運用
|
|
|
グループ・ポリシーによる設定は、ドメイン環境における最も柔軟で、かつ管理者の手間のかからない方法である。netshやINFファイル、レジストリによる設定などは、結局のところ各クライアント・コンピュータに対して個別に設定を行う必要があるし、設定が変更しようとしても容易には再設定できない。またクライアント・コンピュータ側で設定が変更されてもそれを検出して・再修正もできないなど、ファイアウォール設定を中央で集中管理したい場合には重大な問題がある。また、グループ・ポリシーの適用処理は、クライアント側からドメイン・コントローラに対する通信によって行われるので、Windowsファイアウォールにブロックされることはない。すでにXP SP2を導入していても、クライアント側の設定を変更する必要はない。可能な限り、Active Directoryドメインを導入して、クライアント・コンピュータの管理を集中的に行うようにしたい。
グループ・ポリシー(やnetsh)を使った設定例については次のドキュメントに詳しいのでそちらも参照してほしい。
管理用テンプレートの更新とグループ・ポリシーの編集
XP SP2では、グループ・ポリシーの管理にかかわる管理用テンプレートがいくつか更新されている。XP SP2のWindowsファイアウォールに関するグループ・ポリシーを設定するためには、この新しいテンプレートが必要になる。
最新の管理用テンプレート | |||
XP SP2ではグループ・ポリシーのための管理用テンプレートがいくつか更新されている。これはグループ・ポリシー・エディタでテンプレートの変更日付を確認しているところ。すべて2004年7月もしくは8月になっている(wuauはXP SP2のものよりもさらに新しくなっている)。グループ・ポリシー・エディタを開き、[コンピュータの構成]−[管理用テンプレート]を右クリックしてポップアップ・メニューから[テンプレートの追加と削除]を選択すると表示される。 | |||
|
ドメインに新しい管理用テンプレートを導入するにはいくつか方法があるが(ドメイン・コントローラの%windir%\INFフォルダなどにコピーしてから、一度編集するなど)、いちばん簡単な方法としては、ドメインのメンバーとなっているWindows XP ProfessionalマシンにXP SP2を適用し、さらにグループ・ポリシー管理コンソール(GPMC)を使ってグループ・ポリシー・オブジェクト(以下GPO)を編集することである(GPMCの導入についてはWindows TIPS「グループ・ポリシー管理を強力に支援するGPMCを活用する」を参照のこと)。(既存のすべての)GPOを一度編集することにより、自動的に最新の管理用テンプレートがドメイン・コントローラへとコピーされ、それが適用される。
一度ドメインの管理用テンプレートが更新されれば、あとは管理ツールにあるグループ・ポリシー・エディタで編集することができるが、エディタのバージョンによっては、次のようなメッセージが次々と表示されることがある。
これは、新しい管理用テンプレートに含まれている文字列が長すぎて、古いグループ・ポリシー・エディタでは扱えないという意味のエラーである。この問題を修正するには、以下のサポート技術情報に用意されているパッチを適用すればよい。
Windows Small Business Server 2003の場合は、さらに以下のサポート技術情報も適用していただきたい。
WindowsファイアウォールのGPO
ここではグループ・ポリシー管理コンソールを使って、Windowsファイアウォールに関する設定を行ってみよう。まず編集の対象となるGPOを選択する。ここではドメインのデフォルトのGPOである「Default Domain Policy」を編集してみる。
GPMCによるグループ・ポリシーの編集 | ||||||
編集したいグループ・ポリシーを選択して、[編集]を実行する。GPMCでは、どこにグループ・ポリシーが定義されているのかが、従来のActive Directoryの管理ツールよりも分かりやすくなっている。 | ||||||
|
Windowsファイアウォールに関するGPOは、[コンピュータの構成]−[管理用テンプレート]−[ネットワーク]−[ネットワーク接続]−[Windows Firewall]に存在する。この中には、ドメイン・プロファイルと標準プロファイルのそれぞれに対応するオブジェクトが用意されている。
Windowsファイアウォールに関するGPO | |||||||||||||||
XP SP2以降では、GPOが拡張され、Windowsファイアウォールに関する設定が行えるようになっている。 | |||||||||||||||
|
ファイル共有サービスを例外に設定する例
それではイントラネットでの利用を前提にして、ファイル共有サービスを有効にしてみよう。
