次の方法で共有

Microsoft Advanced Group Policy Management 4.0 ステップ バイ ステップ ガイド

  • [アーティクル]

このステップ バイ ステップ ガイドでは、グループ ポリシー管理コンソール (GPMC) と Microsoft Advanced グループ ポリシー Management (AGPM) を使用するグループ ポリシー管理の高度な手法について説明します。 AGPM は GPMC の機能を強化し、次の機能を提供します。

  • 運用環境の GPO へのアクセスを委任する機能に加えて、グループ ポリシー オブジェクト (GPO) を管理するためのアクセス許可を複数のグループ ポリシー管理者に委任するための標準ロール。

  • GPO を運用環境にデプロイする前に、グループ ポリシー管理者が GPO をオフラインで作成および変更できるようにするアーカイブ。

  • アーカイブ内の以前のバージョンの GPO にロールバックし、アーカイブに格納されているバージョンの数を制限する機能。

  • GPO のチェックインとチェック機能により、グループ ポリシー管理者が意図せずに互いの作業を上書きしないようにします。

  • 特定の属性を持つ GPO を検索し、表示される GPO の一覧をフィルター処理する機能。

AGPM シナリオの概要

このシナリオでは、AGPM の各ロールに個別のユーザー アカウントを使用して、アクセス許可のレベルが異なる複数のグループ ポリシー管理者を持つ環境でグループ ポリシーを管理する方法を示します。 具体的には、次のタスクを実行します。

  • Domain Admins グループのメンバーであるアカウントを使用して、AGPM サーバーをインストールし、AGPM 管理者ロールをアカウントまたはグループに割り当てます。

  • AGPM ロールを割り当てるアカウントを使用して、AGPM クライアントをインストールします。

  • AGPM 管理者ロールを持つアカウントを使用して、AGPM を構成し、他のアカウントにロールを割り当てることで GPO へのアクセスを委任します。

  • エディター ロールを持つアカウントから、承認者ロールを持つアカウントを使用して承認する新しい GPO を作成するよう要求します。 エディター アカウントを使用して、GPO をアーカイブからチェックし、GPO を編集し、GPO をアーカイブにチェックしてから、展開を要求します。

  • 承認者ロールを持つアカウントを使用して、GPO を確認し、運用環境に展開します。

  • エディターロールを持つアカウントを使用して、GPO テンプレートを作成し、それを出発点として使用して新しい GPO を作成します。

  • 承認者ロールを持つアカウントを使用して、GPO を削除して復元します。

グループ ポリシー オブジェクト開発プロセス。

AGPM サーバーの要件

AGPM Server 4.0 には、Windows Server 2012 または Windows 10 以降と、リモート サーバー管理ツール (RSAT) の GPMC が必要です。 32 ビットバージョンと 64 ビット バージョンの両方がサポートされています。

AGPM Server をインストールする前に、Domain Admins グループのメンバーである必要があり、特に記載がない限り、次の Windows 機能が存在する必要があります。

  • Gpmc

    • Windows Server 2012 以降: GPMC が存在しない場合は、AGPM によって自動的にインストールされます。

    • Windows 10以降: AGPM をインストールする前に、RSAT から GPMC をインストールする必要があります。 詳細については、「 Windows 用リモート サーバー管理ツール (RSAT)」を参照してください。

次の Windows 機能は AGPM Server で必要であり、存在しない場合は自動的にインストールされます。

  • WCF のアクティブ化。HTTP 以外のアクティブ化

  • Windows プロセス アクティブ化サービス

    • プロセス モデル

    • .NET 環境

    • 構成 API

AGPM クライアント要件

AGPM クライアント 4.0 には、Windows Server 2012 以降の Windows 10 windows Server 2012 以降と RSAT の GPMC が必要です。 32 ビットバージョンと 64 ビット バージョンの両方がサポートされています。 AGPM クライアントは、AGPM サーバーを実行しているコンピューターにインストールできます。

AGPM クライアントには次の Windows 機能が必要です。特に記載がない限り、これらの機能が存在しない場合は自動的にインストールされます。

  • Gpmc

    • Windows Server 2012 以降: GPMC が存在しない場合は、AGPM によって自動的にインストールされます。

    • Windows 10以降: AGPM をインストールする前に、RSAT から GPMC をインストールする必要があります。 詳細については、「 Windows 用リモート サーバー管理ツール (RSAT)」を参照してください。

