第2回 グループ・ポリシーとは何か:グループ・ポリシーのしくみ(4/5 ページ)
Active Directoryによる集中管理を可能にするGP。NTのシステム・ポリシーとの違いを明らかにし、GPオブジェクトの内部を探ってみよう。
グループ・ポリシー機能の「拡張(extension)」
以上のように、ポリシーの一部ずつを担当しているコンポーネントを「拡張(extension)」と呼ぶ。マイクロソフト以外のベンダが独自の拡張を提供して追加することも可能になっている。
拡張には2種類あり、それぞれGPOの作成と適用に関与している。GPOを作成するのが「サーバ側拡張」であり、作成されたGPOを適用するのが「クライアント側拡張」である。
グループ・ポリシーという全体の枠組みの中で、実際に拡張がGPOをどのように作成し、どのように適用するか、その詳細は各拡張に任されていて、それぞれの拡張の都合によってさまざまである。そのため、同じGPO内でも「素直に」動作するポリシーもあれば、動作に妙に「癖のある」ポリシーがあったりすることにもつながる。例えば、適用されたGPO内の各ポリシーが拡張によってコンピュータへ最終的に反映されるタイミングは、必ずしも同じではない。コンピュータにログオンし続けているだけで適用されるポリシーもあれば、一定の条件を満たさなければ適用されないポリシーもある。あるポリシーが適用されたからといって、同時にそのほかのすべてのポリシーも適用されたとは限らない。
拡張(サーバ側拡張とクライアント側拡張)
グループ・ポリシーの一部ずつを担当するコンポーネントを「拡張」と呼ぶ。拡張には「サーバ側拡張」と「クライアント側拡張」がある。サーバ側拡張がGPOを作成し、クライアント側拡張がそのGPOを適用する。
(1)サーバ側拡張。GPOを作成する拡張。MMCの[グループ ポリシー オブジェクト エディタ]スナップインに読み込まれる。担当しているポリシーの性格と必要に応じた独自のユーザー・インターフェイスを管理者に提供し、GPOを作成する。
(2)管理者はサーバ側拡張を通じてGPOを作成する。
(3)クライアント側拡張。各コンピュータ上で動作し、GPOを実際に適用する拡張。
(4)サーバ側拡張によって作成されたGPOは、クライアント側拡張によって各コンピュータに適用される。具体的には、GPO内のポリシーに従ってレジストリやファイルを設定したりする。
サーバ側拡張(MMC 拡張)
サーバ側拡張は、単純にいって、グループ・ポリシー・エディタ上のポリシー編集画面を担当しているコンポーネントだと考えればよいだろう。すなわち、MMCの[グループ ポリシー オブジェクト エディタ]スナップインの拡張である。
例えば、グループ・ポリシー・エディタでの[Internet Explorer のメンテナンス]の編集画面は、ieaksie.dllなどに実体のあるサーバ側拡張が動作している画面だ。
サーバ側拡張の例
サーバ側拡張は、グループ・ポリシー・エディタを拡張している。これは([Internet Explorer のメンテナンス]のポリシー編集を担当しているMMC拡張の例である。グループ・ポリシー・エディタ上でポリシーを編集するときは、管理者は、サーバ側拡張の提供するユーザー・インターフェイスを利用することになる。サーバ側拡張は、取り扱うポリシーの性格と必要に応じた拡張独自のUIを提供する。そのため、グループ・ポリシー・エディタ上には、よくいえば臨機応変、悪くいえばばらばらなUIが登場してくる。
グループ・ポリシー・エディタでどの拡張を使用するかは、MMCに[グループ ポリシー オブジェクト エディタ]スナップインを追加するときに、[スナップインの追加と削除]ダイアログの[拡張]タブである程度選ぶこともできる。使用するサーバ側拡張を増減させると、グループ・ポリシー・エディタのツリーもおおむねそれを反映して増減する。デフォルトではすべての拡張が使用されるようになっているが、必要なサーバ側拡張だけを[スナップインの追加と削除]ダイアログで追加すれば、必要なポリシーしか編集できないようにした、いわばより安全なMMCコンソールを作成することもできる。
[スナップインの追加と削除]ダイアログ
MMCに[グループ ポリシー オブジェクト エディタ]スナップインを追加するとき、[拡張]タブで、どの拡張を使用するか選ぶことができる。
(1)デフォルトではすべての拡張を追加するようになっている。
(2)ここで、使用したい拡張だけを選択することもできる。
(3)この拡張だけを追加してみる。
「Internet Explorerのメンテナンス」という拡張を1つだけ追加してみると、次のようになる。
一部の拡張だけを追加したグループ・ポリシー・エディタ
この画面では、[グループ ポリシー オブジェクト エディタ]スナップインに[Internet Explorer のメンテナンス]の拡張だけが追加されている。そのため、ほかの拡張が編集を担当しているポリシーは編集できない。
(1)ツリーには[Internet Explorer のメンテナンス]しか現れず、ほかのポリシーはこのMMCコンソールでは編集できない。
このようにサーバ側拡張を使用してGPOを作成/編集したら、各コンピュータ上のクライアント側拡張がそのGPOの適用を行う。
グループ・ポリシーの「拡張子」
グループ・ポリシー関係のイベント・ログなどで「拡張子」という言葉に出くわすことがある。まるでファイル名を指すかのような言葉だが、これは上記の「拡張(extension)」を指している。ファイル名の「拡張子」とまぎらわしく訳す必然性はないので、誤訳といってよいだろう。グループ・ポリシーを扱っていてこのような「拡張子」という言葉が出てきたら、ファイル名の拡張子のことと誤解しないよう、注意する必要がある。
グループ・ポリシーの「拡張子」が含まれるイベント・ログの例
グループ・ポリシーの「拡張子」とは、グループ・ポリシーの「extension(拡張)」の訳語である。
(1)「クライアント側拡張子」という用語は「client side extension」の訳語。
Copyright© Digital Advantage Corp. All Rights Reserved.