第6回 リンクの継承と優先度およびフィルタ機能:グループ・ポリシーのしくみ(3/3 ページ)
Active Directory環境では複数のGPOが適用される。この際の継承順序や優先度、フィルタを制御することで、きめ細かな管理が可能になる。
継承のブロックと上書き禁止は、Active Directory のコンテナの階層構成に基づいて例外を設定するための機能である。しかし、グループ・ポリシーの適用に当たっては、階層によらない例外を設けたい場合もある。
例えば、部署に基づいてOUを分けている場合、「あるグループに所属しているユーザーすべて」とか「サービス・パックが適用されていないコンピュータすべて」といった切り口は、OUをまたぐことになり、対象をActive Directoryのコンテナによって特定することができない。
そのような対象にグループ・ポリシーの例外を設定するには、対象全体を含むコンテナにGPOをリンクしたうえで、「フィルタ」を使用する。フィルタには、「セキュリティ・フィルタ」と「WMIフィルタ」がある。どちらのフィルタも、GPOに対する設定である。GPOに対する設定なので、その GPOがどのコンテナにリンクされていてもフィルタは有効になる。
セキュリティ・フィルタ
特定のグループに対してだけGPOを適用したい、あるいは適用させたくないといった場合には、セキュリティ・フィルタを使用する。
「セキュリティ」という呼び方やUI(ユーザー・インターフェイス)はあまり直感的ではないのだが、簡単にいうと、GPOのアクセス権の設定を変更し、特定のアカウントに対してGPOへのアクセス権を許可したり拒否したりすることによって、適用の対象にしたり対象から外したりする機能である。
セキュリティ・フィルタの設定は、GPOのプロパティの[セキュリティ]タブで行う。グループ・ポリシー・エディタでGPOを開き、ツリーの一番上にあるGPOノードの[プロパティ]で設定する。
セキュリティ・フィルタの設定
GPOのアクセス権の設定を変更すると、特定のアカウントを適用の対象にしたり対象から外したりすることができる。このようなフィルタをセキュリティ・フィルタと呼ぶ。
(1)セキュリティ・フィルタを設定するGPOのプロパティ。
(2)セキュリティ・フィルタは、GPOのアクセス権を使って設定する。
(3)このアクセス権があるアカウントは、GPOの適用対象となる。デフォルトで は「Authenticated Users」が適用対象となっている。
GPOは、この[セキュリティ]タブで[グループ ポリシーの適用]が許可されているアカウントにだけ適用される。もちろん、たとえセキュリティ・フィルタですべてのアカウントが適用対象となっていても、そもそもコンテナにリンクしていないGPOは、どこにも適用されない。セキュリティ・フィルタは便利な機能だが、Active Directory全体にわたってどのようにセキュリティ フィルタを設定しているかを常に確認するのは困難なので、必要最小限の使用にとどめた方がよい。
WMIフィルタ
WMIフィルタは、Windows XPまたはWindows Server 2003にGPOが適用されるときにだけ使える機能である。Windows 2000にGPOが適用されるときは、WMIフィルタは使われず、常に適用される。
WMIフィルタが設定されたGPOは、適用に当たってWMIでクエリが行われ、一致するコンピュータのみGPOが適用される。もちろん、そもそもコンテナにリンクしていないGPOは、WMIフィルタの有無にかかわらず、どこにも適用されない。
例えば、あるGPOをService Pack 1またはそれ以前のWindows XPだけに適用したい場合は、そのGPOに次のようなWMIフィルタを設定すればよい。
項目 | 内容 |
---|---|
名前空間 | root\CIMV2 |
クエリ | Select * from WIN32_OperatingSystem where ServicePackMajorVersion<=1 and Version='5.1.2600' |
WMIフィルタに設定する内容の例 GPOの適用にWMIフィルタを利用することができる。これを利用すると、WMIのクエリにマッチしたコンピュータだけにGPOを適用させることができる。これはService Pack 1が適用されているWindows XPのみを対象とするWMIのクエリの例 |
WMIフィルタの設定は、セキュリティ・フィルタと同じく、GPOのプロパティで行う。グループ・ポリシー・エディタでGPOを開き、ツリーの1番上にあるGPOノードの[プロパティ]中の[WMIフィルタ]タブで設定する。
GPOにWMIフィルタを設定する
GPOにWMIフィルタを設定すると、GPOを適用するかどうかをWMIクエリでフィルタすることができる。
(1)WMIフィルタを設定するGPOのプロパティ。
(2)WMIフィルタは、ここで設定する。
(3)ここをクリックして、GPOに設定するWMIフィルタを選択する。また、WMIフィルタを新規に作成したり、既存のWMIフィルタを編集/削除することができる。
