学べること:
アクティブディレクトリ(AD)ネットワークの管理は、ネットワーク内のリソースの数が増えるにつれて、少し煩雑になる場合があります。セキュリティ許可、ソフトウェアのインストール、ユーザーやコンピュータのデスクトップ設定、管理者権限など、制御しなければならない事項が無数にあります。ここでグループポリシーとグループポリシーオブジェクトの出番です。この記事では、ADグループポリシーオブジェクト(GPO)とは何か、その種類、そしてGPOを使ってグループポリシーをどのように実装するかについて見ていきます。
アクティブディレクトリグループポリシーとは?
ADグループポリシーは、AD環境においてIT管理者が設定できる重要な指示の一部です。ADグループポリシーはユーザーとコンピューターの振る舞いや権限を決定します。グループポリシーは主にADネットワークのセキュリティソリューションです。管理者はこれらの設定を構成し、それからユーザーやコンピュータを含むサイト、ドメイン、またはOUにこれらの設定のセットを実装できます。
グループポリシー・オブジェクトとは何ですか?
複数のグループポリシー設定が「グループポリシー・オブジェクト(GPO)」と呼ばれるセットにまとめられています。管理者がGPO内のグループポリシーを必要に応じて設定すると、そのGPOをコンテナオブジェクトにリンクすることができます。問題のコンテナ内のオブジェクトは、割り当てられたGPOのポリシーによって設定された境界と規則の範囲内で動作することになります。GPOは「グループポリシー管理コンソール(GPMC)」を使用して作成および管理できます。
GPOは設定情報を2か所に保存します:
1. グループポリシー・コンテナ(GPC)
2. グループポリシー・テンプレート(GPT)
GPCはGPOの名前、ACL、バージョン情報、有効/無効のステータスなどの情報を含むオブジェクトで、ドメインのCN=Policies, CN=Systemコンテナに保存されています。GPTはドメイン内のすべてのドメインコントローラーのSYSVOLディレクトリにファイルとして保存されており、GPOに関連する管理テンプレートやスクリプトが含まれています。SYSVOLフォルダの内容はドメイン内のすべてのドメインコントローラー間でレプリケートされます。
アクティブディレクトリでのGPOの管理
グループポリシーとGPOが何であるか理解したところで、GPOの作成、閲覧、編集、およびバックアップの方法を見ていきましょう。
Active DirectoryでGPOを作成する方法は?
GPOはGroup Policy Management Console(GPMC)を使用して作成および管理できます。構成設定はGroup Policy Object Editor(gpedit)コンソールを使用して編集できます。以下はGPOを作成する手順を示しています:
-
GPMCスナップインを開きます。そのためには、[スタートメニュー] → [管理ツール] → [Group Policy Management Console]へ移動します。
-
左ペインで、[フォレスト] コンテナ、その後でドメインコンテナを展開します。
-
ポリシー設定を作成して適用するドメインを選択します。
-
ドメインをダブルクリックして、ドメイン内のOUとその他のコンテナのリストを表示します。
-
[Group Policy Objects] コンテナを右クリックして[新規]を選択します。
-
GPOの名前を入力して[OK]をクリックします。
アクティブディレクトリーでGPOを編集する方法は?
以下の手順では、GPOの下で設定されているさまざまな設定を表示する方法を説明します:
-
GPMCスナップインを開きます。それには、スタートメニュー → 管理ツール → グループポリシー管理コンソールに移動してください。
-
グループポリシー・オブジェクトコンテナを右クリックし、GPOを選択します。
-
右ペインで、[設定]タブを選び、「すべて表示」をクリックします。
-
GPOのポリシーセッティングが未定義の場合、コンピュータ設定およびユーザー設定のセクションには「設定未定義」と表示されます。
-
GPOのポリシー設定を構成するには、右ペインまたはGPO上でどこでも右クリックし、「編集」を選択します。
-
グループ・ポリシー・オブジェクト・エディタが開きます。コンピュータ設定およびユーザー設定をブラウズし、必要に応じてそれらを定義します。
Active DirectoryでGPOをオブジェクトにリンクする方法は?
GPOを作成し、そのGPOの設定を定義しても、対象のユーザーやコンピュータには適用されません。GPOの設定ポリシーを適用するためには、サイト、ドメイン、またはOUにリンクする必要があります。GPOをリンクする手順は以下のとおりです。
-
GPMCスナップインを開きます。それには、[スタート メニュー] → [管理ツール] → [グループ ポリシー管理コンソール]へと進みます。
-
左ペインでフォレストコンテナを展開し、次にドメインコンテナを展開します。対象ドメインに移動します。
-
ドメイン、サイト、またはOUを右クリックし、[既存のGPOをリンクする]を選択します。
-
[GPOの選択]ダイアログボックスで、[グループ ポリシー オブジェクト]の下にあるGPOを選択し、[OK]をクリックします。
これで、そのGPOのために設定されたすべてのポリシーセッティングが、GPOがリンクされたサイト、ドメイン、またはOU内のすべてのユーザーとコンピュータに適用されるようになります。
Active DirectoryでGPOをバックアップおよび復元する方法は?
Active DirectoryでのGPOのバックアップおよび復元は、GPMCを使用して実行できます。以下の手順に従ってください:
-
[スタート]に移動し、[管理ツール]へと進みます。それから[グループ ポリシー管理]を探してクリックします。
-
開いたGPMCウィンドウで、バックアップしたいGPOが含まれている[グループ ポリシー オブジェクト]フォルダを展開します。
-
GPOを右クリックし、[バックアップ]をクリックします。
-
[グループ ポリシー オブジェクトのバックアップ]ウィンドウが開きます。バックアップされたGPOを保存したいフォルダのパスを指定します。
-
完了したら、[バックアップ]をクリックします。
GPOのバックアップ操作が完了すると、ウィンドウがGPOバックアップの成功を通知します。[OK]をクリックします。これですべてのGPOのバックアップが完了しました。バックアッププロセス中に指定したフォルダに移動して、GPOがバックアップされたことを確認できます。フォルダにはGPOバックアップデータが含まれているはずです。このデータを使用して、削除されたGPOを復元することも、変更されたGPOを必要に応じて復元することもできます。
