マイクロソフト認定技術資格試験「MCP/MCSA/MCSEラーニングブック」
70-291:Implementing, Managing, and Maintaining a Microsoft Windows Server 2003 Network Infrastructure 編

3-1.セキュリティで保護されたネットワークの実装

澤田 佳織/中沢 明夫
2003/12/17


 
ほかの問題へ
問題 01-02-04 DHCPオプションの構成
問題 02-01-01 ホスト名の特徴
問題 03-01-01 グループポリシーを操作するためのアクセス許可
70-293(Planning and Maintaining a Microsoft Windows Server 2003 Network Infrastructure 編)の問題へ
 

問題 03-01-01 グループポリシーを操作するためのアクセス許可

 あなたはnwtraders.msftドメインの管理者です。Active Directory上に部署別のOUを構成したいと思います。

 営業部用にeigyoという名前のOUを作成し、新しいグループポリシーを構成しました。あなたはドメインを分散管理したいと考えています。そこでEigyo OUのグループポリシーの管理についてはeigyo_support_groupのメンバに任せることにしました。あなたはEigyo OUでeigyo_support_groupのメンバに「グループポリシーのリンクの管理」権限を委任しました。

 田中さんはeigyo_support_groupのメンバです。田中さんはEigyo OUのグループポリシーに対して何を行うことができますか?

 あてはまるものをすべて選んでください。(複数選択) 

 既存ポリシーの内容を編集する。
 新規ポリシーを作成する。
 既存ポリシーのリンクを削除する。
 既存ポリシーを削除する。
 別のOUで作成されたポリシーをEigyo OUにリンクする。

 Active Directory上に作成したグループポリシーオブジェクト(GPO)は、複数のOUなどで参照する(使いまわす)ことができます。既存のポリシーを参照することをリンクと呼びます(図3-1)。

図3-1 グループポリシーオブジェクト

 したがって、グループポリシーの設定を行う際には、「新規のポリシーを作成してリンクする方法」と「既存のポリシーをリンクする方法」の2つがあります。

 eigyo_support_groupのメンバはEigyo OUに対するグループポリシーのリンクの管理という権限が与えられています。これは、Eigyo OUに対して既存のグループポリシーオブジェクトのリンクを行ったりリンクを削除したりすることができる権限に過ぎません。既存のグループポリシーオブジェクト自体を削除したり、内容を編集したりすることはできません。また、Active Directory上に新規のグループポリシーオブジェクトを作成することもできません。

POINT

 OUのプロパティの[グループポリシー]タブの内容は図3-2のとおりです。

図3-2 [グループポリシー]タブ(OUのプロパティ)
  • [新規]ボタン:ActiveDorectory上に新しいグループポリシーオブジェクトを作成し、さらにそれをEigyo OUにリンクします。

  • [追加]ボタン:既存グループポリシーオブジェクトの一覧の中からリンクするオブジェクトを選択します(図3-3)。

図3-3 [追加]ボタンをクリックするとリンクを追加できる

  • [編集]ボタン:グループポリシーオブジェクトの内容を編集します(図3-4)。

図3-4 GPOの編集画面

  • [削除]ボタン:グループポリシーオブジェクトの内容を削除します。単にOUから参照することを止めるだけなのか、それともActive Dorectoryのデータベース上からそのグループポリシーオブジェクトを削除するのかを選択することができます(図3-5)。

図3-5 GPOの削除

 グループポリシーのリンクの管理という権限を与えられたユーザーは、[追加]ボタンと[削除]ボタンをクリックすることが可能です。ただし、削除に関してはリンクのみとなります。

KEYWORD

●オブジェクト
 Active Directoryのデータベース上に作成される情報をオブジェクトと呼びます。

 ユーザーオブジェクト、グループオブジェクト、コンピュータオブジェクト、グループポリシーオブジェクトなどの用語は試験にも頻出します。

●OU(Organzational Unit:組織単位)
 OUとはコンテナオブジェクトです。ファイルシステム上のフォルダのような役割と考えるとよいでしょう。私たちがハードディスク内にファイルを格納する際に、ドライブのルートにすべてのファイルを格納してしまうと後から管理が大変です。

 そこで、通常はファイルを格納するためにフォルダを作成します。さらに必要があればサブフォルダを作成して管理しやすくします。

 Active Directory上でも同様です。無秩序にユーザーやグループを作成してしまうとデータベースが管理しづらいので、OUを作成し、オブジェクトをグループ化するのです。

●グループポリシー(オブジェクト)
 
グループポリシーとは、ユーザーとコンピュータを一元管理する機能です。デスクトップ環境の制御やアプリケーションのインストールなど、さまざまな設定をリモートから行うことができます(図3-6)。

図3-6 グループポリシーの画面

 グループポリシーはActive Directoryドメイン環境でのみ使用可能です。また、グループポリシーはサイト、ドメイン、OUの単位で設定可能です。

 OUにグループポリシーを設定する場合、[コンピュータの構成]に対する設定は、ポリシーを設定したOUの配下のコンピュータオブジェクトのみに適用されます。ユーザーオブジェクトには適用されません。また、[ユーザーの構成]に対する設定は、ポリシーを設定したOUの配下のユーザーオブジェクトのみに適用されます。コンピュータオブジェクトには適用されません(図3-7)。

図3-7 グループポリシーの適用対象

TIPS

●OUの役割
 OUには次のような役割があります。

  • オブジェクトのグループ化
  • 管理を委任する単位
  • グループポリシーの適用単位

正 解(03-01-01)
  既存ポリシーのリンクを削除する。
  別のOUで作成されたポリシーをEigyo OUにリンクする。

 
マイクロソフト認定技術資格試験「MCP/MCSA/MCSEラーニングブック」
70-291:Implementing, Managing, and Maintaining a Microsoft Windows Server 2003 Network Infrastructure 編

 本記事は、@ITハイブックスシリーズ『マイクロソフト認定技術資格試験 MCP/MCSEラーニングブック−70-291:Planning and Maintaining a Microsoft Windows Server 2003 Network Infrastructure 編−』(技術評論社発行)を、許可を得て転載したものです。同書籍に関する詳しい情報については、「@ITハイブックス」サイトでご覧いただけます。
出版社:株式会社技術評論社
ISBN:4-7741-1872-9
発行:2003年10月
判型:A5
ページ数:304ページ
本体価格:2,980円
 
前の問題へ    
     
目次ページへ  「Windows Server Insider @ITハイブックス連携企画」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間