特集 Windows Server 2003完全ガイド
複雑さが軽減されたグループ・ポリシーの管理機能

2.グループ・ポリシー管理コンソール(GPMC)

Michael Cherry
2003/02/18
Copyright(C) 2003, Redmond Communications Inc. and Mediaselect Inc.

グループ・ポリシー管理コンソール(GPMC)

 グループ・ポリシー管理コンソール(GPMC)は中央集中型の新しい管理ツールだ。このツールを使って、ADフォレスト、ドメイン、サイト、関連GPOなどを表示できるほか、グループ・ポリシーのモデリングやレポーティングを実行したり、GPOのバックアップ、復元などの新機能にアクセスできる。

グループ・ポリシー管理コンソール(GPMC)
グループ・ポリシー管理コンソール(GPMC)は、グループ・ポリシーを管理する統一された手段を提供する。管理者はGPMCを使って、どのユーザーとどのコンピュータにどのポリシーを適用するかを決定したり、選択されたポリシーの詳細を確認したり、ポリシーの管理を委任したりできる。また、Group Policy Object(GPO)のバックアップ、復元、インポート、エクスポート、グラフィカル操作(コピー&ペースト)なども行える。さらに管理者は、RSoPデータを使ってポリシー設定の影響をモデリング/モニタリングできるほか、GPMCのすべての機能をスクリプトを使って呼び出せる。GPMCは現在、ベータ段階だが、MicrosoftはWindows Server 2003の一般リリースとほぼ同時に提供すると約束している。

 GPMCは以下のタスクで管理者をアシストする。

■正しいGPOの適用
 グループ・ポリシーで最も重要な点は、意図したユーザーとコンピュータに正しいポリシーが確実に適用されるようにすることだ。GPMCのユーザー・インターフェイスと設計は、グループ・ポリシーがユーザーとコンピュータに及ぼす影響を管理者が判断しやすいようになっている。

■グループ・ポリシーの管理委任
 ほかのユーザーや部門管理者にGPOの作成、リンク、編集を許可したい場合、もはや管理者はADのアクセス制御リスト(ACL)に依存する必要はない。管理者はGPMCのタブを使って、委任したいグループ・ポリシー関連のタスクを管理できる。

■GPOセッティングのレポート作成
 管理者はGPOのすべてのセッティングに関する視覚的なレポートを作成できる。レポートの「すべて表示(Show All)」または「隠す(Hide)」のリンクをクリックすれば、表示するGPOの情報量を調整できる。レポートはHTMLまたはXMLフォーマットで保存可能。

■グループ・ポリシーのモデリングとレポーティング
 管理者はGPMCからRSoP機能を実行できる。RSoPデータをレポートに表示し、HTMLまたはXMLフォーマットで保存可能。

■GPOのバックアップとエクスポート
 管理者はファイル・システムの特定の場所にGPOデータのコピーを作成できる。このコピーは、GPOを過去の良好な状態に復元したり、GPOをエクスポートしてグループ・ポリシーの導入を容易にするためなどに利用できる。

■GPOの復元
 バックアップを使えば、GPOを以前の状態に戻すことができる。例えば、削除したGPOや壊れたGPOをかつての状態に復元できる。

■GPOのコピーとインポート
 管理者は既存のGPOの設定を、同じドメイン内の新しいGPO、同じフォレストのドメイン間、およびフォレスト間で転送できる。例えば、テスト・ラボからGPOをエクスポートして、プロダクション環境にインポートするといったことが可能だ。

 GPMCはユーザー・インターフェイスを介してグループ・ポリシー管理を支援するものだが、上記のタスクはすべてVBScriptやJScriptを使ったスクリプティングに対応する。つまり、GPOのバックアップなどの新機能は、スクリプトの記述によって定期的かつ自動的に実行できる。Microsoftは最も一般的な操作向けに30種類のVBScriptを用意するとしている。管理者はそうしたスクリプトを自分の環境に合わせて修正したり、自分でスクリプトを記述する際の見本として利用することができる。

 GPMCは現在、Windows Server 2003とは別にベータ版が提供されているが、MicrosoftはWindows Server 2003のライセンスにGPMCを含める方針だ。同社は2003年春に予定しているWindows Server 2003の一般リリースに合わせて、GPMCを無償で提供する。

