第7回　グループ・ポリシー管理コンソール（GPMC）：グループ・ポリシーのしくみ（5/5 ページ）

　GPOが完成したら、コンテナにリンクする。このためには、リンクしたいGPOをリンク先のコンテナにドラッグ＆ドロップすればよい。

GPOをコンテナへリンクする
GPOをコンテナへリンクするには、リンクしたいGPOを、リンク先のコンテナへドラッグ＆ドロップすればよい。
　（1）これは、［グループ ポリシー オブジェクト］内の「自動更新のポリシー」という名前のGPOを、「営業二課」というOUへリンクしようとしているところ。ポリシーをドラッグして、OUの上へドロップする。

　GPMCのコンソールでリンクを開くと、右ペインには、GPOを開いたときと同じ内容が表示される。その内容については「4．GPOの設定」で解説したとおりである。

GPMCのコンソールでリンクを開いたところ
リンクを開くと、右ペインには、GPOを開いたときと同じ内容が表示される。
　（1）現在開いているリンク。
　（2）リンク元のGPO。
　（3）同じGPOの、別のコンテナへのリンク。
　（4）リンクの設定。2つのOUにリンクされている。
　（5）リンク元のGPOの設定。GPOのリンク先（青線）すべてに影響する。
　（6）青線。GPOとコンテナとのリンク。この例では、1つのGPO（「自動更新のポリシー」というポリシー）を、「営業部/営業二課」と「総務部」の2つのOUへリンクしている。
　（7）赤線。［リンク］セクションだけが、リンクの設定である。
　（8）緑線。［リンク］セクション以外は、リンクではなく、リンク元のGPOの設定である。

　右ペインの内容のうち、［リンク］セクションだけがリンクの設定であり、ほかはリンク元のGPOの設定である。［リンク］セクションでの設定は、それぞれのリンクにだけ影響するが（画面中の赤線）、［リンク］セクション以外での設定はリンク元のGPOに影響し（画面中の緑線）、すべてのリンク先に影響する（画面中の青線）。

　GPMCのコンソールでリンクを開いて設定するときには、リンクを設定しようとしているのか、GPOを設定しようとしているのか、混同しないように注意したい。GPOとリンクについては、連載第2回「グループ・ポリシー・オブジェクト（GPO）とリンク」を参照していただきたい。

リンクのアイコン

　リンクのアイコンは、そのリンクや、リンク元のGPOの状態を反映している。特に、特殊なリンクを示すアイコンや、何らかの異常を示すアイコンには注意したい。そのようなアイコンの意味を調べるには、マイクロソフトのTechnetサイトにある「グループ ポリシー管理コンソール アイコンのリファレンス」を参照するとよい。

継承と優先度

　GPMCのコンソールでコンテナを開くと、そのコンテナへのGPOのリンクが表示される。ここでリンクの継承と優先度を確認したり調整したりできる。継承と優先度については、前回の「リンクの継承と優先度」を参照していただきたい。

優先度の変更

　あるコンテナへの複数のリンクの優先度を確認／変更するには、［リンクされたグループ ポリシー オブジェクト］タブを開く。ここに表示されるのはコンテナへの直接のリンクだけであり、上位階層から継承したリンクは含まれない。

コンテナへの複数のリンクの優先度
コンテナを開くと、そのコンテナへのリンクの優先度を確認／変更できる。
　（1）リンク先のコンテナ。
　（2）このタブでリンクの優先度を確認／変更する。
　（3）順序が上のリンクが下のリンクより優先される。

　［リンクの順序］が上のリンクが、下のリンクより優先される（GPOが適用されるときの処理順でいえば、下のリンクから先に処理され、上のリンクが後から処理される）。この画面ならば、「営業二課の第一ポリシー」が「営業二課の第二ポリシー」より優先される（処理順でいえば、「営業二課の第二ポリシー」が先に処理され、「営業二課の第一ポリシー」が後から処理される）。

継承の確認とブロック

　あるコンテナへの直接のリンクだけではなく、継承されたリンクも併せて表示するには、確認したいコンテナの［グループ ポリシーの継承］タブを開く。ただし、サイトから継承したリンクは表示されない。サイトへのリンクは不確定であるためだ（連載第5回「GPOとコンテナとのリンク」参照）。

継承されたリンクとそれらの優先度
［グループ ポリシーの継承］タブでは、ディレクトリの上位の階層からコンテナに継承されたすべてのリンクを、優先度順に確認できる。
　（1）リンク先のコンテナ。コンテナへの継承をブロックするには、右クリックして［継承のブロック］を選択する。
　（2）このタブで継承されたリンクの優先度を確認する。
　（3）順位が上のリンクが下のリンクより優先される。
　（4）強制されたリンク（【wi-gpmcicon-special.gif）なので、優先順位が最も上になっている。
　（5）（4） 以外のリンクは、継承と優先度の原則に従って並んでいる。

　［優先順位］が上のリンクが、下のリンクより優先される（GPOが適用されるときの処理順でいえば、下のリンクから先に処理され、上のリンクが後から処理される）。

　上の画面では、およそ継承と優先度の基本原則に従ってリンクが並んでいる。だが「営業部の強制ポリシー」だけは、基本原則から外れて、最も高い優先度になっている。これは、このリンクが「強制（上書き禁止）」（wi-gpmcicon-special.gif）に設定されているためである。「強制（上書き禁止）」については前回の「上書き禁止（強制）」を参照していただきたい。

　上位階層からコンテナへのリンクの継承をブロックするには、コンテナを右クリックして［継承のブロック］を選択する。そのコンテナへは上位階層からリンクが継承されなくなり、コンテナのアイコンに青地の感嘆符が付く。例えばOU（wi-gpmcicon-ou.gif）の場合は、wi-gpmcicon-ouex.gifになる。継承のブロックについては前回の「継承のブロック」を参照していただきたい。

おわりに

　以上のように、GPMCでは、従来いくつかの汎用ディレクトリ管理コンソールを行き来しなければならなかった作業や、難解だった作業が、一貫性のあるコンソールで行えるようになっている。特に、ポリシーの内容の一覧や、リンクの継承の確認などは重宝するだろう。Active Directoryでグループ・ポリシーを運用するに当たって、GPMCは必須といっても過言ではない。ぜひとも活用していただきたい。なお、GPMCの機能のうち、結果のシミュレーションやバックアップなどについては、今後、別記事で取り上げることにする。

　本連載では、7回に渡ってActive Directoryにおけるグループ・ポリシーのしくみについて解説してきた。グループ・ポリシーとは何か、Windows NTのシステム・ポリシーとはどう違うのか、グループ・ポリシーで利用される定義ファイルや設定ファイルにはどんなものがあり、どうやってそれがクライアントへ渡され、適用されるのか、そしてグループ・ポリシーの編集方法などについてまとめてきた。管理者によって設定されたグループ・ポリシーの項目がどうやってクライアント・コンピュータに渡され、反映されるのかというしくみを知ることにより、グループ・ポリシーの設定だけでなく、トラブルシューティングなどにも役立つだろう。特に複数のグループ・ポリシーを利用した場合、その優先度やリンク先、継承方法などを理解していないと、その動作が理解しづらい。だが、グループ・ポリシーのしくみを知っていれば、結果を予測、確認したり、トラブルシューティングを行うのは難しいことではない。ぜひ本連載をグループ・ポリシー管理に活用していただきたい。

「グループ・ポリシーのしくみ」