検索
連載

第2回 グループ・ポリシーとは何かグループ・ポリシーのしくみ(3/5 ページ)

Active Directoryによる集中管理を可能にするGP。NTのシステム・ポリシーとの違いを明らかにし、GPオブジェクトの内部を探ってみよう。

Share
Tweet
LINE
Hatena

グループ・ポリシー・エディタ

 GPOの編集は、グループ・ポリシー・エディタ(GPEdit)で行う。グループ・ポリシー・エディタは、「マイクロソフト管理コンソール(MMC)」のスナップインである。MMCは拡張のためのインターフェイスを備えており、グループ・ポリシー・エディタもその拡張性を利用して、さまざまな形態のポリシー編集を可能にしている。システム・ポリシー・エディタには拡張性がなかったが、これもシステム・ポリシーとグループ・ポリシーの違いの1つだ。

 それでは実際にグループ・ポリシー・エディタを開いて、GPOを読み込んでみよう。まず[スタート]メニューの[ファイル名を指定して実行]で「mmc」と入力し、MMCコンソールを起動する。 次にMMCの[ファイル]−[スナップインの追加と削除]メニューで[グループ ポリシー オブジェクト エディタ]スナップインを追加する。すると、[グループ ポリシーオブジェクトの選択]ウィザードが開き、どのGPOを開くか選択を求められる。デフォルトでは[ローカル コンピュータ]が選択されているはずだ。これは、LGPOのことだ。そのまま[完了]をクリックすればLGPOが開かれる。


グループ・ポリシー・オブジェクト・エディタ・スナップインの追加
MMCを起動し、スナップインの追加で[グループ ポリシー オブジェクト エディタ]を追加する。すると、操作対象のオブジェクトを選択するウィザードが起動するので、[ローカル コンピュータ]を選択する。
 (1)MMCを起動して[ファイル]メニューの[スナップインの追加と削除]を実行し、スナップインを追加する。
 (2)[グループ ポリシー オブジェクト エディタ]を追加する。
 (3)スナップインを追加すると、このように操作対象のGPOを選択するウィザードが起動する。
 (4)デフォルトではローカル・コンピュータ場のLGPOを開く。
 (5)これをクリックするとLGPOの表示/編集が行える。

 [完了]をクリックして[スナップインの追加と削除]ダイアログを閉じたら、MMCにはLGPOを読み込んだ状態のグループ・ポリシー・エディタが表示される。

 ただしLGPOを開くだけなら、[スタート]メニューの[ファイル名を指定して実行]で「gpedit.msc」と入力すれば、以上の操作を省略して最初からLGPOを読み込んだ状態でグループ・ポリシー・エディタを開くことができる。LGPOを開きたい場合は通常はこの方法を使えばよいだろう。


グループ・ポリシー・エディタ
GPOを編集するためのGUIツールがグループ・ポリシー・エディタである。グループ・ポリシー・エディタでGPOを開くと、このようなツリーが出てくる。これが、現在開いているGPOで定義され、このグループ・ポリシー・エディタで編集できるポリシーだ。画面はLGPOを開いたグループ・ポリシー・エディタ。
 (1)さまざまなカテゴリーで分類されたポリシーの一覧。[コンピュータの構成]と[ユーザーの構成]からなる。
 (2)コンピュータに適用されるポリシー。
 (3)ユーザーに適用されるポリシー。
 (4)左ペインで選択したカテゴリー内にあるポリシーの一覧。

コンピュータとユーザー

 グループ・ポリシー・エディタ上には、GPOの内容が[コンピュータの構成]と[ユーザーの構成]として大きく分類されて表示されている。

 [コンピュータの構成]は、コンピュータに対するポリシーである。このGPOが適用されるコンピュータには、この[コンピュータの構成]内のポリシーが適用される。LGPOの場合、GPOの適用先はローカル コンピュータ自身だから、ローカル・コンピュータ自身に適用されることになる。

 [ユーザーの構成]は、ユーザーに対するポリシーである。このGPOが適用されたコンピュータに誰かユーザーがログオンすると、この[ユーザーの構成]内のポリシーがそのユーザーに適用される。LGPOの場合、ローカル・コンピュータにログオンしたユーザーに適用されることになる。

 このような、コンピュータとユーザーという分け方は、システム・ポリシーと同じだし、レジストリのHKEY_LOCAL_MACHINEとHKEY_CURRENT_USERにも似ている。

グループ・ポリシー設定のコンポーネント化

 グループ・ポリシーは拡張可能な設計になっていることはすでに述べたとおりであり、グループ・ポリシーの設定と適用はコンポーネント化されている。1つのGPOにはいくつものポリシーが含まれているが、複数のコンポーネントがポリシーの一部ずつをそれぞれ担当することによって成り立っている。コンポーネントによって拡張されていない素のグループ・ポリシーは、単なるフレームワークにすぎない。

 グループ・ポリシー・エディタ上のツリー構成には、おおむねこのコンポーネントごとの分担が反映されている。


グループ・ポリシー・エディタ上のポリシー分類とコンポーネント
グループ・ポリシーはコンポーネント化されており、それぞれのコンポーネントがポリシーの一部ずつを担当している。グループ・ポリシー・エディタ上で表示されているツリー状の分類は、これらのコンポーネントごとの分担をおおむね反映している。例えば、画面の(1)(6) は別々のコンポーネントが担当している。
 (1)コンピュータの起動/終了時、ユーザーのログオン/ログオフ時にスクリプトを実行させるポリシー。
 (2)アカウントのパスワード/ロックアウトの設定や、監査、ユーザーの権利などを定めるポリシー。
 (3)ソフトウェアの実行を制限するポリシー。
 (4)IPSecのポリシー。
 (5)Internet Explorerのポリシー。
 (6)レジストリに何らかの値を設定するポリシー。

 この画面では上記のようなツリーがあるが、OSによってツリーの構成は異なる。それは、OSによってサポートされているコンポーネントが異なるためだ。

 このようにポリシーがコンポーネント化され、いくつかのコンポーネントが分担することによって成り立っていることは、意識しておいた方がよい。それぞれのコンポーネントによって動作の性格が大きく異なり、ポリシー設定の検討やトラブルシューティングの方針も異なってくるからだ。

Copyright© Digital Advantage Corp. All Rights Reserved.

ページトップに戻る