シナリオ要件

このシナリオを開始する前に、4 つのユーザー アカウントを作成します。 このシナリオでは、AGPM 管理者 (フル コントロール)、承認者、エディター、レビュー担当者の各アカウントに、次のいずれかの AGPM ロールを割り当てます。 これらのアカウントは、電子メール メッセージを送受信できる必要があります。 AGPM 管理者、承認者、(必要に応じて) エディター ロールを持つアカウントに リンク GPO アクセス許可を割り当てます。

リンク GPO アクセス許可は、既定でドメイン管理者とエンタープライズ管理者のメンバーに割り当てられます。 追加のユーザーまたはグループ (AGPM 管理者または承認者の役割を持つアカウントなど) に GPO のリンク アクセス許可を割り当てるには、ドメインのノードを選択し、[ 委任 ] タブを選択し、[ GPO のリンク] を選択し、[ 追加] を選択し、アクセス許可を割り当てるユーザーまたはグループを選択します。

AGPM のインストールと構成の手順

AGPM をインストールして構成するには、次の手順を完了する必要があります。

手順 1: AGPM サーバーをインストールする

手順 2: AGPM クライアントをインストールする

手順 3: AGPM サーバー接続を構成する

手順 4: 電子メール通知を構成する

手順 5: アクセスを委任する

手順 1: AGPM サーバーをインストールする

この手順では、AGPM サービスを実行するメンバー サーバーまたはドメイン コントローラーに AGPM サーバーをインストールし、アーカイブを構成します。 すべての AGPM 操作は、この Windows サービスを通じて管理され、サービスの資格情報で実行されます。 AGPM サーバーによって管理されるアーカイブは、そのサーバーまたは同じフォレスト内の別のサーバーでホストできます。

AGPM サービスをホストするコンピューターに AGPM サーバーをインストールするには

  1. Domain Admins グループのメンバーであるアカウントでサインインします。

  2. Microsoft Desktop Optimization Pack CD を起動し、画面の指示に従って [詳細なグループ ポリシー管理 - サーバー] を選択します。

  3. [ ようこそ ] ダイアログ ボックスで、[ 次へ] を選択します。

  4. [ Microsoft ソフトウェア ライセンス条項 ] ダイアログ ボックスで、条項に同意し、[ 次へ] を選択します。

  5. [ アプリケーション パス ] ダイアログ ボックスで、AGPM サーバーをインストールする場所を選択します。 AGPM サーバーがインストールされているコンピューターが AGPM サービスをホストし、アーカイブを管理します。 [次へ] を選択します。

  6. [ アーカイブ パス ] ダイアログ ボックスで、AGPM サーバーに関連するアーカイブの場所を選択します。 アーカイブ パスは、AGPM サーバーまたはその他の場所のフォルダーを指すことができます。 ただし、この AGPM サーバーによって管理されているすべての GPO と履歴データを格納するのに十分な領域を持つ場所を選択する必要があります。 [次へ] を選択します。

  7. [ AGPM サービス アカウント ] ダイアログ ボックスで、AGPM サービスを実行するサービス アカウントを選択し、[ 次へ] を選択します。

    このアカウントは、Domain Admins グループのメンバーであるか、最小特権構成の場合は、AGPM サーバーによって管理される各ドメイン内の次のグループである必要があります。

    • グループ ポリシー作成者の所有者

    • バックアップ演算子

    このアカウントは、AGPM サーバー コンピューター上のローカル管理者グループのメンバーである必要があります。 これは、正常に処理するために必要です

    さらに、このアカウントには、次のフォルダーのフル コントロールアクセス許可が必要です。

    • AGPM アーカイブ フォルダー。ローカル ドライブにインストールされている場合、AGPM Server のインストール中にこのアクセス許可が自動的に付与されます。

    • ローカル システムの一時フォルダー (通常は %windir%\temp)。

  8. [ アーカイブ所有者 ] ダイアログ ボックスで、AGPM 管理者 (フル コントロール) ロールを割り当てるアカウントまたはグループを選択します。 AGPM 管理者は、AGPM の役割とアクセス許可を他のグループ ポリシー管理者に割り当てることができ、後で AGPM 管理者の役割を追加のグループ ポリシー管理者に割り当てることができます。 このシナリオでは、AGPM 管理者ロールで使用するアカウントを選択します。 [次へ] を選択します。