上の画面において、[Windows ファイアウォール: ファイルとプリンタの共有の例外を許可する]の行をダブルクリックすると、次のダイアログが表示される。
GPOの例 | |||||||||||||||
これは[ファイルとプリンタの共有]に関するGPO。設定内容そのものはほかの手段で設定する場合と同じである。ネットワーク・アドレスの表記方法や列挙方法なども同じ。 | |||||||||||||||
|
この例外ルールを有効にするには、まず[有効]というオプションを選択し、さらに必要ならばアクセス(着信)を許可するネットワーク・アドレスを指定する。ここを空白のままにすると、「*」と同じ扱いになり、任意のIPアドレスからの着信が許可されるようである。
[ファイルとプリンタ共有]のほかに[リモート デスクトップ接続]も有効化し、さらに[UPnP フレームワーク]と[ローカル ポートの例外を許可する]も無効化した状態で、クライアント・コンピュータにログオンしたのが次の画面である。
グループ・ポリシーによって制御されたWindowsファイアウォール | ||||||||||||
グレーアウトしている項目はグループ・ポリシーによって制御されていることを表している。[リモート アシスタンス]の有効/無効はグループ・ポリシーでは制御できないので(リモート・アシスタンスを含む、すべての例外プログラムを無効にすることは可能だが、これだけを単独で無効にはできない)、この部分はユーザーが制御することができる。 | ||||||||||||
|
グループ・ポリシーによってWindowsファイアウォールが制御されている場合は、このように文字列がグレーアウト状態にあり、ユーザーによって変更できないことを表している。
そのほかのGPO項目
単純なプロトコルの有効/無効の選択のほかに、GPOでは例えば例外ポートの指定や、例外プログラムの指定も行うことができるが、これらの書式はnetshやINFファイル/レジストリで指定する場合と同じなので省略する。
リモート管理のGPO
なお、GPOに[Windows ファイアウォール: リモート管理の例外を許可する]という項目があるが、これは管理目的のために特別に用意されている機能である。通常Windowsコンピュータの管理目的のためには、WMI(Windows Management Instrumentation)のような、MS-RPCやDCOMインターフェイスなどを利用したサービスが使われるが、これらを利用するためには、ポート135番(MS-RPC)や445番(ファイル共有サービス)、そしてRPCのために1024番以上のいくつかの動的ポートを通す必要がある。
[リモート管理の例外を許可する]というGPOを有効にすると、リモート管理が行えるように、ポート445番や135番、および関連するポートがオープンになる。ただし純粋に管理専用というわけではなく、副作用として(というと少々語弊があるが)同じポートを使っているファイル共有も有効になる。逆に[ファイルとプリンタ共有]のGPOだけを有効にしても、ファイル共有は利用できるが、WMIなどを使った管理ツールは動作しない。
具体的には、例えば[管理ツール]−[コンピュータの管理]ツールでXP SP2をインストールしたコンピュータへ接続してみればよい。イベント・ビューアなど、ほとんどのツールは[ファイルとプリンタ共有]さえ許可されていれば利用できるが、[WMI コントロール]を呼び出すには、[ファイルとプリンタ共有]ではなく、[リモート管理の例外]を有効にしていなければならない。
リモート管理の例 | |||||||||
|
このリモート管理を許可するための設定は、GUIベースのツールでは行うことはできない。以上のようにGPOを使うか、netsh(前ページ参照)やレジストリ、INFファイルを使って指定する必要がある。前出のドキュメント(「Microsoft Windows XP Service Pack 2 における Windows ファイアウォール用 INF ファイルの使用」)にある、RemoteAdminSettingsの説明も参照してほしい。
関連記事 | ||
Windows TIPS:XP SP2のファイアウォールでリモート管理を有効にする(Windows Server Insider) | ||
INDEX | ||
[運用]システム管理者のためのXP SP2展開計画 | ||
第2回 Windowsファイアウォールの管理 | ||
1.Windowsファイアウォールの管理方法 | ||
2.INFファイル/レジストリによる設定 | ||
3.netshによる設定 | ||
4.グループ・ポリシーによる設定 | ||
運用 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
|
|