前回までは、コンピュータの管理に役立つグループポリシー設定項目を「ポリシー」と「基本設定」からピックアップして紹介してきた。今回は、ポリシーと基本設定、それぞれの項目の「違い」をあらためて整理する。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
Active DirectoryはWindows 2000 Serverに合わせて開発されたディレクトリサービスであり、「グループポリシー」はActive Directoryドメイン環境でコンピュータの構成を標準化するために搭載された機能である。基本的な機能と概念は今でも変わっておらず、グループポリシーで利用可能な設定項目はWindowsの進化に合わせて追加され続けて現在に至っている。
グループポリシーの「基本設定」配下の項目は、Windowsのバージョンアップで追加された代表的な例の1つだ。基本設定はWindows Server 2008で追加されたポリシー設定項目であり、それ以前のWindows 2000 Serverには存在しない(「ポリシー」項目があるだけ)(画面1)。そのため、ポリシーと基本設定の配下の項目は、それぞれ異なる特徴を備えている。両者を同じように扱ってしまうと、設定を変更した際などにトラブルの原因となる可能性もある。そこで今回は、ポリシーと基本設定、両者の違いをあらためて整理する。
ポリシーと基本設定が備える特徴の違いは、以下の表1のようになる。
「ポリシー」の配下 | 「基本設定」の配下 | |
---|---|---|
効果 | 強制される | 強制されない |
適用のタイミング | GPO更新のたび | GPO更新のたび、または1度だけ |
適用対象の指定 | リンクとアクセス許可設定に依存 | ターゲットの指定も可能 |
表1 ポリシーと基本設定が備える特徴の違い |
それでは、それぞれの違いについて順番に整理していこう。
まずは、「効果」の違いから説明していこう。ポリシー配下の項目は、“強制的な効果”となることが大きな特徴だ。強制的な効果とは、「ユーザーが設定を解除することができない」ということだ。
例を挙げると、「ユーザーの構成」の「ポリシー」配下には、スクリーンセーバーが起動するまでの時間を設定する「スクリーンセーバーのタイムアウト」というポリシーがある。これを「600秒(10分)」に設定してグループポリシーを適用した場合は、ユーザーはその時間を変更することができない。ユーザーがスクリーンセーバーの設定画面を開いても、設定箇所がグレーアウトされて変更できないようになっている(画面2)。
対して、基本設定配下の項目は強制されないため、グループポリシーで適用された設定内容をユーザーは変更することができる。従って、本連載第13回「ログオンスクリプトをグループポリシーに置き換えるには?」で紹介した「ユーザーの構成」の「基本設定」配下にある「ドライブマップ」を定義したとしても、操作画面やメニューはグレーアウトされず、ユーザー自身が気に入らなければ変更したり、削除したりすることができる(画面3)。
以上のように、ポリシーと基本設定には「強制されるか/されないか」という違いがある。両者の配下の項目を見比べてみると、どちらでも同じようなことを実現できるものが見つかるだろう。どちらを選択するか迷った場合には、強制する必要があるか/ないかを考慮するとよい。
Copyright © ITmedia, Inc. All Rights Reserved.