第5回 Active Directoryにおけるグループ・ポリシー:グループ・ポリシーのしくみ(1/3 ページ)
Active Directory環境におけるグループ・ポリシーは、ローカル・グループ・ポリシーとどう違うのか? GPOの配布と適用方法は?
前回までの解説では、ローカル・グループ・ポリシーを基にグループ・ポリシーを見てきた。今回と次回の2回では、Active Directory環境におけるグループ・ポリシーを取り上げて解説する。
Active Directoryでのグループ・ポリシーを管理するツールとしては、Windows 2000以来の標準的な管理ツール群と、当初はOSとは別にリリースされたが、Windows Server 2003 R2などでは標準搭載されている「グループ・ポリシー管理コンソール(以下GPMC)」とがある。GPMCの方がより統合された管理ツールだが、ここではWindows 2000でも利用できる従来の管理ツールを用いて解説を進める。両者は操作方法が異なるだけで概念は同じである。従来の管理ツールで理解した内容は、GPMCでもほぼそのまま通用する。
Active Directoryにおけるグループ・ポリシーでも、ローカル・グループ・ポリシーと同じく、ポリシーの適用は各クライアント・コンピュータ上で行われる。ローカル・グループ・ポリシーについての理解と、Active Directoryの基本的な階層構造の理解があれば、それほど難しいものではない。
ただし、Active Directoryでのグループ・ポリシーは、影響する範囲が広い。ローカル・グループ・ポリシーはローカル・コンピュータにしか影響がないので比較的気軽に設定を試すことができるが、Active Directoryでは、やり方によっては想像以上に広い範囲に適用されることもある。設定に当たっては、テスト環境で事前に確認するなど、慎重に行う必要がある。
ローカル・グループ・ポリシーの限界
前回までに解説したローカル・グループ・ポリシーでは、各コンピュータがローカルにグループ・ポリシー・オブジェクト(以下GPO)を持ち、そのローカルGPO(以下LGPO)をコンピュータ自身に適用する。それによって、そのローカル・コンピュータ上では、常に統一したポリシー設定が維持される仕組みになっていた。
これは、コンピュータの管理が1台または数台で完結している家庭や、SOHOなどのオフィスにおいては適切な機能だろう。だがやや規模が大きくなると、LGPOでは、組織内のコンピュータに統一したポリシー設定を行うことは難しくなる。LGPOの保存場所とリンク先はあくまでローカル・コンピュータに限られているからだ。
LGPOでも、リモート・コンピュータからGPOを編集したり、あるコンピュータからほかのコンピュータへGPOをコピーしたりすることはできるが、そのような手段で多数のコンピュータのポリシー設定を統一し維持していくのは、たいへん手間がかかる。
また、LGPOは各コンピュータに1つしかないため、常に1つのポリシー設定だけが適用される。条件によってポリシー内容を変化させることはできない。
Active Directory環境におけるグループ・ポリシー
ローカル・グループ・ポリシーとActive Directoryでのグループ・ポリシーを比較すると、次のように、GPOの保存場所とリンク先が異なる。
保存場所 | リンク先 | |
---|---|---|
LGPO | ローカル・コンピュータ (%SystemRoot%\System32\GroupPolicy\) | ローカル・コンピュータ |
Active Directoryの GPO | ドメイン・コントローラ | ディレクトリ・コンテナ (サイト、ドメイン、OU) |
GPOの保存場所とリンク先 LGPOとActive DirectoryのGPOでは、その保存場所やリンク先が異なる。 |
Active Directoryでは、GPOがドメイン・コントローラ上に保存されるだけでなく、リンク先もディレクトリ上のコンテナになっている。各コンピュータに直接リンクされるわけではない。
LGPOの保存場所とリンク
LGPOは、ローカル・コンピュータ上に保存される。LGPOのリンク先(GPOの適用先)と考えてよいのも、ローカル・コンピュータ(自分自身)だけである。このような構成では、複数のコンピュータの集中管理や、柔軟なポリシー設定は難しい。
このように、LGPOでは、ローカルのコンピュータがリンク先となる。しかしActive Directory環境では、Active Directoryのコンテナがリンク先となる。
Active DirectoryのGPOの保存場所とリンク
Active Directoryでは、GPOはディレクトリ/ドメイン・コントローラ上に保存される。GPOのリンク先はコンテナであり、コンピュータに直接はリンクしない。Active Directoryの情報管理と階層構造を活用することによって、集中管理と柔軟なポリシー設定が可能になっている。
(1)Active Directory。
(2)Active Directoryのコンテナ。ディレクトリの階層構造をなしている。GPOはこれらのコンテナにリンクする。
(3)Active Directoryに参加しているコンピュータ。Active Directoryでは、GPOはコンピュータに直接リンクしない。
(4)ドメイン・コントローラ。
(5)Active Directoryでは、GPOはディレクトリ/ドメイン・コントローラに保存される。
Active DirectoryのGPOは保存場所がディレクトリ/ドメイン・コントローラになっているので、集中管理することができる。そしてリンク先がコンテナになっていることから、階層化させてリンクすることができる。
一方、必要なGPOの取得が各コンピュータによって行われる(各コンピュータが自身でGPOを“プル”して取得し、適用する)という点は同じである。ドメイン・コントローラなどが各コンピュータにGPOを送り込む(“プッシュ”する)わけではない。
各コンピュータが必要なGPOを取得した後に行う適用処理も、LGPOと基本は同じである。GPOの適用は、各コンピュータのクライアント側拡張(CSE)が行う。
Active DirectoryにおけるGPOの作成と、各コンピュータ上での適用処理
GPOの作成と各コンピュータ上での適用処理は、LGPOでもActive DirectoryのGPOでも、基本的に同じである。管理者がグループ・ポリシー・エディタ(GPEdit)でGPOを作成し、各コンピュータ上のクライアント側拡張(CSE)が適用を行う。この全体の構成は、LGPOとActive Directoryとで、ほとんど違いはない。
(1)サーバ側拡張。GPOを作成する拡張。MMCの[グループ ポリシー オブジェクト エディタ]スナップインに読み込まれる。担当しているポリシーの性格と必要に応じた独自のユーザー・インターフェイスを管理者に提供し、GPOを作成する。
(2)管理者はサーバ側拡張を通じてGPOを作成する。
(3)GPOの適用。
(4)クライアント側拡張(CSE)。各コンピュータ上で動作し、GPOを実際に適用する拡張。サーバ側拡張によって作成されたGPOは、クライアント側拡張によって各コンピュータに適用される。具体的には、GPO内のポリシーに従ってレジストリやファイルを設定したりする。
いったん取得したGPOの適用がLGPOとほぼ同じということは、Active Directoryにおけるグループ・ポリシーでは、GPOがどのように適用されるかよりも、どのGPOを適用すべきかがポイントになるということである。つまり、どのGPOがどこにリンクされているかが重要となる。
Copyright© Digital Advantage Corp. All Rights Reserved.