Windows Server 2003 グループ ポリシーの概要

マイクロソフト株式会社

発行日 : 2003 年 4 月

概要

この記事は、IntelliMirror® 管理テクノロジの主要機能である Microsoft® Windows Server™ 2003 グループ ポリシーについて説明します。管理者はグループ ポリシーを利用して、サーバー、デスクトップ、およびユーザー グループの構成を管理するオプションを定義できます。この記事では、グループ ポリシーを初めて使用する IT 管理者向けに、このテクノロジの概要と Windows Server 2003 の新機能を説明します。

Microsoft® Windows® Server 2003 ホワイト ペーパー

この文書は暫定版であり、ここに記載されたソフトウェアは最終商用リリース前に大きく変更される可能性があります。この文書に記載されている情報はこの文書の発行時点における Microsoft Corporation の見解を述べたものです。市場ニーズの変化に対応する必要があるため、この文書は記載された内容の実現に関する Microsoft の確約とはみなされません。また発行日以降については、この文書に記載された情報の正確さは保証しません。

この文書は情報の提供のみを目的としており、明示または黙示に関わらず、この文書について Microsoft はいかなる保証をするものでもありません。

該当する著作権法に従うことは使用者の責任です。著作権上何ら権利の制限なく、この文書の一部または全部を、電子的、機械的、複写、録音、その他いかなる手段およびいかなる形式によっても、またいかなる目的のためにも、Microsoft Corporation の書面による許可なく複製、転送、または検索システム等へ格納や導入をすることは禁じられています。

Microsoft はこの文書に記載されている内容に対して、特許、特許申請、商標、著作権、またはその他の知的所有権を有する場合があります。本書は Microsoft の書面による明示的な使用許諾がある場合を除き、これらの特許、商標、著作権またはその他の知的所有権に関する権利をお客様に許諾するものではありません。

© 2003 Microsoft Corporation.All rights reserved.

Microsoft、Active Directory、IntelliMirror、 Windows、 Windows Server、MS-DOS、Visual Basicおよび Windows ロゴは、米国 Microsoft Corporation の米国およびその他の国における登録商標または商標です。

記載されている会社名、製品名には、各社の商標のものもあります。

Microsoft® Windows® Server 2003 ホワイト ペーパー

目次

はじめに................................................................................................................................... 1

IntelliMirror 管理テクノロジ....................................................................................................2

グループ ポリシーの概要.........................................................................................................4

グループポリシーの定義......................................................................................................4

グループ ポリシーの機能.....................................................................................................4

レジストリ ベースのポリシー..........................................................................................4

セキュリティ設定.............................................................................................................5

ソフトウェアの制限..........................................................................................................5

ソフトウェアの配布およびインストール.........................................................................5

コンピュータおよびユーザー スクリプト........................................................................5

移動ユーザー プロファイルとフォルダ リダイレクト.....................................................5

オフライン フォルダ.........................................................................................................6

Internet Explorer のメンテナンス......................................................................................6

Windows Server 2003 グループ ポリシーの新機能................................................................7

GPMC によるグループ ポリシー管理の統合.......................................................................7

WMI フィルタ....................................................................................................................... 8

新しいポリシー設定..............................................................................................................8

グループ ポリシーの使用.........................................................................................................9

コンピュータおよびユーザーの構成....................................................................................9

グループ ポリシーの管理.....................................................................................................9

GPMC................................................................................................................................ 9

グループ ポリシー オブジェクト エディタ (以前は GPEdit).........................................10

グループ ポリシーの結果とグループ ポリシーのモデリング........................................11

グループ ポリシーの適用...................................................................................................11

グループ ポリシーの管理の対象.....................................................................................11

GPO へのセキュリティおよび WMI フィルタの適用.....................................................12

グループ ポリシーを使用するためのアプリケーションの開発.........................................13

まとめ..................................................................................................................................... 14

関連リンク.............................................................................................................................. 15

Microsoft® Windows® Server 2003 ホワイト ペーパー

はじめに

Microsoft® Windows Server™ 2003 のグループ ポリシー管理ソリューションを利用して、管理者はサーバー とユーザー コンピュータの両方の構成を定義できます。ローカル ポリシー設定はすべてのコンピュータに適用できます。また、ドメインに含まれるコンピュータの場合、管理者はグループ ポリシーを使用して、Active Directory® ディレクトリ サービス内の任意のサイト、ドメイン、またはさまざまな組織単位 (OU) に適用するポリシーを設定できます。グループ ポリシーは、Microsoft Windows® 2000 Server、Microsoft Windows 2000 Professional、Microsoft Windows XP P

rofessional、および Windows Server 2003 を実行しているコンピュータでサポートされます。

この Active Directory インフラストラクチャとグループ ポリシーを通じて、管理者はポリシーに基づいた管理を利用し、以下の利点を享受できます。

企業内のユーザーとコンピュータを 1 対多で管理することができます。

IT ポリシーの実施を自動化できます。

システムのアップデートやアプリケーションのインストールなどの管理タスクを簡単にします。

セキュリティ設定を企業全体に一貫して実装します。

ユーザー グループの標準コンピューティング環境を効率的に実装します。

グループ ポリシーは、セキュリティ、ネットワーキング、およびコンピュータ レベルで適用されるその他のポリシーだけでなく、ユーザー関連ポリシーを定義するために使用できます。さらに、グループ ポリシーを使用すると、ドメイン コントローラやメンバ サーバー、ユーザー コンピュータのデスクトップの管理も可能になります。