WMIフィルタは、クエリを自由に定義できるため、非常に便利な機能である。だが、適用対象が動的に変わるので、適用範囲の見極めは簡単ではない。適用に当たってはパフォーマンスにも影響がある。適用対象を絞るにはなるべくOUの階層構造を使用した方がよい。WMIフィルタの使用は、特定のサービス・パックのOSにだけGPOを適用したり、ハードディスクの空き容量が十分なコンピュータにだけGPOを適用したいといった、WMIフィルタを使うしかない場面に限るべきだろう。
デフォルトのGPO
Active Directoryには、デフォルトでいくつかのGPOが存在し、コンテナにリンクされている。
- Default Domain Policy
- Default Domain Controllers Policy
(Small Business Serverではデフォルトでもっと多くのGPOが存在し、リンクされている)
「Default Domain Policy」GPOはドメインにリンクし、「Default Domain Controllers Policy」は、「Domain Controllers」OUにリンクしている。
これらのデフォルトのGPOは、ドメイン全体やドメイン・コントローラのデフォルトのセキュリティ・ポリシーを定義している。ドメインやドメイン・コントローラにポリシーを設定したい場合に、ついこれらのデフォルトのGPOを編集してしまいがちだが、デフォルトのGPOを編集してしまうとデフォルトの環境に簡単に戻せなくなるので、これらには手を加えない方がよい。
ドメインやドメイン・コントローラにポリシーを設定したい場合には、新規にGPOを作成し、それをドメインや「Domain Controllers」OUにリンクさせるのがよいだろう。
[参考引用] Default Domain Policyの編集に関する注意
Default Domain Policyを編集することは勧められていない。以下は、グループ・ポリシー管理コンソール(GPMC)のヘルプ・ファイルの「GPMC からグループ ポリシー オブジェクトを編集する」にある注意書きである。
重要
- Default Domain Policy は編集しないでください。グループ・ポリシー設定をドメイン全体に適用する必要がある場合は、新しい GPO を作成してドメインにリンクし、その GPO でグループ・ポリシー設定を作成します。
- Default Domain Policy および Default Domain Controllers Policy は、すべてのドメインに不可欠です。次の場合以外は、Default Domain Controllers Policy または Default Domain Policy を編集しないでください。
- Default Domain Policy でアカウント ポリシーを設定することが推奨されている場合。
- ユーザー権利または監査ポリシーの変更を必要とするアプリケーションをドメイン コントローラにインストールする場合、その変更は Default Domain Controllers Policy で行う必要があります。
スタート・メニューの[管理ツール]の[ドメイン セキュリティ ポリシー]や[ドメイン コントローラ セキュリティ ポリシー]は、デフォルトのGPOのセキュリティ・ポリシー部分だけを編集するコンソールとなっている。ショートカットとしては便利だが、使わない方が無難だろう。
変更してしまったデフォルトのGPOを元に戻すには、dcgpofixツールを用いるとよい(これはWindows Server 2003用のコマンドであるが、Windows 2000については以下のTIPS記事を参照のこと)。
- Windows TIPS「dcgpofixでグループ・ポリシーをデフォルト状態に戻す」(Windows Server Insider)
まとめ
以上が Active Directoryにおけるグループ・ポリシーについての基本的な事項である。
Active Directoryのグループ・ポリシーであっても、実際にグループ・ポリシーを適用するのは各コンピュータであり、そこではローカル・グループ・ポリシーの適用と基本的に同じことが行われている。ローカル・グループ・ポリシーの基本的な理解に加えて、Active Directory特有の継承と優先度(LSDOUの処理順)さえ理解しておけば、あまり困ることはないだろう。
継承と優先度の原則では必要を満たせない場合は、継承のブロックや上書き禁止のような例外構成も可能だが、必要最小限にとどめることが望ましい。階層を越えた例外設定には、必要に応じてセキュリティとWMIのフィルタを活用することができる。トラブルに備えて、GPOの実体(GPT:グループ・ポリシー・テンプレートとGPC:グループ・ポリシー・コンテナ)の場所については一度把握しておきたい(GPCとGTPについては連載第5回「Active DirectoryにおけるGPO」を参照)。
第2回から、グループ・ポリシーの仕組みとその適用方法などについて解説してきた。特に前回と今回の2回ではActive Directory環境におけるグループ・ポリシーについて解説した。次回からは、グループ・ポリシー・エディタの使い方について解説する。
Copyright© Digital Advantage Corp. All Rights Reserved.