  9. [ ポート構成 ] ダイアログ ボックスで、AGPM サービスがリッスンするポートを入力します。 手動でポート例外を構成するか、規則を使用してポート例外を構成しない限り、[ファイアウォールにポート例外を追加する] チェック ボックスをオフにしないでください。 [次へ] を選択します。

  10. [ 言語 ] ダイアログ ボックスで、AGPM Server 用にインストールする 1 つ以上の表示言語を選択します。

  11. [ インストール] を選択し、[ 完了] を選択してセットアップ ウィザードを終了します。

    注意
    オペレーティング システムの 管理ツール とサービスを使用して AGPM サービス の設定を変更しないでください。 これを行うと、AGPM サービスの起動を妨げる可能性があります。 サービスの設定を変更する方法については、「高度なグループ ポリシー管理のヘルプ」を参照してください。

手順 2: AGPM クライアントをインストールする

各グループ ポリシー管理者 (GPO を作成、編集、展開、レビュー、または削除するユーザー) は、GPO の管理に使用するコンピューターに AGPM クライアントがインストールされている必要があります。 GPO 管理タスクの多くを実行するために使用する変更制御ノードは、AGPM クライアントをインストールした場合にのみ、グループ ポリシー管理コンソールに表示されます。 このシナリオでは、少なくとも 1 台のコンピューターに AGPM クライアントをインストールします。 管理を実行しないエンド ユーザーのコンピューターに AGPM クライアントグループ ポリシーインストールする必要はありません。

グループ ポリシー管理者のコンピューターに AGPM クライアントをインストールするには

  1. Microsoft Desktop Optimization Pack CD を起動し、画面の指示に従って [詳細なグループ ポリシー管理 - クライアント] を選択します。

  2. [ ようこそ ] ダイアログ ボックスで、[ 次へ] を選択します。

  3. [ Microsoft ソフトウェア ライセンス条項 ] ダイアログ ボックスで、条項に同意し、[ 次へ] を選択します。

  4. [ アプリケーション パス ] ダイアログ ボックスで、AGPM クライアントをインストールする場所を選択します。 [次へ] を選択します。

  5. [ AGPM サーバー ] ダイアログ ボックスで、AGPM サーバーの DNS 名または IP アドレスと、接続先のポートを入力します。 AGPM サービスの既定のポートは 4600 です。 手動でポート例外を構成するか、規則を使用してポート例外を構成しない限り、[ファイアウォール経由で Microsoft 管理コンソールを許可する] チェック ボックスをオフにしないでください。 [次へ] を選択します。

  6. [ 言語 ] ダイアログ ボックスで、AGPM クライアント用にインストールする 1 つ以上の表示言語を選択します。

  7. [ インストール] を選択し、[ 完了] を選択してセットアップ ウィザードを終了します。

手順 3: AGPM サーバー接続を構成する

AGPM は、制御された各グループ ポリシー オブジェクト (GPO) のすべてのバージョン、つまり AGPM が変更制御を提供する各 GPO を中央アーカイブに格納します。 これにより、グループ ポリシー管理者は、展開されている各 GPO のバージョンにすぐに影響を与えることなく、GPO をオフラインで表示および変更できます。

この手順では、AGPM サーバー接続を構成し、すべてのグループ ポリシー管理者が同じ AGPM サーバーに接続していることを確認します。 (複数の AGPM サーバーを構成する方法については、「高度なグループ ポリシー管理のヘルプ」を参照してください)。

すべてのグループ ポリシー管理者に AGPM サーバー接続を構成するには

  1. AGPM クライアントをインストールしたコンピューターで、アーカイブ所有者として選択したユーザー アカウントでサインインします。 このユーザーには、AGPM 管理者 (フル コントロール) の役割があります。

  2. [スタート] を選択し、[管理ツール] をポイントし、[グループ ポリシー管理] を選択して GPMC を開きます。

  3. すべてのグループ ポリシー管理者に適用される GPO を編集します。

  4. [グループ ポリシー管理エディター] ウィンドウで、[ユーザーの構成]、[ポリシー]、[管理用テンプレート]、[Windows コンポーネント]、[AGPM] をダブルクリックします。