新しいグループ ポリシー管理コンソール (GPMC) は、グループ ポリシーの実装を展開および管理するための統合されたグラフィカル ユーザー インターフェイスを備えており、グループ ポリシーの操作をスクリプト ベースで管理できます。さらに、Windows Server 2003 はオペレーティング システムに対する 200 を超える新しいポリシー設定を含め、グループ ポリシーに対する管理制御を強化します。また、Windows Management Instrumentation (WMI) フィルタをサポートすることにより、ユーザーとコンピュータへのグループ ポリシーの適用方法を、より厳密にコントロールします。

グループ ポリシーと Active Directory は IntelliMirror® 管理テクノロジの主要コンポーネントです。IT 管理者は、これらのテクノロジを通じて、ユーザー グループとコンピュータの標準コンピューティング環境を実装することができます。その結果、IntelliMirror によって管理者の作業効率が高まり、IT コストが削減されると同時に、ユーザーの生産性と満足度も大幅に向上できます。

この記事はグループ ポリシーを初めて使用する IT 管理者を対象としています。ここでは、Intelli

Mirror の概要およびグループ ポリシーを説明し、さらに Windows Server 2003 のグループ ポリシーの新機能について説明します。

Windows Server 2003 グループ ポリシーの概要 1

Microsoft® Windows® Server 2003 ホワイト ペーパー

IntelliMirror 管理テクノロジ

管理者の仕事は、ユーザーが日常の業務にコンピュータを使用するうえで、その生産性を持続する手助けをすることです。IntelliMirror の利用により、この仕事が簡単になります。管理者は Intell

iMirror を利用して、ユーザーにユーザー アプリケーション、アプリケーション設定、および管理されたコンピュータのユーザー データへのアクセスを提供します。これはユーザーがネットワークから切断されている場合でも同様です。ユーザーは自分のすべての情報およびアプリケーションにいつでもアクセスできるため、それらのデータが安全に維持され、サーバーから利用できる状態であることを確信します。IT 組織にとっては、ユーザー設定の構成、アプリケーションのインストール、およびユーザー ファイルの転送を手動で行う必要がなくなるため、オーバーヘッドが減少します。

IntelliMirror テクノロジは、集中コンピューティングの利点と分散コンピューティングのパフォーマンスおよび柔軟性を兼ね備えています。Windows テクノロジの組み合わせとして実装される In

telliMirror を利用して、管理者はユーザー グループとコンピュータの標準コンピューティング環境を作成します。IntelliMirror の展開を完了すると、ユーザーのデスクトップとサーバーをポリシーに基づいて管理できるようになります。ユーザーのグループ メンバシップと場所に基づいて集中定義されたポリシーを適用することで、Windows ベースのサーバーおよびクライアント オペレーティング システム (Windows 2000 以降) を実行しているコンピュータは、ユーザーがネットワークにログオンするたびに、そのユーザーのニーズに合わせて自動的に構成されます。

次の表は、IntelliMirror の実装によってユーザーにもたらされる利点を説明し、それらの機能を可能にするテクノロジを示します。IntelliMirror はサーバーとクライアントの両方でさまざまな機能を使用しますが、これらの機能は環境の要件に応じて、個別に、またはまとめて使用することができます。

IntelliMirror の利点とテクノロジ

利点 説明 テクノロジ

一貫した環境 ユーザーは、自分のデスクトップ コンピュータやラップトップ コンピュータが使用できないときに、どのコンピュータからでも一貫したコンピューティング環境で操作を行うことが可能です。ユーザー プロファイルはどのコンピュータからでも利用できるように、サーバー上に格納されます。ユーザーに特定のコンピュータが割り当てられていない場合、ユーザーは任意の利用可能な IntelliMirror で 管理されたコンピュータにログオンし、使い慣れた環境で作業できるため、ハードウェアのコストや管理コストも削減されます。

Active Directory グループ ポリシー オフライン フォルダ 移動ユーザー プロファイル

フォルダ リダイレクト

Windows シェルの拡張

グループ ポリシー ソフトウェアのインストール

中断されないアクセス

ユーザーはネットワーク接続が断続的な場合や切断されている場合でも、効率的に作業を続けることが可能です。このような状況下でも、ユーザー データや構成データへの中断されないアクセスが可能になります。IntelliMirror はユーザー ファイルの集中的なバックアップを実施する際の IT 作業を軽減すると同時に、これらのファイルをユーザーのコンピュータでいつでも使用可能な状態にしておくというニーズも満たします。

