第5回 Active Directoryにおけるグループ・ポリシー:グループ・ポリシーのしくみ(3/3 ページ)
Active Directory環境におけるグループ・ポリシーは、ローカル・グループ・ポリシーとどう違うのか? GPOの配布と適用方法は?
GPOの実体(GPTとGPC)
LGPO の実体は、グループ・ポリシー・テンプレート(GPT)として、%SystemRoot%\System32\GroupPolicy\ に保存されている。
これに対して、Active DirectoryのGPTは、ドメイン・コントローラのSYSVOL共有に保存される。
Active DirectoryのGPT
これはSYSBOL共有フォルダの内容をツリー表示したもの。Active Directoryのグループ・ポリシー・テンプレート(GPT)は、ドメイン・コントローラのSYSVOL共有に保存される。
(1)SYSVOL共有。
(2)ドメイン名。
(3) GPTはここに保存される。
(4)各GPOのGPT。1つの{GUID}以下が、1つのGPOのGPT。
Policiesの下に{GUID}フォルダがいくつか並んでいる(例:{6AC1786C-…}など)。1つの{GUID}以下が、1つのGPOのグループ・ポリシー・テンプレート(以下GPT)である。Active DirectoryではGPOをGUIDで識別する。
GPTの構成はLGPOのGPTとほとんど同じなので、そちらの解説を参照していただきたい。
ただし、GPT.iniには重要な違いがある。LGPOのGPT.iniは、バージョン情報以外にもいくつか情報を持っている。Active Directoryでは、これらの情報はGPT.iniには保存されず、代わりにディレクトリ上に保存されている。ドメイン・パーティションのSystemの下のPoliciesである。Policiesの下に、各GPOの情報が並んでいる。GPOを識別するのは、GPTと同じGUIDである。
グループ・ポリシー・コンテナ(GPC)
Active Directoryでは、GPTだけでなく、ディレクトリ上にもGPOの情報が保存される。これはグループ・ポリシー・コンテナ(GPC)と呼ばれる。これは、[表示]メニューの[拡張機能]を有効にした状態の、[Active Directory ユーザーとコンピュータ]ツールの画面。
(1)GPOの保存されているドメイン。
(2)GPCはここに保存される。
(3)各GPOのGPC。1つの{GUID}以下が、1つのGPOのGPC。
GPOのうち、このようにディレクトリに保存されている部分は、グループ・ポリシー・コンテナ(GPC)と呼ばれる。
GPCはActive Directoryのディレクトリの一部にすぎないので、そこに保存されている情報は、ADSIEdit(サポート・ツール)やLDAPのクエリ・ツールなど、一般的なActive Directoryの管理ツールで調べることができる。GPCに保存されている主要な情報についてはLGPOのGPT.iniと同じなので、そちらの解説を参照していただきたい。
GPOの複製と、クライアント・コンピュータからのアクセス
GPTが保存されるSYSVOL共有は、分散ファイル・システム(DFS)によって、クライアント・ンピュータに提供される。つまり、SYSVOL共有はドメイン・コントローラ間で複製され、同期されており、クライアント・コンピュータからは、物理的には分散しながらも内容は同期されたSYSVOL共有にアクセスすることができる。GPTもその一環として、ドメイン・コントローラ間で複製/同期され、クライアント・コンピュータからアクセスを行うことができる。
もし、DFSおよびそれが依存するファイル複製サービス(FRS)に異常があったり、SYSVOL共有のファイル・システムに異常が発生したりすると、GPTにも正しくアクセスすることができなくなる。例えば、次のようなエラーが発生する。
このような原因で問題が発生した場合、このサポート技術情報のように、各クライアント・コンピュータ上のエラー・イベントを調べれば、SYSVOL共有へのアクセスに問題があることが分かることが多い。LGPOの場合と同じく、クライアント上で注目すべきイベント・ソースは、グループ・ポリシーのエンジン(UserEnv)や各CSE(SCECliなど)である。
一方、GPCは通常のディレクトリ・パーティションの複製のしくみ(KCCとISTGによる)によって、ドメイン・コントローラ間で複製/同期が行われている。
このようにGPTとGPCは別々のサービスによってドメイン・コントローラ間で複製されているので、ある時点では両者のバージョンが一致しているとは限らない。一致していない場合でも、通常はクライアント側で問題は起きないようになっている。しかし、リンクしたGPOがいつまでたってもクライアント・コンピュータに適用されないときなどは、GPTとGPCの内容を調べる必要はあるだろう。例えば、筆者の管理していたドメインにおいて、ドメイン・コントローラで異常な再起動が発生し、復旧処理を行った後、ポリシーが適用されなくなったことがある。原因は、復旧処理によってGPTのファイルのアクセス権が変わってしまったためであった。
なお、クライアント・コンピュータがGPOにアクセスし、適用するタイミングは、LGPOの場合と同じである(LGPOもActive DirectoryのGPOも、すべてまとめて同じタイミングで適用される)。
今回は、Active Directoryにおけるグループ・ポリシーと、コンテナへのリンク、GPOの実体と編集方法などについて解説した。次回は、Active Directoryにおけるグループ・ポリシーの継承と優先度などについて解説する。
Copyright© Digital Advantage Corp. All Rights Reserved.