  5. 詳細ウィンドウで、[ AGPM: 既定の AGPM サーバー (すべてのドメイン) を指定する] をダブルクリックします。

  6. [ プロパティ ] ウィンドウで [ 有効] を選択し、アーカイブをホストしているサーバーの DNS 名または IP アドレスとポート ( server.contoso.com:4600 など) を入力します。 既定では、AGPM サービスではポート 4600 が使用されます。

  7. [OK] を選択し、[グループ ポリシー管理エディター] ウィンドウを閉じます。 グループ ポリシーが更新されると、AGPM サーバー接続がグループ ポリシー管理者ごとに構成されます。

手順 4: 電子メール通知を構成する

AGPM 管理者 (フル コントロール) として、エディターが GPO の作成、展開、または削除を試みたときに、要求を含む電子メール メッセージを送信する承認者と AGPM 管理者の電子メール アドレスを指定します。 また、これらのメッセージの送信元の別名も決定します。

AGPM の電子メール通知を構成するには

  1. グループ ポリシー管理エディターで、[コントロールの変更] フォルダーに移動します

  2. 詳細ウィンドウで、[ ドメイン委任 ] タブを選択します。

  3. [ 差出人の電子メール アドレス ] フィールドに、通知を送信する AGPM の電子メール エイリアスを入力します。

  4. [ 宛先電子メール アドレス ] フィールドに、承認者ロールを割り当てるユーザー アカウントの電子メール アドレスを入力します。

  5. [ SMTP サーバー ] フィールドに、有効な SMTP メール サーバーを入力します。

  6. [ ユーザー名 ] フィールドと [ パスワード ] フィールドに、SMTP サービスにアクセスできるユーザーの資格情報を入力します。 [適用] を選択します。

手順 5: アクセスを委任する

AGPM 管理者 (フル コントロール) として、GPO へのドメイン レベルのアクセスを委任し、各グループ ポリシー管理者のアカウントにロールを割り当てます。

また、ドメイン レベルではなく GPO レベルでアクセスを委任することもできます。 詳細については、「高度なグループ ポリシー管理のヘルプ」を参照してください。

重要

GPO へのアクセスの AGPM 管理を回避するために使用できないように、グループ ポリシー Creator Owners グループのメンバーシップを制限する必要があります。 (グループ ポリシー管理コンソールで、GPO を管理するフォレストとドメイン内のオブジェクトグループ ポリシー選択し、[委任] を選択し、organizationのニーズに合わせて設定を構成します)。

ドメイン全体のすべての GPO へのアクセスを委任するには

  1. [ドメイン委任] タブで、[追加] ボタンを選択し、承認者として機能するグループ ポリシー管理者のユーザー アカウントを選択し、[OK] を選択します

  2. [ グループの追加] または [ユーザー ] ダイアログ ボックスで、[ 承認者 ] ロールを選択してそのロールをアカウントに割り当て、[OK] を選択 します。 (このロールにはレビュー担当者ロールが含まれます)。

  3. [追加] ボタンを選択し、エディターとして機能するグループ ポリシー管理者のユーザー アカウントを選択し、[OK] を選択します

  4. [ グループまたはユーザーの追加 ] ダイアログ ボックスで、 その ロールをアカウントに割り当てるエディター ロールを選択し、[ OK] を選択します。 (このロールにはレビュー担当者ロールが含まれます)。

  5. [追加] ボタンを選択し、レビュー担当者として機能するグループ ポリシー管理者のユーザー アカウントを選択し、[OK] を選択します

  6. [ グループまたはユーザーの追加 ] ダイアログ ボックスで、 レビュー担当者 ロールを選択して、そのロールのみをアカウントに割り当てます。

GPO を管理する手順

AGPM を使用して GPO を作成、編集、確認、デプロイするには、次の手順を実行する必要があります。 さらに、テンプレートを作成し、GPO を削除し、削除された GPO を復元します。

手順 1: GPO を作成する

手順 2: GPO を編集する

手順 3: GPO を確認して展開する

手順 4: テンプレートを使用して GPO を作成する

手順 5: GPO を削除して復元する

手順 1: GPO を作成する

複数のグループ ポリシー管理者が存在する環境では、エディター ロールを持つユーザーは、新しい GPO の作成を要求できます。 ただし、その要求は、承認者ロールを持つユーザーによって承認される必要があります。