Active Directory グループ ポリシー オフライン フォルダ 同期マネージャ Windows シェル の拡

張 フォルダ リダイレクト

ディスク クォータ

最小限のデータ IT 組織では、ユーザー データおよび構成ファ Active Directory グループ ポリシー

Windows Server 2003 グループ ポリシーの概要 2

Microsoft® Windows® Server 2003 ホワイト ペーパー

損失 イルを集中的にバックアップできます。バックアップを集中的に行うことにより、IT の負荷は軽減され、ファイルをユーザーのコンピュータでいつでも使用可能な状態にしておくというニーズも満たします。

移動ユーザー プロファイル

フォルダ リダイレクト

オフライン フォルダ

最小限のユーザー ダウンタイム

インストールされたアプリケーションの修復を自動化するWindows インストーラを使用することで、アプリケーションのインストールと修復を自動化して、サポート コストを削減できます。

Active Directory

グループ ポリシー Windows インストーラ サービス

[コントロール パネル] の [プログラムの追加と削除]

グループ ポリシー ソフトウェアのインストール

Windows Server 2003 グループ ポリシーの概要 3

Microsoft® Windows® Server 2003 ホワイト ペーパー

グループ ポリシーの概要

管理者は Active Directory とグループ ポリシーによってコンピュータの管理を集中的に行うことができます。グループ ポリシーを使用して管理されたコンピューティング環境を構築すると、集中的な 1 対多の管理が可能になるため、管理者はより効率的な作業が可能になります。分散型パーソナル コンピュータ ネットワークの管理に必要とされる総保有コスト (TCO) を計算すると、ユーザーの生産性の低下が企業の主要コストの 1 つであることが明らかになります。生産性の低下を招く原因の多くは、ユーザー エラーにあります。ユーザー エラーには、システム構成ファイルを変更したり、コンピュータを動作不能な状態にしたりするエラーなどがあり、複雑なものになると、不必要なアプリケーションや機能をデスクトップで利用可能にしている場合などがあります。グループ ポリシーは、設定およびユーザーとコンピュータに許可される処理を定義するため、ユーザーの職務内容とコンピュータの使用経験の程度に合わせてデスクトップを作成できます。

グループポリシーの定義管理者はグループ ポリシーを使用してグループ ポリシー設定を作成することにより、ユーザー

グループとコンピュータに対して、特定の構成を定義できます。これらの設定はグループ ポリシー オブジェクト エディタ ツール (以前の名称は GPedit) を使用して指定され、グループ ポリシー オブジェクト (GPO) に含まれます。図 1 に示すように、GPO はサイト、ドメイン、OU などの Active Directory コンテナにリンクされます。こうして、グループ ポリシー設定は Active Dir

ectory コンテナに含まれるユーザーとコンピュータに適用されます。管理者がユーザーの作業環境を 1 回構成するだけで、定義したポリシーはシステムによって適用されます。

図 1. GPO はサイト、ドメイン、および OUの下 に適用されます。この場合、OU1 は GPO1、GPO2、および GPO3 の適用対象となります。OU2 は 4 つすべての GPO の適用対象となります。

グループ ポリシーの機能管理者はグループ ポリシーを使用して、アプリケーションとオペレーティング システムの構成方法を決定し、ユーザーとシステムの安全を確保するためのポリシーを定義します。次のセクションでは、グループ ポリシーの主な機能について説明します。

レジストリ ベースのポリシー

アプリケーションやオペレーティング システムのコンポーネントにポリシーを適用する最も一般的で簡単な方法は、レジストリ ベースのポリシーを実装することです。後に説明する新しいグループ ポリシー管理コンソール (GPMC) とグループ ポリシー オブジェクト エディタを使用することにより、管理者はアプリケーション、オペレーティング システム、およびそのコンポーネントにレジストリ ベースのポリシーを定義することができます。たとえば、管理者は対象ユーザー

Windows Server 2003 グループ ポリシーの概要 4

Microsoft® Windows® Server 2003 ホワイト ペーパー

全員の [スタート] メニューから [ファイル名を指定して実行] コマンドを削除するポリシー設定を有効にすることが可能です。

セキュリティ設定

グループ ポリシーには、GPO のスコープ内のコンピュータおよびユーザーに対するセキュリティ オプションを設定するための、管理者向けのオプションが用意されています。指定できる内容は、ローカル コンピュータ、ドメイン、およびネットワーク セキュリティ設定です。保護を強化する場合、管理者はソフトウェア制限ポリシーを適用できます。このポリシーを適用すると、ユーザーはパス、URL ゾーン、ハッシュ、または発行側の基準に基づいてファイルを実行できなくなります。管理者は特定のソフトウェアを対象とした規則を作成して、この既定のセキュリティ レベルに例外を設けることも可能です。

ソフトウェアの制限

ウイルス、信頼できないアプリケーション、および Windows XP と Windows Server 2003 を実行しているコンピュータへの攻撃に対する防御として、グループ ポリシーには新しいソフトウェア制限ポリシーが組み込まれています。管理者は、ドメイン内で実行されているソフトウェアを特定し、その実行を制御するポリシーを使用できます。