残された課題

 Windows Server 2003ではWindowsデスクトップの管理機能が強化されるが、アプリケーションの設定も可能でなければ、完全なデスクトップ設定ソリューションとはいえない。

 Microsoftはアプリケーションでポリシーを利用する方法について、開発者にかなり詳しい情報を提供している。例えば、ポリシーを処理するクライアント側の拡張機能の記述方法といった細かなところまで触れている。しかし、ポリシー対応のアプリケーションに取り組む開発者はまだごく少数だ。

 Microsoftはまず、自社のアプリケーションのグループ・ポリシー対応を改善することから始めるべきかもしれない。例えば、管理者は現在、グループ・ポリシー対応のIntelliMirrorを使ってOfficeをインストールできるが、OfficeとWindowsの設定を同時に管理するのは依然として厄介な作業だ。

 Office Resource Kitには一般的なOfficeコンポーネント(Word、Excel、Accessなど)用のグループ・ポリシー管理テンプレートが含まれるが、Project用のテンプレートは別個に提供され、Visio用のテンプレートはサポートドキュメントからテキストをコピーしてテキスト・エディタにペーストし、それを.admというファイル拡張子で保存して作成することができる。

 管理者はこうしたテンプレートを管理コンソールのスナップインにロードして、ポリシーを設定し、RSoPツールを利用することが可能だ。しかし、そうしたプロセスは不必要に複雑だといわざるをえない。3つのソースからOfficeテンプレートを集めてサーバにインストールし(ほかのOfficeツールは不要でも、Office Resource Kitをインストールすることになる)、それらのテンプレートをグループ・ポリシー管理ツールに追加しなければならない。

 サードパーティのソフト製品の場合、状況はさらに悪い。Windows XP認定ロゴでは、設定したポリシーを開発者が遵守することだけが求められている。つまり、アプリケーションはポリシーを迂回したり、無視したりはできないが、開発者がアプリケーション固有のポリシーを追加する必要はない。

 Windows Server 2003でグループ・ポリシーを使う企業が増え、この機能のサポートを検討するアプリケーション開発者も多いはずだが、恐らく開発者はそうした取り組みを始める前に、まずMicrosoft自身が、Officeなどのアプリケーションでグループ・ポリシーのサポートを強化しているかどうか確認するに違いない。End of Article

参考資料

コラム
グループ・ポリシーの詳細

 グループ・ポリシーは、Windows NT 4.0のシステム・ポリシーによるWindowsレジストリ設定のシンプルな管理機能を強化したものとして、Windows 2000 Serverで初めて導入された。いまでもシステム・ポリシーは、Windows 9xやWindows NT 4.0などのバージョン向けに提供されているが、Microsoftはグループ・ポリシーでActive Directory(AD)ベースのアーキテクチャに切り替え、顧客がレジストリやセキュリティの設定、ソフトのインストール、スクリプトの実行、フォルダのリダイレクトなど、Windowsの各種機能、サービスを管理できるようにしている。

システム・ポリシーの制約

 グループ・ポリシーの前身であるシステム・ポリシーでは、レジストリ・キーの値でWindows 98、Me、NT 4.0の設定を管理できる。ただし、Windowsのそれぞれのバージョンに対応した個別のシステム・ポリシー・エディタを利用する必要がある。システム・ポリシー・エディタで作成したポリシー・ファイル(.polファイル)は、ローカル・コンピュータ(スタンドアロンの場合)あるいはドメイン・コントローラ(ネットワークの場合)に保存できる。
 グループ・ポリシーと異なり、システム・ポリシーには幾つかの制約がある。
  • 少数の機能しか管理できない。
  • 管理者をコンピュータからロックアウトするような方法でコンピュータとユーザーのデフォルトのポリシーを編集できてしまう。
  • システム・ポリシーで変更すると、実際にレジストリを書き換えることになる。そのため、システム・ポリシーで作成した変更をやり直す場合は、レジストリを手作業で編集する必要がある。
  • ポリシー設定はレジストリ内のあまり安全ではない場所に記述されるため、ユーザー側でポリシー設定を取り消すことができる。
グループ・ポリシーのメリット

