 |
特集 Windows Server 2003完全ガイド複雑さが軽減されたグループ・ポリシーの管理機能 1.従来の問題点と改良のポイントMichael Cherry2003/02/18 Copyright(C) 2003, Redmond Communications Inc. and Mediaselect Inc. |
|
|
| 本記事は、(株)メディアセレクトが発行する月刊誌「Directions on Microsoft日本語版」 2003年1月15日号 p.8の同名の記事を許可を得て転載したものです。同誌に関する詳しい情報は、本記事の最後に掲載しています。 |
| 編集部注:本記事のオリジナルであるディレクションズ オン マイクロソフト日本語版では、旧来の表記である「Windows .NET Server」が使われていますが、本稿では、マイクロソフトの発表に従い「Windows Server 2003」に表記を変更しています。ご了承ください。 |
多数のコンピュータを保守するコストを削減したいと考える企業は、Windows Server 2003で標準のコンピュータ設定を一元管理するための機能、グループ・ポリシーの改善点を検討してみるとよい。
グループ・ポリシーはActive Directory(AD)を必要とし、使い方やトラブル・シューティングが難しいため、これまで管理者の多くはグループ・ポリシーを使うことに消極的だった。Windows Server 2003では、グループ・ポリシーの使い方が簡素化され、デバッグも容易になっており、管理者の不安は軽減されるはずだ。ただし、設定と管理にグループ・ポリシーを使用するアプリケーションがほとんどないため、依然として「総合的なコンピュータ管理ソリューション」というよりも、もっぱら「Windows設定用ソリューション」にとどまっている。
アーキテクチャ面で、グループ・ポリシーはそれほど大きく変わっていない。主な変更点は、Windows Server 2003の改善によってポリシーがユーザーとコンピュータに適用されるプロセスが分かりやすくなっている点(プランニングやモニタリングに役立つ)、ポリシーの設定をより細かく調整できるようになっている点など。
さらにMicrosoftは、グループ・ポリシーを管理するためのツールとしてグループ・ポリシー管理コンソール(GPMC)を提供する。同社では、このツールを2003年のWindows Server 2003の一般リリースとほぼ同時に提供するとしている。
複雑さがネックに
グループ・ポリシーは、システム・ポリシーの弱点と総所有コスト(TCO)の問題を解消するために、Windows 2000 Serverで初めて導入された。TCOは当時、ネットワーク・コンピュータを推進する競合陣営が盛んに強調していたポイントだ。
Active Directory(AD)とともにグループ・ポリシーを利用すれば、管理者はWindows 2000/XPデスクトップの設定を中央で標準化し、一元管理できる。その狙いは、グループ・ポリシーによってWindowsデスクトップのサポート費用を軽減することだ。この方法ならば、ユーザーが自分で設定を変更したり、何気ない操作でトラブルの原因を生み出す心配がなくなる。また、一貫性のある標準の設定を用いれば、サポートとトレーニングの手間も軽減できる。
管理者はグループ・ポリシーでWindowsの設定を定義し、ADによって管理されている個々のユーザーとコンピュータにそれらの設定を適用できる。例えば、企業は組織単位(OU)と呼ばれるADコンテナに販売部門のユーザーを集め、そのOUに対してポリシーを適用することで、それらのユーザーのWindows設定を一元管理できる。
管理者は販売部門のマネージャと協力して、それぞれの従業員の業務遂行にどの機能とアプリケーションが必要かを判断する。例えば、販売スタッフの場合、「プログラムはスタート・メニューからのみ実行できるようにして、デスクトップにマイネットワーク・アイコンは置かず、Officeは各コンピュータにインストールする」といった具合だ。
その場合必要となるのは、実行コマンドを削除し、マイネットワーク・アイコンをデスクトップで非表示とし、Officeを確実にインストールするためのポリシーだ。管理者はグループ・ポリシーを使って、こうしたポリシーを作成し、販売部門のOUに関連付ければよい(グループ・ポリシーの詳細は、別掲のコラム「グループ・ポリシーの詳細」参照)。
■従来の問題点
これまでグループ・ポリシーの利用が進まなかった最大の理由は、「グループ・ポリシーを使うにはADが必要」という、いたって単純なものだった。グループ・ポリシーの設定はGroup Policy Object(GPO)に格納され、GPOがADサイト、ドメイン、あるいはOUと関連付けられる。コンピュータの起動時やユーザーのログオン時、どのポリシーが適用されるかは、そのユーザーやコンピュータがADコンテナのどの階層に位置するかによって異なる。そのため企業は、まず先にADを導入した上でグループ・ポリシーを導入する必要がある。