この手順では、エディター ロールを持つアカウントを使用して、新しい GPO の作成を要求します。 承認者ロールを持つアカウントを使用して、この要求を承認して GPO を作成します。

AGPM を使用して新しい GPO の作成と管理を要求するには

  1. AGPM クライアントをインストールしたコンピューターで、AGPM でエディター ロールが割り当てられているユーザー アカウントでサインインします。

  2. グループ ポリシー管理コンソール ツリーで、GPO を管理するフォレストとドメインで [制御の変更] を選択します。

  3. [制御の変更] ノードを右選択し、[新しい制御された GPO] を選択します。

  4. [ 新しい制御された GPO ] ダイアログ ボックスで、次の操作を行います。

    1. 要求のコピーを受信するには、[ Cc ] フィールドに電子メール アドレスを入力します。

    2. 新しい GPO の名前として 「MyGPO 」と入力します。

    3. 新しい GPO のコメントを入力します。

    4. [ ライブ作成 ] を選択すると、承認された直後に新しい GPO が運用環境に展開されます。 [送信] を選びます。

  5. [AGPM 進行状況] ウィンドウに全体的な進行状況が完了したことを示す場合は、[閉じる] を選択します。 [ 保留中] タブに新しい GPO が表示されます。

GPO を作成するための保留中の要求を承認するには

  1. AGPM クライアントをインストールしたコンピューターで、AGPM で承認者の役割を持つユーザー アカウントでサインインします。

  2. アカウントの電子メール受信トレイを開き、AGPM エイリアスから GPO の作成を求めるエディターの要求を含む電子メール メッセージを受信したことを確認します。

  3. グループ ポリシー管理コンソール ツリーで、GPO を管理するフォレストとドメインで [制御の変更] を選択します。

  4. [ コンテンツ ] タブで、[ 保留中 ] タブを選択して、保留中の GPO を表示します。

  5. [MyGPO] を右選択し、[承認] を選択します。

  6. [ はい ] を選択して承認を確認し、GPO を [ 制御] タブに移動します。

手順 2: GPO を編集する

GPO を使用してコンピューターまたはユーザーの設定を構成し、多くのコンピューターまたはユーザーに展開できます。 この手順では、エディター ロールを持つアカウントを使用して、アーカイブから GPO をチェックし、GPO をオフラインで編集し、編集した GPO をアーカイブにチェックし、GPO の運用環境への展開を要求します。 このシナリオでは、パスワードが 8 文字以上であることを要求するように GPO の設定を構成します。

編集のためにアーカイブから GPO をチェックするには

  1. AGPM クライアントをインストールしたコンピューターで、AGPM のエディターの役割を持つユーザー アカウントでサインインします。

  2. グループ ポリシー管理コンソール ツリーで、GPO を管理するフォレストとドメインで [制御の変更] を選択します。

  3. 詳細ウィンドウの [ コンテンツ ] タブで、[ 制御] タブを選択して、制御された GPO を表示します。

  4. [MyGPO] を右選択し、[チェックアウト] を選択します。

  5. チェックアウト中に GPO の履歴に表示するコメントを入力し、[ OK] を選択します

  6. [AGPM 進行状況] ウィンドウに全体的な進行状況が完了したことを示す場合は、[閉じる] を選択します。 [ 制御済 み] タブで、GPO の状態が チェックアウト済みとして識別されます。

GPO をオフラインで編集し、パスワードの最小長を構成するには

  1. [制御] タブで[MyGPO] を右選択し、[編集] を選択して [グループ ポリシー管理エディター] ウィンドウを開き、GPO のオフライン コピーを変更します。 このシナリオでは、パスワードの最小長を構成します。

    1. [コンピューターの構成] で、[ポリシー]、[Windows 設定]、[セキュリティ設定]、[アカウント ポリシー]、および [パスワード ポリシー] をダブルクリックします。