ソフトウェアの配布およびインストール

管理者はアプリケーションのインストール、更新、および削除を、グループ ポリシーによって集中的に管理できます。企業はデスクトップ構成をカスタマイズして展開し、管理できるため、ユーザーを個別にサポートするためのコストを削減できます。ソフトウェアはユーザーまたはコンピュータに割り当てることも (強制的なソフトウェア配布)、ユーザーに公開することもできます。後者の場合、ユーザーは [コントロール パネル] の [プログラムの追加と削除] を使用して任意にソフトウェアをインストールできます。ユーザーは自分の仕事を行うために必要な柔軟性を確保しつつ、システムを自分自身で構成する時間を省くことができます。

グループ ポリシーを利用すると、管理者は承認済みのパッケージを展開できます。たとえば、ユーザーがアプリケーションをインストールする権限を持たない、管理レベルの高いデスクトップ環境では、Windows インストーラ サービスがユーザーの代わりにインストールを実行できます。さらに、管理レベルの高いワークステーションでは、Windows インストーラがグループ ポリシーによって実装されたソフトウェア制限ポリシーとの統合を実施し、展開可能なソフトウェアの一覧に含まれるもののみに新規インストールを制限します。

コンピュータおよびユーザー スクリプト

管理者はスクリプトを使用して、コンピュータの起動時と終了時、およびユーザーのログオン時とログオフ時のタスクを自動化することができます。Microsoft Visual Basic® 開発システム、Scri

pting Edition (VBScript)、JavaScript、PERL、MS-DOS® スタイルのバッチ ファイル (.bat および .cmd) など、Windows スクリプティング ホストでサポートされている言語はすべて使用できます。

移動ユーザー プロファイルとフォルダ リダイレクト

移動ユーザー プロファイルは、サーバー上にユーザー プロファイルを集中的に格納し、ユーザーがログオンしたときにそれらを読み込む機能を提供します。このため、ユーザーはどのコンピュータを使用しても、一貫した環境で作業することが可能です。フォルダ リダイレクトでは、[マイ ドキュメント] や [スタート] メニューなどの重要なユーザー フォルダを、サーバーにリダイレクトすることができます。フォルダ リダイレクトを利用すると、これらのフォルダを集中管理でき、IT グループがユーザーに代わってこれらのフォルダを簡単にバックアップおよび復元することができます。

Windows Server 2003 グループ ポリシーの概要 5

Microsoft® Windows® Server 2003 ホワイト ペーパー

Windows Server 2003 の拡張により、さらに高度な移動機能が提供され、フォルダ リダイレクトも簡単になりました。これらの機能をまとめて使用することにより、モバイル ユーザーや特定のコンピュータを割り当てられていないユーザーは、ログオンしたときに見慣れたデスクトップを表示し、必要なフォルダを見つけることができます。また、管理者は移動ユーザー プロファイルを活用し、より簡単にコンピュータを交換できます。ユーザーが新しいコンピュータに初めてログオンすると、サーバーにあるユーザー プロファイルのコピーがその新しいコンピュータにコピーされます。さらに、ユーザーの [マイ ドキュメント] フォルダを自分のホーム ディレクトリにリダイレクトできる新機能があります。

オフライン フォルダ

ネットワークが利用できない場合、オフライン フォルダ機能によってローカル ディスクからネットワーク ファイルやネットワーク フォルダにアクセスできます。ネットワーク接続が不安定なときや断続的なとき、またはモバイル コンピュータを使用しているときでも、ユーザーは重要な情報に確実にアクセスできます。ユーザーがネットワークに再接続すると、クライアント

ファイルとサーバー ファイルは同期され、バージョンは一定で最新の状態に保たれます。

Internet Explorer のメンテナンス

管理者は、グループ ポリシーをサポートするコンピュータ上で、Microsoft Internet Explorer の構成を管理およびカスタマイズできます。グループ ポリシー オブジェクト エディタには Internet E

xplorer のメンテナンス オプションが組み込まれています。管理者はこのオプションを使用して、Windows 2000 以降を実行しているコンピュータ上で Internet Explorer のセキュリティ ゾーンやプライバシー設定などのパラメータを編集できます。

Windows Server 2003 グループ ポリシーの概要 6

Microsoft® Windows® Server 2003 ホワイト ペーパー

Windows Server 2003 グループ ポリシーの新機能

Windows Server 2003 では、グループ ポリシーの拡張によって、グループ ポリシーの実装を計画、実施、展開、管理、トラブルシュート、および報告する機能が大幅に改善されました。以下のセクションでは、グループ ポリシー インフラストラクチャの主な新機能について説明します。

GPMC によるグループ ポリシー管理の統合新しいグループ ポリシー管理コンソール (GPMC) により、グループ ポリシーでのグループ ポリシー実装の管理が、以前に比べて非常に簡単にできるようになりました。GPMC は企業全体で統一された GPO、サイト、ドメイン、および OU のビューを提供します。また、GPMC を使用して Windows Server 2003 または Windows 2000 ドメインを管理することが可能です。

GPMC が登場する以前は、管理者はグループ ポリシーの管理に複数のツールを使用しなければなりませんでした。GPMC では、これらのツールで公開されている既存のグループ ポリシー機能が 1 つのコンソールに統合されています。バックアップ、復元、コピー、およびスクリプティング可能な操作などの新機能と併せて、GPMC ではグループ ポリシーの展開が簡単になります。

