「新しいフォルダーのプロパティ」画面の「アクション」欄で「作成」を選択し、「パス」欄に作成したいフォルダー名を含めたパスを入力する。基本となる設定はこれだけで完了だ。後は、クライアントコンピュータでGPOを更新すれば、クライアントコンピュータ内の指定されたディレクトリにフォルダーが作成される。

　管理目的でユーザーから見られないように「隠しフォルダー」として作成したい場合には、「属性」欄の「非表示」にチェックを入れる。ちなみに、今回は「作成」の説明をしているが、「アクション」欄で「削除」や「置換」を選択すれば、フォルダーを削除したり、フォルダー内のファイルを削除したりすることも可能だ。

　次に、ファイルの操作例を紹介する。基本的には、ファイルもフォルダーの場合とほぼ同じ操作で構成することができる。ファイルを操作するには、「ファイル」項目を右クリックして「新規作成」→「ファイル」を選択する。すると「新しいファイルのプロパティ」画面が表示される（画面2）。

画面2　GPOの「ファイル」の設定画面→「全般」タブ

　例えば、あるファイルをクライアントに配布する場合は、「アクション」欄で「作成」を選択し、「ソースファイル」欄に配布元となるファイルを、「ターゲットファイル」欄にクライアントコンピュータのどのディレクトリに、どのようなファイル名で格納するかをそれぞれ指定する。

　ここで気を付けてほしいのは、「ソースファイル」の指定だ。クライアントコンピュータは、「ソースファイル」欄に指定されたパスにアクセスしてファイルを取得する。つまり、ファイルを配布する場合は、ソースファイルをクライアントがアクセス可能な共有フォルダー上に格納し、「ソースファイル」欄の指定は「\\<サーバ名>\<共有フォルダー名>\<ファイル名>」の形式で指定する必要がある。「ソースファイル」に「C:\xxx.xxx」のように指定すると、クライアントコンピュータはファイルを取得できないので注意してほしい。

　「ターゲットファイル」欄にはクライアントコンピュータ上の格納先ディレクトリとファイル名を指定するが、格納先ディレクトリが存在しない場合には、そのディレクトリ（フォルダー）が自動的に作成されて、そこにファイルが保存される。

　ここで、もう一つ補足がある。グループポリシーの設定は、ローカルのSYSTEMアカウントによって処理される。そのため、「ソースファイル」で指定した共有フォルダーやファイルに対して適切なアクセス許可が設定されていないと、クライアントはファイルを取得できない。

　具体例を挙げると、共有フォルダーや配布ファイルのアクセス許可で「Everyone」に対して「読み取り」が設定されていれば、上記の設定でクライアントはファイルを取得することができる。しかし、特定のユーザーやグループだけにアクセス許可を与えている場合には、ファイルを取得することができない。

　このような場合のために、「基本設定」にはユーザーの権限で処理を行うためのオプションが用意されている。作成した項目のプロパティ画面の「共通」タブには、「ログオンしているユーザーのセキュリティコンテキストで実行する」チェックボックスが用意されている（画面3）。

画面3　GPOの「ファイル」の設定画面→「共通」タブ

　ここにチェックを入れると、ローカルのSYSTEMアカウントではなく、クライアントコンピュータを利用するユーザーのアクセス許可に基づいて処理が行われるようになる。従って、共有フォルダーや配布ファイルのアクセス許可で、特定のユーザーやグループにのみアクセスできるように構成している場合は、このチェックを入れておくとよい。

　なお、このチェックボックスは「ユーザーの構成」の配下でのみ利用可能で、「コンピューターの構成」の配下では利用できないことに注意してほしい。

レジストリを操作する

　アプリケーションの設定を変更したり、特定の機能を利用したりするために、クライアントコンピュータのレジストリの変更が必要になる場合がある。レジストリを変更するコマンドとしては「reg」があるが、そうしたコマンドを使わなくても、グループポリシーの「基本設定」でもレジストリを操作することができる。

