第7回 グループ・ポリシー管理コンソール(GPMC):グループ・ポリシーのしくみ(1/5 ページ)
グループポリシー管理コンソールを使えば、複雑で分かりづらいグループポリシーの継承やリンク、優先度などの管理作業が容易になる。
はじめに
第5回「Active Directoryにおけるグループ・ポリシー」と第6回「リンクの継承と優先度およびフィルタ機能」で見たように、Active Directoryでのグループ・ポリシーは、ディレクトリの階層と密接に関連している。グループ・ポリシーの管理も、[Active Directory ユーザーとコンピュータ]ツールなどのディレクトリ管理コンソールから行えるようになっている。しかし、これらの汎用コンソールではグループ・ポリシー特有の継承/優先度などの全体像を見わたすことができない。実際の運用に当たって欲しくなる、適用結果のシミュレーションや確認、グループ・ポリシー・オブジェクト(GPO)のバックアップ、スクリプトのサポートといった機能も十分ではない。
これらの欠点を大きく改善するツールが、マイクロソフトから無償で提供されている「グループ・ポリシー管理コンソール(Group Policy Management Console:GPMC)」である。連載最終回の今回は、このGPMCを使ったグループ・ポリシーの管理方法について解説する。
GPMCに関する情報は以下のページから得られる。
- グループ ポリシー管理コンソールによる企業システムの管理(Windows Server 2003 R2ホーム)
- GPMC Service Pack 1のダウンロード(マイクロソフト・ダウンロード・センター)
GPMCの概要については、以下のTIPS記事も参照していただきたい。GPMCの機能や操作画面について簡単にまとめている。
GPMCのインストール
GPMCは、その名前のとおり、グループ・ポリシーを管理するための管理コンソール・ツールである。このツールは、Active Directoryのグループ・ポリシー自体を拡張するものではない。そのため、GPMCを使用するに当たっては、ドメイン・コントローラや、グループ・ポリシーの適用対象のコンピュータには何もインストールする必要はない。管理者がグループ・ポリシーの管理に使用している端末にGPMCをインストールすればよい。
GPMCをインストールするにはWindows XP SP1以降か、Windows Server 2003/2003 R2が必要だが、GPMCで管理する対象のActive Directoryは、Windows 2000でもWindows Server 2003でもよい。逆にいうと、Active Directoryを導入していない環境ではGPMCは意味がないし、動作しない。
リモート管理している場合は、管理者が使用しているノート・パソコンなどにGPMCをインストールする。ドメイン・コントローラに直接ログオンして管理している場合は、ドメイン・コントローラにインストールすることもできる。だが、GPMCがほかのコンポーネント(.NET FrameworkやMSXML)に依存していることや、問題なく稼働しているサーバに必然性のないものはインストールしないという鉄則からすれば、なるべく管理用端末にインストールした方がよいだろう。
GPMCのインストール手順
GPMCのインストール作業は難しくない。ローカル・コンピュータに管理者としてログオンし、ダウンロードしたWindowsインストーラ・パッケージ(gpmc.msi)をダブルクリックして実行すればよい。
もし必要なコンポーネント(.NET FrameworkやMSXML)がシステムにインストールされていなければ、インストール・ウィザードにメッセージが表示され、インストールが中断される。ただしMSXMLについてはgpmc.msiにも内蔵されているので、多くの環境では自動的にインストールされる。必要なコンポーネントを適宜入手してインストールしたら、再びgpmc.msiを実行して、インストール・ウィザードを進める。
インストール・ウィザードで必要なのは使用許諾契約への同意だけなので、迷うことはないだろう。
GPMCの起動
GPMCはドメイン・アカウントで実行する。フォレストやドメインの管理者である必要はないが、実際に管理作業を行うには、当然それぞれに適切な権限が必要となる。
GPMCのコンソールを起動するには、主に次のような方法がある。どの方法で起動しても構わない。
■[スタート]メニューから起動する
[スタート]メニューから起動するには、[スタート]メニューの[管理ツール]−[グループ ポリシーの管理]をクリックする。メニューに[管理ツール]グループが見当たらないときは、[スタート]ボタンを右クリックして[プロパティ]を選択し、[スタート]メニュー]タブで[カスタマイズ]をクリックし、[詳細設定]タブで管理ツールをメニューに表示するように設定する。
■[ファイル名を指定して実行]やコマンド・プロンプトで起動する
[スタート]メニューの[ファイル名を指定して実行]やコマンド・プロンプトから起動するには、コマンド名として「gpmc.msc」と入力し、実行する。
■MMCスナップインとして起動する
GPMCのコンソールはマイクロソフト管理コンソール(MMC)のスナップインなので、ほかのコンソールに追加することもできる。GPMCのスナップインを追加するには、MMC.EXEを起動後、MMCの[ファイル]−[スナップインの追加と削除]で[グループ ポリシーの管理]スナップインを追加する。
■ディレクトリ管理コンソールから起動する
GPMCのない従来の環境では、グループ・ポリシー・オブジェクト(GPO)がリンクしているディレクトリ・コンテナを[管理ツール]−[Active Directoryユーザーとコンピュータ]などのディレクトリ管理コンソールで開き、プロパティの[グループ ポリシー]タブでリンクの設定などを行っていた。GPMCをインストールするとこのタブはGPMCのコンソールを開くためのボタンに置き換わる。
GPMCをインストールした後の[グループ ポリシー]タブ
グループ・ポリシーの管理に従来、主に使用していた[グループ ポリシー]タブは、GPMCのコンソールを起動するボタンに置き換えられる。これは、[Active Directory ユーザーとコンピュータ]でDomain Controllers組織単位(OU)のプロパティを開いたところ。
(1)管理対象のディレクトリ・コンテナのプロパティ。ここではDomain Controllers OUを開いている。
(2)従来はこのタブでGPOのリンクなどを行っていた。
(3)このボタンをクリックすると、GPMCのコンソールが起動して、現在のディレクトリ・コンテナが開かれる。
いったんGPMCを導入すると、グループ・ポリシーを管理するために従来のディレクトリ管理コンソールを使うことはほとんどなくなるだろう。
Copyright© Digital Advantage Corp. All Rights Reserved.