GPMC の機能

機能 説明

統合 MMC スナップイン Microsoft 管理コンソール (MMC) は企業のグループ ポリシーを中心としたビューを提供し、使いやすさを向上するために整理された管理機能を組み込んでいます。MMC のユーザー インターフェイスは、より直感的な方法で GPO と関連リンクを記述し、更新されたグループ ポリシー オブジェクト エディタと統合されています。

GPMC レポートの作成 GPMC には、GPO とそのポリシーの設定用に、機能豊富な HTML ベースのレポート作成環境が組み込まれています。

グループ ポリシーの結果とグループ ポリシーのモデリング

GPMC はポリシーの結果セット (RSoP) データを公開します。Windows XP で初めて導入された RSoP により、管理者は実際のシナリオと仮定のシナリオの両方で、任意のユーザーまたはコンピュータのポリシーの結果セットを簡単に割り出すことができます。GPMC では、グループ ポリシーの結果によって、コンピュータまたはユーザーに対して直接行われたクエリの結果を表示できます。グループ ポリシーのモデリングは、ユーザーまたはコンピュータのシナリオを仮定によってシミュレーションできるため、グループ ポリシー実装の変更を計画する際に重要なツールとなり得ます。グループ ポリシーのモデリングは、Windows Server 2003 ドメイン コントローラに対して実行する必要があります。

グループ ポリシー オブジェクトのバックアップ、実施およびテストのサポート

GPMC には GPO のバックアップと復元のオプションが含まれます。この機能によって、管理者は GPO テンプレートを保守できます。GPO テンプレートとは、管理レベルの高いデスクトップ、ラップトップ、Windows Server 2003 上のターミナル サービス、および Exchange Servers などのさまざまな構成に対応した、GPO の各バージョンのことです。GPO のバックアップ、コピー、およびインポートに対する新たなサポートによって、テスト環境と実動環境の間やフォレスト間も含め、管理者は必要に応じて企業全体に迅速に構成を展開できます。

グループ ポリシー オブジェクト エディタのユーザー インターフェイスの拡張

グループ ポリシー オブジェクト エディタの Web ビューの統合によって、ポリシー設定をさらに簡単に理解、管理、および検証できます。ポリシーをクリックすると、その機能とサポートされているオペレーティング システムを説明するテキストを表示できます。オペレーティング システムは新しい [Supported On] タグから表示されます。

スクリプティング可能なインターフェイス

GPO のバックアップ、復元、インポート、コピー、およびレポート作成などの操作は完全にスクリプティング可能で、管理者による管理のカスタ

Windows Server 2003 グループ ポリシーの概要 7

Microsoft® Windows® Server 2003 ホワイト ペーパー

マイズおよび自動化が可能です。ただし、プログラムで GPO 内に個々のポリシー設定を設定できないことに注意してください。

フォレスト間の信頼のサポート 管理者は任意のフォレスト内にある複数のドメインおよびサイトのグループ ポリシーを管理できます。この管理作業はすべて、ドラッグ アンド ドロップ操作がサポートされた単純なユーザー インターフェイスで行うことができます。また、フォレスト間の信頼が可能なため、管理者は同じコンソールから複数のフォレスト間のグループ ポリシーを管理できます。

WMI フィルタ管理者は GPO のスコープをフィルタ処理するために、WMI ベースのクエリを指定、作成、および編集できるようになりました。WMI フィルタによって、管理者は対象コンピュータの属性に基づいて、GPO のスコープを動的に決定できます。たとえば、空きディスク容量が 500 MB を超えるすべてのコンピュータを含めるように WMI フィルタを定義することが可能です。さらに、GP

MC のグループ ポリシーのモデリングには WMI オプションが組み込まれているので、管理者は

WMI フィルタ処理のプロパティに基づいて仮の分析を実行できます。

新しいポリシー設定Windows Server 2003 の 200 を超える新しいポリシー設定によって機能が拡張され、コントロール パネル、エラー レポートの作成、ターミナル サービス、リモート アシスタンス、ネットワーキングとダイヤルアップ接続、ネットワーク ログオン、グループ ポリシー、移動プロファイル、およびクライアント DNS 設定など、多くの機能が組み込まれました。これらの設定の管理には、グループ ポリシー スナップインの管理テンプレート オプションが使用されます。

Windows Server 2003 グループ ポリシーの概要 8

Microsoft® Windows® Server 2003 ホワイト ペーパー

グループ ポリシーの使用

管理者はグループ ポリシーと Active Directory を併用することにより、次の規則に従ってサイト、ドメインおよび OU 間のポリシーを定義します。

GPO はドメインごとに格納されます。

複数の GPO を 1 つのサイト、ドメインまたは OU に関連付けることができます。

複数のサイト、ドメインまたは OU が 1 つの GPO を使用できます。

どのサイト、ドメインまたは OU も、任意の GPO と関連付けることができます。ドメインをまたぐこともできますが、その場合はパフォーマンスが低下します。

セキュリティ グループのメンバシップに基づき、または WMI フィルタを使用して、GPO のスコープをフィルタ処理し、特定のユーザー グループまたはコンピュータ グループに対象を絞ることができます。