グループ・ポリシーにとって第2の壁は、それ自身の複雑さだ。グループ・ポリシーは強力なツールだが、使い方を理解し、習得するのは難しい。複雑になったのは、Microsoftが初期の設計において、シンプルな管理シナリオだけでなく、ディレクトリ階層でユーザーやコンピュータを管理する複雑なシナリオにも対応できるようにしたためだ。その結果、グループ・ポリシーの導入は手強い作業になった。
特に、どのコンピュータにどのユーザーがログオンするかによって適用するポリシーを変える必要がある場合は厄介だ。ユーザーやコンピュータにポリシーやフィルタを追加しているうちに、最初は有効だったはずのポリシーが後から無効になってしまうこともある。そうした場合、業務に支障をきたしたユーザーから苦情が届くまで、管理者が問題に気付かないケースも少なくない。そして管理者は、有効であるはずのポリシーがなぜ無効になっているのかを見極め、問題を解決するために奮闘することになる。
また、ポリシーは同じものを多くのユーザーに適用できるため、ポリシーの不適切な適用が広範囲に悪影響を及ぼす可能性もある。こうしたRSoP(ポリシーの結果セット)のデバッグと修正は難しい。そのため、Windows 2000 Serverでグループ・ポリシーが提供されてからというもの、多くの管理者がMicrosoftに対して、ポリシーを適用する前にポリシーセットの影響を評価できるようなツールを提供するように求めていた。
グループ・ポリシーがADに依存するのと同様、Windows 2000 ServerのIntelliMirror機能はグループ・ポリシーに依存する。IntelliMirrorは、ユーザーがどのコンピュータからログオンしても、常に自分のデータ、ソフト、個人設定を利用できるようにするための機能だ。しかし、IntelliMirrorとグループ・ポリシーはその魅力的な機能にもかかわらず、ADやグループ・ポリシーの利用を推進するまでには至っていない。
Microsoftはこうした問題点の解消に、2つの側面から取り組んでいる。1つはAD導入の簡略化(2002年8月28公開の「Insider's Eye:Active Directoryが次期Windowsで飛躍的進化」参照)であり、2つめがグループ・ポリシーの大幅な改良だ。
例えばMicrosoftは、グループ・ポリシーのあらゆる側面を管理し、グループ・ポリシーのプランニング、監視、全般的なトラブル・シューティングを容易にするための新ツールを開発している。同社はまた、ポリシー設定の柔軟性を高め、ユーザーやコンピュータに適用するポリシーを細かく使い分けられるようにしているほか、管理者がレジストリ設定管理に使用するテンプレート情報を改善するなど、さまざまな改良を行っている。
プランニングと新たなシナリオ
Windows Server 2003では、適用するポリシーによってユーザーやコンピュータにどのような影響が出るか判断できるほか、ADクロスフォレスト・シナリオでグループ・ポリシーを適用したり、特定のポリシーがどのプラットフォームでサポートされるかも確認できる。
■グループ・ポリシーのモデリングとレポーティング
Microsoftはグループ・ポリシー実装のプランニングとレポーティングで管理者を支援するために、Windows Server 2003のグループ・ポリシーインフラを拡張し、新たにグループ・ポリシー管理コンソール(GPMC)ツールとRSoPスナップインツールを用意した。
RSoP情報は、2つのモードで利用できる。1つは、ポリシーセットがコンピュータやユーザーに及ぼす影響を調べるための“計画(モデリング)モード”。もう1つは、ポリシーが適用されたコンピュータやユーザーの状態を評価するための“ログモード”だ(計画モードのスクリーンショットについては以下の画面「グループ・ポリシーモデリング」を参照)。
 |
| グループ・ポリシーのモデリング |
| RSoP(ポリシーの結果セット)スナップインを計画モードで使用し、どのポリシーが適用されるか確認できる。この例は、スタート・メニューとタスク・バーに適用されるポリシーを確認しているところ。このポリシー設定では、ユーザーに実行コマンドは表示されない。またユーザーはタスク・バーやスタート・メニューの設定を変更できず、クラシックなWindowsのスタート・メニューが表示されるようになっている。管理者はグループ・ポリシー管理コンソール(GPMC)でもRSoPデータを利用できる。 |
管理者が拡張機能を実行してRSoPデータを生成する前に“状況に即した条件(what-if)”を検討できるように、MicrosoftはGroup Policy Data Access Service(GPDAS)を提供する。この機能を利用すれば、拡張機能をシミュレートし、必要なプランニングデータを生成することが可能だ。