 グループ・ポリシーでは管理機能が拡張されるほか、ADで管理されるWindows 2000、XPデスクトップにポリシーを適用するための新しいツールとプロセスが導入される。

グループ・ポリシー・コンフィギュレーション


 グループ・ポリシーの場合、管理者はMicrosoft管理コンソール(MMC)とスナップインの1つ(通常は、AD Users and Computersスナップイン)を使ってポリシーを定義し、Group Policy Object(GPO)を作成する。

 グループ・ポリシーが管理するコンフィギュレーション・パラメータは大きく分けて、コンピュータとユーザーの設定に分類される。

 コンピュータの設定は、システムの起動パラメータと設定に影響を及ぼし、当該のコンピュータの全ユーザーに適用される。

 ユーザーの設定は、どのコンピュータにログオンするかにかかわらず、個々のユーザーに適用される。

 コンピュータの設定とユーザーの設定のどちらも、設定の内容は多岐に渡り、ソフトのインストール(コンピュータとユーザーへのアプリケーションの割り当てと発行を管理)、Windowsの設定(スクリプトとセキュリティ設定を管理)、管理テンプレート(スタート・メニューの設定など、WindowsコンポーネントやMicrosoft Officeなどのアプリケーションに関するレジストリ・ベースの設定を管理)などが含まれる。

グループ・ポリシーのプロセス

 GPOのポリシー設定に関する情報は、2カ所に保存される。1つはGroup Policy Containerで、バージョン情報やステータス情報など、GPOのプロパティを保存するためのADコンテナだ。もう1つのGroup Policy Templateには、テンプレート・ベースのポリシー、セキュリティ設定、スクリプト・ファイルのほか、ソフトのインストールで利用できるアプリケーション情報などが格納される。

 コンピュータは起動時にADから適切なGPOのリストを受け取り、コンピュータのポリシーが適用される。ユーザーがログオンすると、ふたたび適切なGPOのリストが適用される。デフォルトでは、コンピュータ・ポリシーの処理はログオン・ダイアログボックスが表示される前に完了し、ユーザー・ポリシーの処理はシェルがアクティブになって、ユーザーが操作できるようになる前に完了する。

 ポリシーは階層で適用される。最初にローカルのGroup Policy Object(GPO)のポリシーが適用され、次にADサイト、ドメイン、組織単位(OU)にリンクされたGPOが適用される。一見、シンプルで簡単な階層だが、ADのOUが階層的にネストされる場合があるため(1つのOUに1つまたは複数のOUを含められる)、実際には複雑だ。階層におけるOUの順序はグループ・ポリシーの処理に影響を及ぼし、ローカルのGPOが最初に処理され、コンピュータやユーザーを含むOUは最後に処理される。

 特定のグループやユーザーを特定のポリシーから除外するためにセキュリティ・グループを使用する場合や、オーバーライド禁止(ポリシーセットの上書きを禁止)、継承阻止(親コンテナからポリシーを継承しない)などのオプションがGPOに適用されている場合、ポリシーのプロセスはさらに複雑になる。

 これは、GPO、フィルタ、継承、オーバーライドに関するすべてのパラメータを処理した上で、どのポリシーをどのコンピュータやユーザーに適用するかを決定するグループ・ポリシーにとって、重要な問題を示している。すなわち、ポリシーの結果セット(RSoP)だ。MicrosoftはWindows 2000 Serverで、あらゆるシナリオの可能性を扱えるように、このプロセスをうまく設計している。だが、特定のユーザーやコンピュータに関するRSoPを計算するための管理ツールを開発する時間はなかったようだ。

Directions on Microsoft日本語版
本記事は、(株)メディアセレクトが発行するマイクロソフト技術戦略情報誌「Directions on Microsoft日本語版」から、同社の許可を得て内容を転載したものです。Directions on Microsoftは、同社のWebサイトより定期購読の申込みができます。
 
 

 INDEX
  [特集]Windows Server 2003完全ガイド
  複雑さが軽減されたグループ・ポリシーの管理機能
     1.従来の問題点と改良のポイント
   2.グループ・ポリシー管理コンソール(GPMC)
 
目次ページへ  Windows Server 2003完全ガイド


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間