    2. 詳細ウィンドウで、[ 最小パスワードの長さ] をダブルクリックします。

    3. [プロパティ] ウィンドウで、[このポリシー設定のチェックを定義する] ボックスを選択し、文字数を 8 に設定し、[OK] を選択します

  2. [グループ ポリシー管理エディター] ウィンドウを閉じます。

GPO をアーカイブにチェックするには

  1. [制御] タブで、[MyGPO] を右選択し、[チェックイン] を選択します。

  2. コメントを入力し、[OK] を選択します

  3. [AGPM 進行状況] ウィンドウに全体的な進行状況が完了したことを示す場合は、[閉じる] を選択します。 [ 制御済 み] タブで、GPO の状態が チェックイン済みとして識別されます。

運用環境への GPO の展開を要求するには

  1. [ 制御済 み] タブで、[ MyGPO ] を右選択し、[デプロイ] を選択 します

  2. このアカウントは承認者または AGPM 管理者ではないので、デプロイの要求を送信する必要があります。 要求のコピーを受信するには、[ Cc ] フィールドに電子メール アドレスを入力します。 GPO の履歴に表示するコメントを入力し、[送信] を選択 します

  3. [AGPM 進行状況] ウィンドウに全体的な進行状況が完了したことを示す場合は、[閉じる] を選択します。 [保留中] タブの GPO の一覧に MyGPO が表示されます。

手順 3: GPO を確認して展開する

この手順では、承認者として機能し、レポートを作成し、GPO の設定と設定の変更を分析して、承認する必要があるかどうかを判断します。 GPO を評価したら、運用環境に展開し、GPO をドメインまたは組織単位 (OU) にリンクします。 GPO は、そのドメインまたは OU 内のコンピューターのグループ ポリシーが更新されたときに有効になります。

GPO の設定を確認するには

  1. AGPM クライアントをインストールしたコンピューターで、AGPM で承認者の役割が割り当てられているユーザー アカウントでサインインします。 レビュー担当者ロールを持つグループ ポリシー管理者は、他のすべてのロールに含まれており、GPO の設定を確認できます。

  2. アカウントの電子メール受信トレイを開き、AGPM エイリアスから GPO の展開を求めるエディターの要求を含む電子メール メッセージを受信したことを確認します。

  3. グループ ポリシー管理コンソール ツリーで、GPO を管理するフォレストとドメインで [制御の変更] を選択します。

  4. 詳細ウィンドウの [ コンテンツ ] タブで、[ 保留中 ] タブを選択します。

  5. MyGPO をダブルクリックして履歴を表示します。

  6. MyGPO の最新バージョンの設定を確認します。

    1. [ 履歴 ] ウィンドウで、最新のタイム スタンプを含む GPO バージョンを右選択し、[ 設定] を選択し、[ HTML レポート ] を選択して GPO の設定の概要を表示します。

    2. Web ブラウザーで、[ すべて表示 ] を選択して、GPO 内のすべての設定を表示します。 ブラウザーを閉じます。

  7. MyGPO の最新バージョンを、アーカイブにチェックインした最初のバージョンと比較します。

    1. [ 履歴 ] ウィンドウで、最新のタイム スタンプを含む GPO バージョンを選択します。 Ctrl キーを押し、 コンピューター のバージョンが *ではない \最も古い GPO バージョンを選択します。

    2. [ 相違点 ] ボタンを選択します。 [アカウント ポリシー/パスワード ポリシー] セクションは緑色で強調表示され、その前に [+] が付きます。 これは、設定が GPO の後者のバージョンでのみ構成されていることを示します。

    3. [ アカウント ポリシー/パスワード ポリシー] を選択します。 [最小パスワード長] 設定も緑色で強調表示され、[+] の前に表示され、GPO の後者のバージョンでのみ構成されていることを示します。

    4. Web ブラウザーを閉じます。

GPO を運用環境に展開するには

  1. [ 保留中 ] タブで、[ MyGPO ] を右選択し、[ 承認] を選択します。

  2. GPO の履歴に含めるコメントを入力します。

  3. [ はい] を選択します[AGPM 進行状況] ウィンドウに全体的な進行状況が完了したことを示す場合は、[閉じる] を選択します。 GPO は運用環境に展開されます。