また、RSoPのログ、レポート作成に必要なデータを生成するために、ポリシーーを処理するサーバとクライアントの拡張機能はすべてWMI(Windows Management Instrumentation)インターフェイスを使って、ログモードのデータを記述するようになっている。ログモードで実行すると、RSoPスナップインはそれぞれの拡張機能がGPOを処理する際に記述した実際のWMIデータを照会する。管理者はそれによって、どのポリシーが適用されたのか、すべてのフィルタリング、ブロッキング、インヘリタンスを考慮した上で、結局どのGPOがそのポリシーの適用に影響したのかなどを判断できる。
■クロスフォレストのサポート
Windows Server 2003では、GPOをフォレスト間でも処理できる。例えば、企業のシステムに2つのフォレスト(AとB)がある場合、フォレストAのOUによって管理されているユーザーが、フォレストBのOUによって管理されているコンピュータにログオンするといったことが可能になる。この場合、コンピュータ(フォレストB)には起動時に適切なポリシーが適用され、ユーザー(フォレストA)にはログオン時に適用される(クロスフォレスト・シナリオについては、「前出の「Insdier's
Eye:Active Directory が次期Windowsで飛躍的進化」参照)。
■“サポートされているキーワード”
管理者がポリシーを正しく適用できるように、管理テンプレートには設定したいポリシーがWindowsの特定バージョン(Windows 2000とWindows
XP)で有効かどうかを判断するためのキーワードが含まれる。例えば、Windows XPの一部機能はWindows 2000には存在しない。
きめ細かな管理
Windows 2000では、フィルタリング、ブロッキング、インヘリタンスなどの方法でポリシーを細かく設定できたが、そのことがグループ・ポリシーの複雑さの一因にもなっていた。にもかかわらず、Microsoftは今回も、ソフトの制限、WMIフィルタリングなど、さらに細かな設定方法を提供している。
■ソフトの制限
インターネット時代においては、ユーザーが不正ソフトをダウンロードして社内に持ち込む可能性は少なくない。グループ・ポリシーではこうした現実に対処するため、「組織としてどのソフトを信頼するか」を管理者が宣言し、ユーザーがそうした“信頼できるソフト”だけを実行するよう管理できる。
管理者は、Group Policy Object Managerスナップインを使ってソフトの制限を作成する。このスナップインを使えば、新しいソフトが信頼できるものか否かを4つの基準で識別するポリシーを作成できる。その基準とは、ソフトのハッシュ(デジタル“指紋”)、証明書(ソフト作成者のデジタル署名)、実行ファイルのフルパス名、ダウンロード元のIEインターネット・ゾーン(インターネット、イントラネット、制限付きサイト、信頼済みサイト、マイコンピュータ)の4つだ。
■WMIフィルタリング
管理者はWMIデータを使って、ポリシーの処理をフィルタリングできる。つまり、マシンのハード、設定、状態特性を利用して、ポリシーを適用するかどうかを判断することが可能だ。例えば、WMIフィルタリングでIPSecポリシーを設定し、特定のネットワーク・インターフェイス・カード(NIC)を搭載したコンピュータだけにポリシーを適用することができる。ただし、フィルタリングのメカニズムとしては強力だが、これ利用する場合は慎重でなければならない。多数のWMIフィルタの処理は、コンピュータの起動やログオンに要する時間に影響を及ぼすからだ。
■新しい各種のセッティング
グループ・ポリシーには、管理者がWindowsデスクトップの管理に利用できる900種類以上のポリシー・セッティングが用意されている。例えば、Terminal
Serverの管理、アプリケーションの相互運用性、ネットワーキング(SNMP、QoS、ファイアウォール、ダイヤルアップ)、DNSログオン、IntelliMirror、コントロール・パネルの新しいセッティング、Windows
Media Playerの管理などに関するものがある(Windows 2000 ServerのService Pack 3には約500種類のポリシー・セッティングが含まれる)。
 |
| INDEX | ||
| [特集]Windows Server 2003完全ガイド | ||
| 複雑さが軽減されたグループ・ポリシーの管理機能 | ||
 |
1.従来の問題点と改良のポイント | |
| 2.グループ・ポリシー管理コンソール(GPMC) | ||
 |
||
 |
Windows Server 2003完全ガイド |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
 |
|
|
|
|
注目のテーマ
Windows Server Insider 記事ランキング
転職/派遣情報を探す
