プチアド:佐野さん、さっそく「自動更新」のグループポリシーを検証してみましょう! といいたいとろころですが、うち(RD社)ではシステム構築のときにシステムインテグレータに依頼して設定してもらった「パスワードポリシー」以外に、グループポリシーを利用したことがないのです。グループポリシーの仕組みについてもう少し教えていただけますか?
アドバイザー佐野:はい。簡単に言うと、グループポリシーとは「PCとユーザーを集中的に構成/管理する」ための仕組みです。グループポリシーでは、今まで各PC上の[コントロールパネル]やレジストリの変更で設定していた内容を、一括で設定することができます。
プチアド:なるほど。
アドバイザー佐野:グループポリシーには“ローカルコンピュータに適用されるものと”、 “Active Directoryベースで適用されるもの”があります。Active Directoryベースのポリシーは、サイト、ドメイン、OU(Organizational Unit:組織単位)といったActive Directoryの階層単位で適用が可能です。グループポリシーの内容に競合が発生した場合は、この階層順で上書きされていきます。競合がない場合は単純に組み合わせて適用されます。
プチアド:ふむふむ。
アドバイザー佐野:グループポリシーが管理する設定の種類は2種類です。「コンピュータの構成」はログオンするユーザーに関係なく対象のコンピュータすべて適用されるポリシー、「ユーザーの構成」はどのコンピュータでログオンするかに関係なく対象のユーザーに対し適用されるポリシーです。
プチアド:ふ、ふむぅ……あ、あのぉ、佐野さん、僕、やっぱりどっちかって言うと習うより慣れろ、ってタイプなんじゃないかなぁ、と……・。
アドバイザー佐野:(笑)そうですか、言葉で説明すると分かりにくいかもしれません。さっそく検証をして見ましょうか。
プチアド:はい!
アドバイザー佐野:それではいつものように、検証項目と値を設定してみましょう。
| 表2●検証項目(クリックで拡大) |
|---|
 |
アドバイザー佐野:標準ツール([グループポリシーエディタ]アプレット)でも設定は可能ですが、今回は「グループポリシー管理コンソール(GPMC)」というアドオンのツールを使用します。標準ツールとGPMCでは、表3のような機能差があります。
| 表3●GPMCと標準ツール(クリックで拡大) |
|---|
 |
プチアド:ふぅむ。GPOのバックアップにシミュレーション機能。GPMCのほうがずっと便利なのですね。あ、GPMCのインストールが終わりました。
アドバイザー佐野:はい、それではGPMCを起動しましょう。 [スタート]メニューから、[管理ツール]を開き、[グループポリシーの管理]というメニューが追加されていることを確認してください(図1)。
| 図1●グループ ポリシー管理コンソール (GPMC)をインストールすると、メニューに、[グループポリシーの管理]が追加される(クリックで拡大) |
|---|
 |
プチアド:これがGPMCですね? それでは起動してみます。
アドバイザー佐野:次に、“フォレスト[r-sya.local]”を開きます。この配下にいくつかのコンテナがありますので、ここで[グループポリシーオブジェクト]コンテナを開いてください。規定では、ドメイン全体に適用されるポリシー[Default Domain Policy]とドメインコントローラ用のポリシー[Default Domain Controller Policy]があり、それぞれ適用する場所にリンクされています(図2)。
| 図2●[Default Domain Policy]は[r-sya.local]に、[Default Domain Controller Policy]は[Default Domain Controller]コンテナにそれぞれリンクされている(クリックで拡大) |
|---|
![[Default Domain Policy]は[r-sya.local]に、[Default Domain Controller Policy]は[Default Domain Controller]コンテナにそれぞれリンクされている](images/petit-no4-z2_b.jpg) |
プチアド:今回はドメイン全体に[自動更新]を強制したいので、Default Domain Policy]を選択するのですね?
アドバイザー佐野:はい。右クリックし、メニューから[編集]を実行してください。
プチアド:あ、別ウィンドウで[グループポリシーオブジェクトエディタ]が開きました(図3)。
| 図3●グループポリシーオブジェクトエディタ(クリックで拡大) |
|---|
 |
アドバイザー佐野:実際の編集作業はGPMCから[グループポリシーオブジェクトエディタ]へアクセスする形で行ないます。いままでは、グループポリシー関連管理ツールがあちこちへ点在していましたが、GPMCではインターフェイスが集約されたのです。
プチアド:なるほど。ところで目的の[自動更新]の設定は――
アドバイザー佐野:[コンピュータの構成]配下にあります。
プチアド:ということは、ドメインに参加しているPCならログオンしているユーザーに関係なく、Microsoft Updateが強制的に実施されるようになるのですね。
アドバイザー佐野:はい、そうです。では、[コンピュータの構成]-[管理用テンプレート]-[Windows コンポーネント]-[Windows Update]-[自動更新を構成する](図4、5、6)を選択し、ポリシーを設定します。
| 図4、5、6●グループポリシーを設定する(クリックで拡大) |
|---|
|
|
|
プチアド:ええと、できました。そうだ、GPMCでは設定したグループポリシーのシミュレーションができるのですよね?
アドバイザー佐野:はい。 [グループポリシーのモデル作成]から [グループポリシーのモデル作成ウィザード]を開始、ウィザードに沿ってシミュレートの対象を設定していくと(図7、8)、レポートが作成されます(図9)。それではクライアントPCを起動して、今設定したポリシーがレポートどおり適用されているかどうか、確認してみましょう。
| 図7、8●ウィザードに沿ってシミュレートの対象を設定する(クリックで拡大) |
|---|
|
|
 |
| 図9●グループポリシーの設定レポート(画像クリックで拡大) |
プチアド:はい。おっ、一般ユーザーの田中さんも(YujiT)、管理者権限のある青木さんも(SayakaA)、自動更新が設定され、さらに変更できないようにグレーアウトしていますね(図10)。
| 図10●グループポリシーどおり、各ユーザーの自動更新が設定されているかを確認する(画像クリックで拡大) |
|---|
 |
アドバイザー佐野:今回は“Active Directory全体”へ[自動構成]を適用するよう設定しましたが、部署や役職、職能といった単位でポリシーを適用したい場合はOUを、一部だけ適用の対象から除外したい場合はフィルタ機能を利用します。WindowsServer2003には実に2000種類以上ものポリシーの設定機能があります。
プチアド:グループポリシーは、上手に活用すれば、「社内ポリシーを厳格に適用する(企業側の立場)」ことも、「ユーザーの作業負荷を軽減する(利用者の立場)」こともできるのですね。
アドバイザー佐野:まさに、そのとおり! もちろんこれは、「必要な機能をバランスよく含んだ制限内容」であることが条件です。不必要に厳しい機能制限はユーザーの反発を、複雑すぎるOU構成は管理の手間を増やしてしまいますので、やりすぎないように注意してくださいね!
 |
|---|
 |
||||
 |
 |
 |
|
 |
 |
||||
佐野 央のプチ管理者は本日も大忙し
【アスキービジネス 新刊ムック】
【ASCII.jp SaaS・ASP】