ログオンスクリプトをグループポリシーに置き換えるには？：基礎から分かるグループポリシー再入門（13）（2/2 ページ）

コンピューターの一元管理に使われることの多い「ログオンスクリプト」。しかし、スクリプトが肥大化したり、メンテナンスが面倒になったりという話もよく聞く。今回は、ログオンスクリプトで実現してきた設定を、グループポリシーに置き換える方法にチャレンジする。

[国井傑（Microsoft MVP for Directory Services），株式会社ソフィアネットワーク]

アプリケーションのショートカットを作成する

　ユーザーが実行しやすくなるといった理由から、デスクトップ上に業務で使用するアプリケーションのショートカットを置くといった運用はよく行われている。ショートカットを作成する操作はログオンスクリプトでも実現できるが、こちらもグループポリシーで簡単に構成してみよう。

　デスクトップにショートカットを作成する設定は、次の項目から構成する。

デスクトップにショートカットを作成する

・「ユーザーの構成」−「基本設定」−「Windowsの設定」−「ショートカット」

　「グループポリシーの管理」管理ツールの左ペインで「ユーザーの構成」→「ショートカット」を右クリックして、「新規作成」→「ショートカット」を選択すると、「新しいショートカットのプロパティ」画面が表示される（画面4）。

画面4　GPOの「ショートカット」を右クリックして、「新規作成」→「ショートカット」を選択する

　「新しいショートカットのプロパティ」画面では「名前」欄にショートカットの表示上の名前、「場所」欄にショートカットの作成場所、「ターゲットパス」欄に実行プログラムのパスをそれぞれ指定する。

　なお、前出の画面4では実行プログラムのパスに「％SystemDir％」を指定しているが、これは「C:￥Windows￥System32」フォルダーを表す環境変数だ（もちろん、環境変数を使わずにフルパスで指定することも可能）。利用可能な環境変数は「ターゲットパス」欄で［F3］キーを押すと一覧が表示されるので、環境変数名を知らなくても、簡単に環境変数を使ったパスを指定することができる。

　以上の設定が完了したら、グループポリシーをクライアントコンピューターに適用する。すると、ショートカットの設定が適用されて、クライアントコンピューターのデスクトップ上にショートカットが作成される。ショートカットにはURLも指定できるので、ショートカットから特定のWebサイトにアクセスさせるような設定も可能だ。

まだまだ使えるグループポリシー基本設定

　ここまで見てきたように、グループポリシー基本設定を利用することで、ログオンスクリプトで実現していた設定をグループポリシーで置き換えられることがお分かりいただけたと思う。今回紹介した設定以外にもさまざまな基本設定があるので、今後の連載で具体的な利用方法を紹介していく予定だ。

column：クラウドからグループポリシーを使うには？

　マイクロソフトは、Microsoft Azure上で動作させるドメインコントローラー機能「Azure Active Directoryドメインサービス（AADDS）」をリリースした（2015年11月末現在プレビュー版）。

• Azure Active Directory Domain Services (Preview) - Getting started［英語］（Microsoft Azure）
• クラウドでもWindowsドメイン認証とグループポリシー管理が可能になる――Azure ADドメインサービス（Microsoft Azure最新機能フォローアップ 第8回）

　これまで、Microsoft Azure仮想マシンをドメインに参加させる場合は、ドメインコントローラーとなるAzure仮想マシンを1台作成する必要があった。AADDSの登場によって、ドメインコントローラーとなるMicrosoft Azure仮想マシンを作成しなくても、サービスとしてドメインコントローラー機能が利用できるようになった。

　AADDSのユーザーはAzure Active Directory（Azure AD）に作成されたユーザー情報を同期して利用することになっており、ユーザー自体の管理はAzure AD上で行う（図1）。また、Azure ADはオンプレミスのドメインコントローラーとも同期できるので、オンプレミスのドメインコントローラーに作成したユーザーと同じユーザーをAADDSでも利用できる。

図1　既存のドメインコントローラーとAADDSの関係

　さらに、AADDSではオンプレミスのWindows Serverのドメインコントローラーと同じ機能が利用できるため（現時点では一部機能制限あり）、AADDSからAADDSのドメインに参加するAzure仮想マシンに対してはグループポリシーを適用することが可能になる。

　グループポリシーの設定は、ドメインに参加しているAzure仮想マシンで「グループポリシーの管理」管理ツールから行える。なお、本稿執筆時点（2015年11月末）では、AADDSのドメインでGPOを作成したり、リンクを設定したりすることができないため、既定で用意されている4つのGPOだけが利用可能だ（画面5）。

画面5　AADDSのグループポリシー管理ツール画面

　「AADDC Computers OU」にはAADDSドメインに参加するコンピューター、「AADDC Users OU」にはAzure AD上に作成されたユーザーが登録される。適用対象に合わせてOU（Organizational Unit：組織単位）にリンクされたGPOを開き、編集すれば、Azure仮想マシンを利用するコンピューターやユーザーに対して、簡単にグループポリシーを適用できるようになる。

「基礎から分かるグループポリシー再入門」バックナンバー

• 「アカウントポリシー」でユーザーのパスワード設定を定義する
• 「管理用テンプレート」を拡張してアプリケーションの設定をカスタマイズする
• 「ポリシー」と「基本設定」の違いを理解する
• グループポリシーで「ストアアプリ」をインストールする
• コントロールパネルの設定項目をカスタマイズする
• Windows 10でグループポリシー設定を利用するには
• グループポリシーでファイルやフォルダー、レジストリを操作する
• ログオンスクリプトをグループポリシーに置き換えるには？
• フォルダーリダイレクトでユーザープロファイルを管理する
• グループポリシーで利用させる／利用させない「サービス」を柔軟に制御する
• これだけはやっておきたい！ 基本的なサーバー管理に役立つグループポリシー設定
• イベントビューアーでセキュリティ監査を行うためのグループポリシー設定
• “必要ないもの／使わないもの”は無効化し、クライアントのセキュリティを向上させる
• クライアントのセキュリティを強化するグループポリシー設定
• グループポリシーでアプリケーションの実行を制御する
• セキュリティの強化に役立つグループポリシー設定
• まだあるぞ！ グループポリシーの“鉄板”設定パート2
• すぐに使えるグループポリシーの“鉄板”設定
• グループポリシーを確実に運用するには
• グループポリシーの仕組み、理解できていますか？

筆者紹介

国井 傑（くにい すぐる）

株式会社ソフィアネットワーク取締役。1997年よりマイクロソフト認定トレーナーとして、Active DirectoryやActive Directoryフェデレーションサービス（AD FS）など、ID管理を中心としたトレーニングを提供している。2007年よりMicrosoft MVP for Directory Servicesを連続して受賞。なお、テストで作成するユーザーアカウントには必ずサッカー選手の名前が登場するほどのサッカー好き。