Vistaの地平

第11回 機能が向上したWindows Vistaのグループ・ポリシー

1.Windows Vistaのグループ・ポリシー・テンプレートについて

Microsoft MVP
小鮒 通成
2007/07/19

「Vistaの地平」は、Windowsベースの情報システムを管理するIT Proを対象に、Windows Vistaの注目機能について解説する新コーナーです。

Index
Windows Vistaとは何か?
Windows Vistaのユーザー・インターフェイス
カーネルの改良とフォント、セキュリティ機能の強化
TCO抑制に向けた各種運用管理機能が強化されたVista
Vistaのハードウェア要件
より高機能になったVistaのバックアップ機能
管理者権限での実行を制限するユーザー・アカウント制御UAC(前編)
管理者権限での実行を制限するユーザー・アカウント制御UAC(後編)
スパイウェアからコンピュータを保護するWindows Defender
IPv6を取り込んだVistaのネットワーク機能
機能が向上したWindows Vistaのグループ・ポリシー
機能性/実用性がさらに強化されたオフライン・ファイル
Windows Vista SP1
セキュリティが強化されたWindowsファイアウォールの概要
セキュリティが強化されたWindowsファイアウォールの管理

 Windows Vistaのグループ・ポリシーはWindows XP以前と大きく内容が変わっている。だが、下位互換性が完全に失われたわけではない。そのあたりを順を追って確認しよう。

従来のポリシー・テンプレートのからの変更点

 Windows Vistaのグループ・ポリシーに触れる前に、まず従来のグループ・ポリシー・テンプレートとの違いについて述べる必要があるだろう。

 グループ・ポリシー・テンプレートとは、グループ・ポリシーの内容を定義するテンプレート・ファイルであり、Windows NTのシステム・ポリシーの流れをくむ.admファイルによって定義される。テンプレート・ファイルは、グループ・ポリシーを初めて編集する際に「グループ・ポリシー・オブジェクト・エディタ(GPOE)」を使って読み込まれて初期化され、実際の設定を行うことでグループ・ポリシー設定として有効となる(グループ・ポリシーについては関連記事参照)。

 これに対しWindows Vistaのグループ・ポリシー・テンプレートはWindows XP以前とはまったく異なる実装となっている。

連載 グループ・ポリシーのしくみ

 まず、テンプレート自体はXML形式での記述となり、従来のシステム・ポリシー形式の記述方法からは変更された。この変更によって、プログラムがよりテンプレート・ファイルを扱いやすくなったといえるが、半面、従来は管理者が手書きで作成や管理を行ってきた程度だったものが、事実上手書き管理をあきらめなければならないほど、難しくなったことも事実だ。

 
従来のテンプレート・ファイル
Windows XP以前のOSでは、グループ・ポリシー・テンプレートはWindows NTのころから利用されていたシステム・ポリシー形式で記述されている。

Windows Vistaにおけるテンプレート・ファイル
Windows Vistaでは、グループ・ポリシー・テンプレートの内容はXML形式で記述されている。

 すでにご存じとは思うが、XML形式とは、HTMLとある種似ておりタグにより属性(エレメント)を定義することで、扱うデータの定義が可能な業界標準のマークアップ言語である。

 また細かい話となるが、従来はグループ・ポリシーが初めて編集される際に、対象となる.admファイルは各グループ・ポリシーそれぞれすべてに個別にコピーされた。そのため1つ1つのグループ・ポリシーのフォルダ・サイズは決して小さくなく、特にドメイン・グループ・ポリシーにおいてはオーバーヘッド(無駄な部分)が発生していたが、Windows Vista以降のグループ・ポリシーは%SYSTEMROOT%\PolicyDefinitionsフォルダ(ローカル・グループ・ポリシー)や、所定のSYSVOL共有ディレクトリ(ドメイン・グループ・ポリシー)に配置されたテンプレート・ファイルをすべてのグループ・ポリシーが参照利用する。そのためグループ・ポリシー自体のフォルダ・サイズを抑えることが可能となっている。

 Windows Vistaとそれ以前のグループ・ポリシー・テンプレートの実装の違いを図にすると、次のようになる。

従来のグループ・ポリシーにおける実装
SYSVOL共有内のグループ・ポリシーの実装。各グループ・ポリシー・オブジェクト(実際は設定ファイル群フォルダ)にポリシー設定ファイルと、テンプレートがそれぞれ実装されている。テンプレートは重複した内容であることが多く、複製(FRS複製サービスによって実行される)にオーバーヘッドが発生している。

Windows Vista以降のグループ・ポリシーでの実装
Windows Vista以降のグループ・ポリシーをWindows Server 2003上で展開する場合、「中央ストア」と呼ばれるテンプレート配置場所に内容が配置され(図中の「テンプレート」という場所)、グループ・ポリシー編集時には中央ストアから同じテンプレート・ファイルを参照する。テンプレート・ファイルが減った分、SYSVOL共有のサイズやグループ・ポリシーの複製トラフィックは減少する。なおWindows Server 2008(次期Windows Server OS)ではグループ・ポリシー・テンプレートは、SYSVOL共有には含まれなくなる予定である。

 Windows Vista用の新しいポリシー・テンプレート(グループ・ポリシー自体ではないことに注意されたい)は、Windows XPなど以前のWindows OSとの互換性はない。また、Windows Server 2003などのドメイン・コントローラ上でWindows Vista対応のグループ・ポリシーを単純に編集することもできないので注意が必要だ(対応方法は後述)。従って、Windows Vista対応のグループ・ポリシーは、すべてWindows Vistaから操作/編集する必要がある。


 INDEX
  Vistaの地平
  第11回 機能が向上したWindows Vistaのグループ・ポリシー
  1.Windows Vistaのグループ・ポリシー・テンプレートについて
    2.ポリシー・テンプレートの格納場所と編集方法
    3.コンピュータ・ポリシーとユーザー別の追加ポリシー
    4.ドメイン環境でのグループ・ポリシーの展開
 
 「 Vistaの地平 」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間