GPO をドメインまたは組織単位にリンクするには

  1. GPMC で、構成した GPO を適用するドメインまたは組織単位 (OU) を右選択し、[ 既存の GPO のリンク] を選択します。

  2. [ GPO の選択 ] ダイアログ ボックスで、[ MyGPO] を選択し、[ OK] を選択します

手順 4: テンプレートを使用して GPO を作成する

この手順では、エディター ロールを持つアカウントを使用してテンプレートを作成して使用します。 このテンプレートは、新しい GPO を作成するための開始点として使用する GPO の静的バージョンです。 テンプレートは編集できませんが、テンプレートに基づいて新しい GPO を作成できます。 テンプレートは、同じポリシー設定の多くを含む複数の GPO をすばやく作成する場合に便利です。

既存の GPO に基づいてテンプレートを作成するには

  1. AGPM クライアントをインストールしたコンピューターで、AGPM のエディターの役割が割り当てられているユーザー アカウントでサインインします。

  2. グループ ポリシー管理コンソール ツリーで、GPO を管理するフォレストとドメインで [制御の変更] を選択します。

  3. 詳細ウィンドウの [ コンテンツ ] タブで、[ 制御 ] タブを選択します。

  4. [MyGPO] を右選択し、[テンプレートとして保存] を選択して、MyGPO 内のすべての設定を組み込んだテンプレートを作成します。

  5. テンプレートの名前とコメントとして 「MyTemplate 」と入力し、[OK] を選択します

  6. [AGPM 進行状況] ウィンドウに全体的な進行状況が完了したことを示す場合は、[閉じる] を選択します。 [テンプレート] タブに新しい テンプレートが 表示されます。

AGPM を使用して新しい GPO の作成と管理を要求するには

  1. [ 制御] タブを選択します。

  2. [制御の変更] ノードを右選択し、[新しい制御された GPO] を選択します。

  3. [ 新しい制御された GPO ] ダイアログ ボックスで、次の操作を行います。

    1. 要求のコピーを受信するには、[ Cc ] フィールドに電子メール アドレスを入力します。

    2. 新しい GPO の名前として 「MyOtherGPO 」と入力します。

    3. 新しい GPO のコメントを入力します。

    4. [ ライブ作成 ] を選択すると、承認された直後に新しい GPO が運用環境に展開されます。

    5. [ GPO テンプレートから] で、[ MyTemplate] を選択します。 [送信] を選びます。

  4. [AGPM 進行状況] ウィンドウに全体的な進行状況が完了したことを示す場合は、[閉じる] を選択します。 [ 保留中] タブに新しい GPO が表示されます。

手順 1: GPO の作成で行ったように、承認者の役割が割り当てられているアカウントを使用して、GPO を作成するための保留中の要求を承認します。 MyTemplate には、MyGPO で構成したすべての設定が組み込まれています。 MyOtherGPO は MyTemplate を使用して作成されたため、最初は MyTemplate が作成された時点で MyGPO に含まれていたすべての設定が含まれます。 これを確認するには、MyOtherGPO と MyTemplate を比較する差分レポートを生成します。

編集のためにアーカイブから GPO をチェックするには

  1. AGPM クライアントをインストールしたコンピューターで、AGPM のエディターの役割が割り当てられているユーザー アカウントでサインインします。

  2. [MyOtherGPO] を右選択し、[チェックアウト] を選択します。

  3. チェックアウト中に GPO の履歴に表示するコメントを入力し、[ OK] を選択します

  4. [AGPM 進行状況] ウィンドウに全体的な進行状況が完了したことを示す場合は、[閉じる] を選択します。 [ 制御済 み] タブで、GPO の状態が チェックアウト済みとして識別されます。

GPO をオフラインで編集し、アカウントロックアウト期間を構成するには

  1. [制御済み] タブで、[MyOtherGPO] を右選択し、[編集] を選択して [グループ ポリシー管理エディター] ウィンドウを開き、GPO のオフライン コピーを変更します。 このシナリオでは、パスワードの最小長を構成します。

    1. [コンピューターの構成] で、[ポリシー]、[Windows 設定]、[セキュリティ設定]、[アカウント ポリシー]、[アカウント ロックアウト ポリシー] をダブルクリックします。