選択された Active Directory オブジェクトに対するグループ ポリシーを設定するには、ドメイン

コントローラのシステム ボリューム (Sysvol フォルダ) にアクセスし、現在選択されているディレクトリ オブジェクトに対する権限を変更するための、読み取りおよび書き込み権限が必要です。システム ボリューム フォルダは、ドメイン コントローラをインストールしたとき、またはサーバーをドメイン コントローラに昇格したときに自動的に作成されます。

コンピュータおよびユーザーの構成管理者は特定のデスクトップ環境を構成し、ネットワーク上のコンピュータおよびユーザー グループに対して、次のようなポリシー設定を適用できます。

コンピュータの構成。コンピュータ関連のポリシーでは、オペレーティング システムの動作、デスクトップの設定、アプリケーションの設定、セキュリティの設定、割り当てられたアプリケーションのオプション、およびコンピュータの起動時と終了時に実行されるスクリプトを指定します。コンピュータ関連のポリシー設定は、コンピュータが再起動されたとき、およびグループ ポリシーの定期的な更新の際に適用されます。

ユーザーの構成。ユーザー関連のポリシーでは、オペレーティング システムの動作、デスクトップの設定、アプリケーションの設定、セキュリティの設定、割り当ておよび公開されたアプリケーションのオプション、ユーザーのログオン時とログオフ時に実行されるスクリプト、およびフォルダ リダイレクトのオプションを指定します。ユーザー関連のポリシー設定は、ユーザーがコンピュータにログオンしたとき、およびグループ ポリシーの定期的な更新の際に適用されます。

グループ ポリシーの管理グループ ポリシーの展開や管理を行うには、管理者はGPMC とグループ ポリシー オブジェクト

エディタを使用します。

GPMC

GPMC では、次のツールで提供されているグループ ポリシー機能が 1 つのコンソールに統合されています。

Active Directory ユーザーとコンピュータ

Active Directory サイトとサービス

ポリシーの結果セットの MMC スナップイン

ACL エディタ

Windows Server 2003 グループ ポリシーの概要 9

Microsoft® Windows® Server 2003 ホワイト ペーパー

委任ウィザード

管理者はこれらのツールを別々に使用しなくても、GPMC を使用してグループ ポリシーのコア

タスクを実行できます。図 2 は、「Engineering – Offsite」という OU の GPMC インターフェイスを示しています。

図 2.[Common Managed Settings] は、[Engineering – Offsite OU] にリンクされた GPO です。この GPMC のビューは GPO のスコープを示したものです。

GPMC は、新しい Microsoft 管理コンソール (MMC) スナップインとグループ ポリシー管理用の一連のプログラム可能なインターフェイスで構成されています。GPMC は Windows Server 2003

と Windows 2000 の両方のドメインの管理に使用できます。どちらの場合も、このツールを実行するコンピュータは、次のいずれかを実行している必要があります。

Windows Server 2003。

SP1 以降のホットフィックスを追加で適用済みの Windows XP Professional Service Pack 1

(SP1)、および Microsoft .NET Framework。

GPMC は、すべての Windows Server 2003 ユーザーが Microsoft ダウンロード センター から無料でダウンロードできます。

グループ ポリシー オブジェクト エディタ (以前は GPEdit)

グループ ポリシー オブジェクト エディタは、ポリシー設定の管理に使用する MMC の拡張スナップインをホストするツールです。すべての機能は拡張スナップインによって提供されます。管理者は、このグループ ポリシー オブジェクト エディタを使用してポリシー設定を編集します。

グループ ポリシー オブジェクト エディタによって作成されるポリシー設定はすべて、GPO に格納されます。管理者がグループ ポリシー オブジェクト エディタで提供するポリシー設定は、対象のシステムにポリシーが適用されるまで有効になりません。

Windows Server 2003 グループ ポリシーの概要 10

Microsoft® Windows® Server 2003 ホワイト ペーパー

グループ ポリシーの結果とグループ ポリシーのモデリング

GPMC では RSoP サービスで提供されるプランニング機能とログ機能が統合され、新しい 2 つのオプションがあります。

グループ ポリシーの結果。このオプションでは、指定したユーザーとコンピュータに適用されたポリシーの結果セットが表示され、対象のコンピュータと直接通信を行って、該当する RSoP

データを取得します。GPMC では、管理者はドメインまたは組織単位内のオブジェクトの RSoP

ログ データを読み取ることができます。個々のノードは、指定したユーザーとコンピュータの組み合わせに対する個別の RSoP クエリを表します。グループ ポリシーの結果データは、Windows

XP または Windows Server 2003 以降を実行しているコンピュータでのみ入手できます。

グループ ポリシーのモデリング。このオプションでは、ドメイン内のユーザーとコンピュータのポリシー展開のシミュレーションを表示します。GPMC では、Windows Server 2003 ドメイン コントローラで実行されているサービスを呼び出すことによって、シミュレートされた RSoP データにアクセスできます。グループ ポリシーの モデリングの各シミュレーションは、GPMC スナップイン内に個別のノードとして表示されます。モデリング オプションは、Active Directory の

