「ポリシー」と「基本設定」の違いを理解する：基礎から分かるグループポリシー再入門（18）（2/2 ページ）

[新井慎太朗，株式会社ソフィアネットワーク]

「適用タイミング」の違い

　適用タイミングの違いを説明する前に、グループポリシーが適用されるタイミングを簡単におさらいしておこう。グループポリシーが適用されるタイミングは幾つか存在するが、基本的には下記の3つだ。

• コンピュータの起動時／ログオン時
• 定期的な更新（既定では90〜120分の間）
• 「Gpupdate」コマンドによる手動更新

　グループポリシーが適用されるタイミングが「コンピュータの起動時／ログオン時」だけならば、起動しっぱなしのコンピュータ（例えば、サーバなど）には新しいグループポリシーが適用されないことになってしまう。そうならないように、コンピュータに電源を入れて使い始めるときだけでなく、稼働中でも新しいグループポリシーが適用できるように定期的に適用（更新）が行われるのだ。また、テスト環境などでは、すぐにポリシー適用の効果を確認したい場合もあるだろう。すぐに適用したい場合のために、「Gpupdate」という手動更新のコマンドが用意されている。

　既定では、定期的な更新は90〜120分の間のランダムな時間に行われるが、下記のポリシー設定項目で変更することも可能だ。もっと短い間隔でグループポリシーを適用したい場合や、グループポリシーによるネットワークトラフィックを抑えたい場合などには下記のポリシー設定を利用するとよい。

グループポリシーの更新間隔を変更する

• 「コンピュータの構成」−「ポリシー」−「管理用テンプレート」−「システム」−「グループポリシー」−「コンピュータのグループポリシーの更新間隔を設定する」
• 「ユーザーの構成」−「ポリシー」−「管理用テンプレート」−「システム」−「グループポリシー」−「ユーザーのグループポリシーの更新間隔を設定する」

　さて、ここから本題のポリシーと基本設定の適用タイミングの違いを説明する。基本的に、両者とも上記の3つのタイミングで適用される点については同じである。ただし、基本設定には「1度だけ適用し、再適用しない」というオプションが用意されている。このオプションは、基本設定の配下であればどの項目でも利用可能で、設定時に「共通」タブで構成できる（画面4）。

画面4　「基本設定」の「共通」タブ

　この設定は、その名前の通り、「1度だけ適用させたい」場合のためのオプションだ。例えば、「効果の違い」で紹介したように、「基本設定」で定義した設定内容はユーザーが変更できる。しかし、ユーザーが「基本設定」で配布された内容を変更しても、このオプションがオフの場合には毎回適用されるたびに「基本設定」で定義した内容に戻ってしまう。基本設定をあくまでもコンピュータの初期設定として利用し、ユーザーが変更したい場合には変更を許可してもよいのであれば、このオプションをオンにしておくとよいだろう。

「適用対象の指定」の違い

　こちらも違いを説明する前に、基本的な仕組みをおさらいしておこう。本連載第1回「グループポリシーの仕組み、理解できていますか？」でも紹介したように、定義したグループポリシーがどのコンピュータ／ユーザーに適用されるのかは「リンク」に依存する。

　グループポリシーは、「ドメインにリンク」した場合はドメイン全体に適用され、「特定のOUにリンク」した場合はそのOU（Organizational Unit：組織単位）内のコンピュータ／ユーザーのみに適用される。このリンクと呼ばれる設定が、適用対象を指定する基本となる。

　1つ補足しておくと、グループポリシーも実はファイルやフォルダと同様に「アクセス許可」によって制御されている。各グループポリシーには、既定で「Authenticated Users（認証された全てのアカウントを含むグループ）」に対して「読み取り」と「グループポリシーの適用」という2つの「許可」が与えられる。そのため、「ドメインにリンク」した場合はドメイン全体に適用され、「特定のOUにリンク」した場合はそのOU内の全コンピュータ／ユーザーに適用されるという結果になる。

　逆にいうと、このアクセス許可を編集すれば「特定のコンピュータ／ユーザーを適用対象から除外する」ことや「特定のコンピュータ／ユーザーだけに適用する」といったことも可能になる。各グループポリシーのアクセス許可は、「グループポリシーの管理」の左側のコンソールツリーから確認したいグループポリシーを選択し、「委任」タブをクリックして右下にある「詳細設定」をクリックすることで確認できる（画面5）。

画面5　グループポリシーのアクセス許可の確認

　さて、ポリシーと基本設定の違いについての内容だ。基本設定には、上記でも紹介した「共通」タブに「項目レベルで対象化する」というオプションが用意されている。このオプションを使うと、設定を適用したいコンピュータ／ユーザーの条件を定義できるため、組織の環境に合わせてより柔軟に対応できるようになる（画面6）。例えば、「64ビットのWindows 8.1 Enterpriseのコンピュータのみ」や「Cドライブの空き領域がXXGB以上」という指定が簡単に行える。

画面6　「基本設定」でのターゲットの指定

　ポリシー配下の項目で、上記のような指定を行う場合には、OUを分けるか、WMI（Windows Management Instrumentation、主にハードウェアに関連する情報にアクセスするための機能）によるフィルターなどを組み合わせる方法で対応が必要となる。しかし、基本設定では、そのような面倒なことはせずに、メニューから条件を指定できる。

　ただし、このような設定はあくまでも「オプション」という位置付けのため、多用するとトラブル時の見直しが困難になることに注意したい。利用の際には、どの設定に、どのようなターゲットを指定したのかをきちんと記録しておくことが重要になる。ターゲットの指定情報をドキュメント化しておくことや、「設定」タブでの確認方法についても覚えておくとよいだろう（画面7）。

画面7　ターゲット指定は、「グループポリシーの管理」画面の「設定」タブで確認できる

ポリシーと基本設定の違いを振り返ると……

　今回は、具体的なポリシーの紹介ではなく、ポリシーと基本設定配下の項目の違いについて整理した。基本設定は後から追加された項目であるため、複雑な環境にも柔軟に対応できるオプションを備えていることが確認できただろう。両者の違いを理解した上で、組織におけるルールをどのように実装していくのか、再度見直す機会にしていただければ幸いだ。

筆者紹介

新井 慎太朗（あらい しんたろう）

株式会社ソフィアネットワークに所属。2009年よりマイクロソフト認定トレーナーとして、Windowsを中心としたサーバおよびクライアント管理、仮想化技術に関するトレーニングを提供している。無類の猫好き。共同執筆者である国井家で飼われている猫に夢中。