サイトアイコン Windows Active Directory

アクティブディレクトリ内のGPOを管理

学べること:

アクティブディレクトリ(AD)ネットワークの管理は、ネットワーク内のリソースの数が増えるにつれて、少し煩雑になる場合があります。セキュリティ許可、ソフトウェアのインストール、ユーザーやコンピュータのデスクトップ設定、管理者権限など、制御しなければならない事項が無数にあります。ここでグループポリシーとグループポリシーオブジェクトの出番です。この記事では、ADグループポリシーオブジェクト(GPO)とは何か、その種類、そしてGPOを使ってグループポリシーをどのように実装するかについて見ていきます。

アクティブディレクトリグループポリシーとは?

ADグループポリシーは、AD環境においてIT管理者が設定できる重要な指示の一部です。ADグループポリシーはユーザーとコンピューターの振る舞いや権限を決定します。グループポリシーは主にADネットワークのセキュリティソリューションです。管理者はこれらの設定を構成し、それからユーザーやコンピュータを含むサイト、ドメイン、またはOUにこれらの設定のセットを実装できます。

グループポリシー・オブジェクトとは何ですか?

複数のグループポリシー設定が「グループポリシー・オブジェクト(GPO)」と呼ばれるセットにまとめられています。管理者がGPO内のグループポリシーを必要に応じて設定すると、そのGPOをコンテナオブジェクトにリンクすることができます。問題のコンテナ内のオブジェクトは、割り当てられたGPOのポリシーによって設定された境界と規則の範囲内で動作することになります。GPOは「グループポリシー管理コンソール(GPMC)」を使用して作成および管理できます。

GPOは設定情報を2か所に保存します:

1. グループポリシー・コンテナ(GPC)

2. グループポリシー・テンプレート(GPT)

GPCはGPOの名前、ACL、バージョン情報、有効/無効のステータスなどの情報を含むオブジェクトで、ドメインのCN=Policies, CN=Systemコンテナに保存されています。GPTはドメイン内のすべてのドメインコントローラーのSYSVOLディレクトリにファイルとして保存されており、GPOに関連する管理テンプレートやスクリプトが含まれています。SYSVOLフォルダの内容はドメイン内のすべてのドメインコントローラー間でレプリケートされます。

アクティブディレクトリでのGPOの管理

グループポリシーとGPOが何であるか理解したところで、GPOの作成、閲覧、編集、およびバックアップの方法を見ていきましょう。

Active DirectoryでGPOを作成する方法は?

GPOはGroup Policy Management Console(GPMC)を使用して作成および管理できます。構成設定はGroup Policy Object Editor(gpedit)コンソールを使用して編集できます。以下はGPOを作成する手順を示しています:

 アクティブディレクトリーでGPOを編集する方法は?

以下の手順では、GPOの下で設定されているさまざまな設定を表示する方法を説明します:

Active DirectoryでGPOをオブジェクトにリンクする方法は?

GPOを作成し、そのGPOの設定を定義しても、対象のユーザーやコンピュータには適用されません。GPOの設定ポリシーを適用するためには、サイト、ドメイン、またはOUにリンクする必要があります。GPOをリンクする手順は以下のとおりです。

これで、そのGPOのために設定されたすべてのポリシーセッティングが、GPOがリンクされたサイト、ドメイン、またはOU内のすべてのユーザーとコンピュータに適用されるようになります。

Active DirectoryでGPOをバックアップおよび復元する方法は?

Active DirectoryでのGPOのバックアップおよび復元は、GPMCを使用して実行できます。以下の手順に従ってください:

GPOのバックアップ操作が完了すると、ウィンドウがGPOバックアップの成功を通知します。[OK]をクリックします。これですべてのGPOのバックアップが完了しました。バックアッププロセス中に指定したフォルダに移動して、GPOがバックアップされたことを確認できます。フォルダにはGPOバックアップデータが含まれているはずです。このデータを使用して、削除されたGPOを復元することも、変更されたGPOを必要に応じて復元することもできます。

モバイルバージョンを終了