    2. 詳細ウィンドウで、[ アカウント ロックアウト期間] をダブルクリックします。

    3. [プロパティ] ウィンドウで、[このポリシー設定を定義する] をチェックし、期間を 30 分に設定し、[OK] を選択します

  2. [グループ ポリシー管理エディター] ウィンドウを閉じます。

手順 2: GPO の編集で MyGPO の場合と同様に、MyOtherGPO をアーカイブにチェックインし、デプロイを要求します。 MyOtherGPO と MyGPO、または MyTemplate を比較するには、差分レポートを使用します。 レビュー担当者ロール (AGPM 管理者 [フル コントロール]、承認者、エディター、またはレビュー担当者) を含むアカウントは、レポートを生成できます。

GPO を別の GPO とテンプレートと比較するには

  1. MyGPO と MyOtherGPO を比較するには:

    1. [ 制御] タブで、[ MyGPO] を選択します。 Ctrl キーを押し、[ MyOtherGPO] を選択します。

    2. [MyOtherGPO] を右選択し、[相違点] をポイントして、[HTML レポート] を選択します。

  2. MyOtherGPO と MyTemplate を比較するには:

    1. [ 制御] タブで、[ MyOtherGPO] を選択します。

    2. [MyOtherGPO] を右選択し、[相違点] をポイントして、[テンプレート] を選択します。

    3. [ MyTemplateHTML レポート] を選択し、[ OK] を選択します

手順 5: GPO を削除して復元する

この手順では、GPO を削除する承認者として機能します。

GPO を削除するには

  1. AGPM クライアントをインストールしたコンピューターで、承認者の役割が割り当てられているユーザー アカウントでサインインします。

  2. グループ ポリシー管理コンソール ツリーで、GPO を管理するフォレストとドメインで [制御の変更] を選択します。

  3. [ コンテンツ ] タブで、[ 制御] タブを選択して、制御された GPO を表示します。

  4. [MyGPO] を右選択し、[削除] を選択します。 [ アーカイブと運用環境から GPO を削除 する] を選択して、アーカイブ内のバージョンと運用環境で展開されたバージョンの GPO の両方を削除します。

  5. GPO の監査証跡に表示するコメントを入力し、[ OK] を選択します

  6. [AGPM 進行状況] ウィンドウに全体的な進行状況が完了したことを示す場合は、[閉じる] を選択します。 GPO は [ 管理済 み] タブから削除され、[ ごみ箱 ] タブに表示され、復元または破棄できます。

必要な GPO を削除した後に検出される場合があります。 この手順では、承認者として機能し、削除された GPO を復元します。

削除された GPO を復元するには

  1. [ コンテンツ ] タブで、[ ごみ箱 ] タブを選択して、削除された GPO を表示します。

  2. [MyGPO] を右選択し、[復元] を選択します。

  3. GPO の履歴に表示するコメントを入力し、[ OK] を選択します

  4. [AGPM 進行状況] ウィンドウに全体的な進行状況が完了したことを示す場合は、[閉じる] を選択します。 GPO は [ ごみ箱 ] タブから削除され、[ 制御 済み] タブに表示されます。

    GPO をアーカイブに復元しても、運用環境に自動的に再デプロイされることはありません。 GPO を運用環境に戻すには、「 手順 3: GPO を確認して展開する」のように GPO を展開します

GPO を編集して展開した後、GPO に対する最近の変更によって問題が発生している可能性があります。 この手順では、承認者として機能し、以前のバージョンの GPO にロールバックします。 GPO の履歴内の任意のバージョンにロールバックできます。 コメントとラベルを使用して、既知の適切なバージョンと特定の変更が行われたタイミングを特定できます。

以前のバージョンの GPO にロールバックするには

  1. [ コンテンツ ] タブで、[ 制御] タブを選択して、制御された GPO を表示します。

  2. MyGPO をダブルクリックして履歴を表示します。

  3. デプロイするバージョンを右選択し、[ デプロイ] を選択し、[ はい] を選択します。

  4. [進行状況] ウィンドウに全体的な進行状況が完了したことを示す場合は、[閉じる] を選択します。 [ 履歴 ] ウィンドウで、[ 閉じる] を選択します。

    再デプロイされたバージョンが目的のバージョンであることを確認するには、2 つのバージョンの相違レポートを調べます。 GPO の [ 履歴 ] ウィンドウで、2 つのバージョンを選択し、それらを右クリックし、[ 相違点] をポイントして、[ HTML レポート ] または [ XML レポート] を選択します。