Windows Server 2003 スキーマを備えたフォレストの場合にのみ使用できます。

グループ ポリシーの適用グループ ポリシーは継承および累積形式で適用され、Active Directory コンテナに含まれるすべてのコンピュータおよびユーザーを対象とします。ポリシーは、コンピュータの起動時、およびユーザーのログオン時に適用されます。ユーザーがコンピュータを開始すると、システムがコンピュータ にポリシーを適用します。ユーザーが対話的にログオンすると、システムがユーザーのプロファイルを読み込み、ユーザー ポリシーを適用します。ポリシーは定期的に再適用され、要求があったときにも再適用できます。定期的に再適用する場合の間隔は、管理者がグループ ポリシー オブジェクト エディタを使用して設定できます。

ポリシーを適用するときは、システムからディレクトリ サービスに照会して、処理する GPO の一覧を取得します。コンピュータまたはユーザーのアクセスが GPO へのアクセスを拒否された場合、システムは指定のポリシー設定を適用しません。アクセスが許可されると、システムは G

PO で指定したポリシー設定を適用します。

注意 : アプリケーションの展開、および起動時とログオン時に実行されるスクリプトは、起動時と対話的なユーザー ログオン時にのみ実行され、定期的に実行されることはありません。フォルダ リダイレクトは、対話的なログオン時にしか実行されません。これによって、使用中のアプリケーションがアンインストールまたはアップグレードされるといった、意図しない結果を回避できます。ただし、レジストリ ベースのポリシー設定およびセキュリティ ポリシー設定は定期的に適用されます。

グループ ポリシーの管理の対象

グループ ポリシーのスコープは、1 台のコンピュータ、つまりすべてのコンピュータに含まれるローカル GPO から、Active Directory のサイト、ドメイン、および OU にまで拡張することができます。こうしたさまざまな対象のオプションはそれぞれ、管理の対象 (SOM) と呼ばれます。たとえば、GPO が 1 つの Active Directory サイトにリンクされ、そのサイトに固有のプロキシ設定とネットワーク関連設定に対するポリシー設定を指定する場合があります。GPO は SOM にリンクされて初めて有効になります。GPO の設定は SOM のスコープに従って適用されます。

GPO は、図 3 に示すように、ローカル、サイト、ドメイン、OU の順に処理されます。そのため、コンピュータまたはユーザーは、最後に処理された Active Directory コンテナのポリシー設定を受け取ります。つまり、後から適用されたポリシーが先に適用されたポリシーを上書きするということです。

Windows Server 2003 グループ ポリシーの概要 11

Microsoft® Windows® Server 2003 ホワイト ペーパー

図 3. ここでは、Marketing OU が GPO1、GPO2、GO3および GPO5 を継承し、Servers OU が GPO1、GPO2、GPO3、GPO4および GPO6 を継承します。

GPO へのセキュリティおよび WMI フィルタの適用

GPO は、フィルタを適用することによって、より細かい指定をして Active Directory オブジェクトに適用できます。既定では、GPO はリンク先の Active Directory コンテナに含まれるすべてのコンピュータおよびユーザーを対象とします。しかし、管理者は随意アクセス制御リスト (DACL)

のアクセス許可を設定することにより、セキュリティ グループのメンバシップに基づいてグループ ポリシーをフィルタ処理できます。また、Windows Management Instrumentation (WMI) プロパティに基づいたフィルタ処理も可能です。WMI を使用する場合、管理者は WMI プロパティに基づいて GPO を特定のコンピュータまたはユーザーに適用するかどうかを決定できます。WMI

フィルタは、Windows Servers 2003 または Windows XP Professional のコンピュータに適用できます (Windows 2000 のコンピュータは WMI フィルタを無視し、GPO をそのまま適用します)。

SOM による GPO の対象の設定と、セキュリティ グループおよび WMI フィルタによる選択的なフィルタ処理を組み合わせることにより、管理者は非常に柔軟な処理が可能となります。管理者はどのユーザーとコンピュータがグループ ポリシーを取得し、その対象となるかを決定できます。

Windows Server 2003 グループ ポリシーの概要 12

Microsoft® Windows® Server 2003 ホワイト ペーパー

グループ ポリシーを使用するためのアプリケーションの開発最も一般的なポリシー設定の種類である、レジストリ ベースのポリシーを活用するアプリケーションを開発することが可能です。たとえば、プログラマはレジストリ ベースのポリシーに従って、"利用できる" 機能と "利用できない" 機能を組み込んだコンポーネントを作成できます。これにより、管理者は明確で単純なプロセスを利用できるようになります。管理者は GPMC を使用して、すべての対象ユーザーとコンピュータに対し、アプリケーションの機能をそれぞれ有効または無効に設定できます。こうした種類のポリシーは、データを処理し、適切なレジストリ キーを管理するために、すべてのグループ ポリシー クライアント上に組み込まれたレジストリを、クライアント側で拡張したものを使用して実装されます。レジストリ ベースのポリシー設定は、セキュリティで保護された 4 つのグループ ポリシー キーの 1 つに格納され、そのコンピュータの管理権限がない限り変更できません。