　ここから「基本設定」を用いたレジストリの変更方法を紹介するが、コンピュータのレジストリは「人間にとっての神経のようなもの」なので、構成の際には注意してほしい。実際に操作する前には、バックアップや十分な検証を行っておくことをお勧めする。

レジストリを操作する

• 「コンピューターの構成」−「基本設定」−「Windowsの設定」−「レジストリ」
• 「ユーザーの構成」−「基本設定」−「Windowsの設定」−「レジストリ」

　レジストリの操作も、ここまで紹介してきた「基本設定」項目とほとんど同じだ。レジストリを操作するには、「レジストリ」の項目を右クリックして「新規作成」→「レジストリ項目」を選択する。すると、「新しいレジストリのプロパティ」画面が表示される（画面4）。レジストリ特有の項目として「ハイブ」欄と「キーのパス」欄があるので、ここで操作するレジストリのパスを指定する。

画面4　GPOの「レジストリ」の設定画面→「全般」タブ

　「キーのパス」欄には「...」（参照ボタン）があるが、ここを参照するとグループポリシーを編集しているコンピュータ（通常は、ドメインコントローラー）のレジストリキーのツリーが表示される。存在しないキーの配下に追加する場合には、「キーのパス」欄に直接入力する。そして、追加する「値の名前」「値の種類」「値のデータ」をそれぞれ指定する。

　以上の設定が完了したら、クライアントコンピュータにGPOを適用する。適用結果を確認するために、クライアントコンピュータで「レジストリエディター」を開くと、指定した位置にキーと値が追加されていることが分かる。

　このように、レジストリも「基本設定」から簡単に構成することが可能だ。ただし、ファイルやフォルダーと同じように、レジストリもアクセス許可によって制御されている。そのため、レジストリのハイブやキーの位置によっては制御できない場所もあるので注意してほしい。

まだまだ使える項目がたくさん！

　前回に引き続き、今回もグループポリシーの「基本設定」を紹介した。現状、ログオンスクリプトで上記のようなことを実現しているのであれば、「基本設定」で置き換えられないかを検討していただければと思う。まだまだ紹介できていない項目もあるが、「基本設定」はどの項目も同じような画面構成になっているので、今回紹介できなかった項目はご自分で確認してみてほしい。

「基礎から分かるグループポリシー再入門」バックナンバー

• 「アカウントポリシー」でユーザーのパスワード設定を定義する
• 「管理用テンプレート」を拡張してアプリケーションの設定をカスタマイズする
• 「ポリシー」と「基本設定」の違いを理解する
• グループポリシーで「ストアアプリ」をインストールする
• コントロールパネルの設定項目をカスタマイズする
• Windows 10でグループポリシー設定を利用するには
• グループポリシーでファイルやフォルダー、レジストリを操作する
• ログオンスクリプトをグループポリシーに置き換えるには？
• フォルダーリダイレクトでユーザープロファイルを管理する
• グループポリシーで利用させる／利用させない「サービス」を柔軟に制御する
• これだけはやっておきたい！ 基本的なサーバー管理に役立つグループポリシー設定
• イベントビューアーでセキュリティ監査を行うためのグループポリシー設定
• “必要ないもの／使わないもの”は無効化し、クライアントのセキュリティを向上させる
• クライアントのセキュリティを強化するグループポリシー設定
• グループポリシーでアプリケーションの実行を制御する
• セキュリティの強化に役立つグループポリシー設定
• まだあるぞ！ グループポリシーの“鉄板”設定パート2
• すぐに使えるグループポリシーの“鉄板”設定
• グループポリシーを確実に運用するには
• グループポリシーの仕組み、理解できていますか？

筆者紹介

新井 慎太朗（あらい しんたろう）

株式会社ソフィアネットワークに所属。2009年よりマイクロソフト認定トレーナーとして、Windowsを中心としたサーバおよびクライアント管理、仮想化技術に関するトレーニングを提供している。無類の猫好き。共同執筆者である国井家で飼われている猫に夢中。