Vistaの地平 第11回　機能が向上したWindows Vistaのグループ・ポリシー 1．Windows Vistaのグループ・ポリシー・テンプレートについて Microsoft MVP 小鮒 通成 2007/07/19

「Vistaの地平」は、Windowsベースの情報システムを管理するIT Proを対象に、Windows Vistaの注目機能について解説する新コーナーです。

Index 第1回 Windows Vistaとは何か？ 第2回 Windows Vistaのユーザー・インターフェイス 第3回 カーネルの改良とフォント、セキュリティ機能の強化 第4回 TCO抑制に向けた各種運用管理機能が強化されたVista 第5回 Vistaのハードウェア要件 第6回 より高機能になったVistaのバックアップ機能 第7回 管理者権限での実行を制限するユーザー・アカウント制御UAC（前編） 第8回 管理者権限での実行を制限するユーザー・アカウント制御UAC（後編） 第9回 スパイウェアからコンピュータを保護するWindows Defender 第10回 IPv6を取り込んだVistaのネットワーク機能 第11回 機能が向上したWindows Vistaのグループ・ポリシー 第12回 機能性／実用性がさらに強化されたオフライン・ファイル 第13回 Windows Vista SP1 第14回 セキュリティが強化されたWindowsファイアウォールの概要 第15回 セキュリティが強化されたWindowsファイアウォールの管理 　Windows Vistaのグループ・ポリシーはWindows XP以前と大きく内容が変わっている。だが、下位互換性が完全に失われたわけではない。そのあたりを順を追って確認しよう。 従来のポリシー・テンプレートのからの変更点 　Windows Vistaのグループ・ポリシーに触れる前に、まず従来のグループ・ポリシー・テンプレートとの違いについて述べる必要があるだろう。 　グループ・ポリシー・テンプレートとは、グループ・ポリシーの内容を定義するテンプレート・ファイルであり、Windows NTのシステム・ポリシーの流れをくむ.admファイルによって定義される。テンプレート・ファイルは、グループ・ポリシーを初めて編集する際に「グループ・ポリシー・オブジェクト・エディタ（GPOE）」を使って読み込まれて初期化され、実際の設定を行うことでグループ・ポリシー設定として有効となる（グループ・ポリシーについては関連記事参照）。 　これに対しWindows Vistaのグループ・ポリシー・テンプレートはWindows XP以前とはまったく異なる実装となっている。 連載 グループ・ポリシーのしくみ 　まず、テンプレート自体はXML形式での記述となり、従来のシステム・ポリシー形式の記述方法からは変更された。この変更によって、プログラムがよりテンプレート・ファイルを扱いやすくなったといえるが、半面、従来は管理者が手書きで作成や管理を行ってきた程度だったものが、事実上手書き管理をあきらめなければならないほど、難しくなったことも事実だ。

　

従来のテンプレート・ファイル

Windows XP以前のOSでは、グループ・ポリシー・テンプレートはWindows NTのころから利用されていたシステム・ポリシー形式で記述されている。

Windows Vistaにおけるテンプレート・ファイル

Windows Vistaでは、グループ・ポリシー・テンプレートの内容はXML形式で記述されている。

　すでにご存じとは思うが、XML形式とは、HTMLとある種似ておりタグにより属性（エレメント）を定義することで、扱うデータの定義が可能な業界標準のマークアップ言語である。

　また細かい話となるが、従来はグループ・ポリシーが初めて編集される際に、対象となる.admファイルは各グループ・ポリシーそれぞれすべてに個別にコピーされた。そのため1つ1つのグループ・ポリシーのフォルダ・サイズは決して小さくなく、特にドメイン・グループ・ポリシーにおいてはオーバーヘッド（無駄な部分）が発生していたが、Windows Vista以降のグループ・ポリシーは%SYSTEMROOT%\PolicyDefinitionsフォルダ（ローカル・グループ・ポリシー）や、所定のSYSVOL共有ディレクトリ（ドメイン・グループ・ポリシー）に配置されたテンプレート・ファイルをすべてのグループ・ポリシーが参照利用する。そのためグループ・ポリシー自体のフォルダ・サイズを抑えることが可能となっている。

　Windows Vistaとそれ以前のグループ・ポリシー・テンプレートの実装の違いを図にすると、次のようになる。

従来のグループ・ポリシーにおける実装

SYSVOL共有内のグループ・ポリシーの実装。各グループ・ポリシー・オブジェクト（実際は設定ファイル群フォルダ）にポリシー設定ファイルと、テンプレートがそれぞれ実装されている。テンプレートは重複した内容であることが多く、複製（FRS複製サービスによって実行される）にオーバーヘッドが発生している。

Windows Vista以降のグループ・ポリシーでの実装

Windows Vista以降のグループ・ポリシーをWindows Server 2003上で展開する場合、「中央ストア」と呼ばれるテンプレート配置場所に内容が配置され（図中の「テンプレート」という場所）、グループ・ポリシー編集時には中央ストアから同じテンプレート・ファイルを参照する。テンプレート・ファイルが減った分、SYSVOL共有のサイズやグループ・ポリシーの複製トラフィックは減少する。なおWindows Server 2008（次期Windows Server OS）ではグループ・ポリシー・テンプレートは、SYSVOL共有には含まれなくなる予定である。

　Windows Vista用の新しいポリシー・テンプレート（グループ・ポリシー自体ではないことに注意されたい）は、Windows XPなど以前のWindows OSとの互換性はない。また、Windows Server 2003などのドメイン・コントローラ上でWindows Vista対応のグループ・ポリシーを単純に編集することもできないので注意が必要だ（対応方法は後述）。従って、Windows Vista対応のグループ・ポリシーは、すべてWindows Vistaから操作／編集する必要がある。

INDEX
	Vistaの地平
	第11回　機能が向上したWindows Vistaのグループ・ポリシー
	1．Windows Vistaのグループ・ポリシー・テンプレートについて
	2．ポリシー・テンプレートの格納場所と編集方法
	3．コンピュータ・ポリシーとユーザー別の追加ポリシー
	4．ドメイン環境でのグループ・ポリシーの展開

　

「 Vistaの地平 」

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）