詳細については、「Implementing Registry-Based Group Policy」(http://www.microsoft.com/windows2000/techinfo/howitworks/management/rbppaper.asp) を参照してください。

Windows Server 2003 グループ ポリシーの概要 13

Microsoft® Windows® Server 2003 ホワイト ペーパー

まとめ

グループ ポリシーに基づいた管理では、システム アップデートの展開、アプリケーションのインストール、ユーザー プロファイルの設定、およびデスクトップとシステムの管理といったタスクを簡単に実行できます。IntelliMirror 管理テクノロジの主要コンポーネントであるグループ ポリシーは、管理コントロールを拡張し、重複する管理タスクを減らします。その結果、既存の IT リソースをより効率的に使用できるため、企業全体の管理コストを削減できます。

グループ ポリシーを実装することにより、規模の大小を問わず、企業は次のようなメリットを享受できます。

企業の Active Directory に対する投資のさらなる活用。グループ ポリシーによって、ポリシー オプションの管理を集中的にも分散的にも行うことが可能です。

管理の対象の柔軟な設定。グループ ポリシーは、規模の大小を問わずさまざまな企業に適用できる、広範囲の管理シナリオに対応します。企業全体のユーザーとコンピュータに対して、スケーラブルな 1 対多の管理をサポートするため、IT の生産性を向上し、IT コストを削減します。さらに、グループ ポリシーは管理タスクを柔軟かつきめ細やかに制御するため、変化するビジネス ニーズに迅速に対応できます。

ポリシー管理のための統合ツール。GPMC では、Active Directory ユーザーとコンピュータおよびActive Directory サイトとサービスの管理スナップインなど、他の Active Directory 管理ツールが統合されています。管理者は GPO の制御を委任することもできます。

使いやすさ。インターフェイスが更新され、よりわかりやすくなったことで、GPMC は使いやすくなりました。また、習得にかかる時間が短縮されて、管理者の生産性が向上するという利点が生まれました。新しいスクリプティング可能なインターフェイスにより、コマンドラインからの管理も可能です。

信頼性とセキュリティ。管理者は、 IT ポリシーを定義して適用することで、IT 環境の信頼性とセキュリティを向上できます。ユーザー グループとコンピュータに対するグループ ポリシーを作成した後、管理者はシステムを通じてこれらのポリシー設定を適用できます。GPO のバックアップ、実施、およびテストに対する新規サポートによって、グループ ポリシーの信頼性が一層向上します。

IT 構成の集中制御。グループ ポリシーを使用してユーザーのコンピューティング環境を標準化することにより、サポート コストを削減しながら、ユーザーの生産性と満足度を向上します。

これらの利点を総合することで、グループ ポリシーはさらに使いやすくなり、IT 組織は費用効果の高い方法で企業を管理できるようになります。

Windows Server 2003 グループ ポリシーの概要 14

Microsoft® Windows® Server 2003 ホワイト ペーパー

関連リンク

グループ ポリシーの詳細については、以下のリソースを参照してください。

「Windows 2000 グループポリシー概要 」(http://www.microsoft.com/japan/windows2000/techinfo/howitworks/management/

grouppolicyintro.asp)

「グループ ポリシー管理コンソールによる企業システムの管理」(http://www.microsoft.com/japan/windowsserver2003/gpmc/default.mspx

「GPMCでのグループポリシーの管理」(http://www.microsoft.com/japan/windowsserver2003/

gpmc/gpmcwp.mspx)

「Troubleshooting Group Policy」(http://go.microsoft.com/fwlink/?LinkId=14949)

「Group Policy Infrastructure」(http://go.microsoft.com/fwlink/?LinkId=14950)

「GPMC を使ったドメイン間での GPO の移行」(http://www.microsoft.com/japan/windowsserver2003/gpmc/migrgpo.mspx)

「Implementing Common Desktop Management Scenarios」(http://go.microsoft.com/fwlink/?

LinkId=14951)

「Implementing Registry-Based Group Policy」(http://go.microsoft.com/fwlink/?LinkId=15177)

詳細については、次の資料も参照してください。

「Group Policy Newsgroup」(http://go.microsoft.com/fwlink/?LinkId=15390)

TechNet Web サイトの「グループ ポリシー」(http://www.microsoft.com/japan/technet/prodtechnol/windowsserver2003/management/gp/)

「グループ ポリシー管理コンソールに関する FAQ」

(http://www.microsoft.com/japan/windowsserver2003/gpmc/gpmcfaq.mspx)

管理テンプレートのリファレンスは「Group Policy Settings Reference for Windows Server 2003」からダウンロードできます。 (http://go.microsoft.com/fwlink/?LinkId=15165)

Windows Server 2003 の最新情報については、Windows Server 2003 Web サイト

(http://www.microsoft.com/japan/windowsserver2003) を参照してください。

Windows Server 2003 グループ ポリシーの概要 15