グループ ポリシーによるソフトウェアの配布
このシナリオでは、Windows 2000 管理ツールを発行する "Admin Tools" GPO を Admins OU に適用し、Admins OU 内に含まれるグループだけを対象にするように、 GPO にフィルタを使用します。この対象グループのメンバは、ドメイン内の任意のワークステーションにログオンし、コントロール パネルの [アプリケーションの追加と削除] から管理ツールをインストールできます。
以下の目的のために、このGPOを適用します。
ネットワークの任意の場所で発生する可能性のある問題を管理者が容易にトラブルシューティングできます。
管理セキュリティ グループに [Active Directory ユーザーとコンピュータ] スナップインの利用を許可します。このスナップインは、管理を委任されたオブジェクトを作成、管理するために必要になります。
注意
GPO は、グループにではなく、ユーザーとコンピュータに適用されます。しかし、セキュリティ グループを使用して、GPO の対象になるユーザーおよびコンピュータを定義できます。この手順を "フィルタ" と呼びます。GPO に対してフィルタを使用すると、セキュリティ グループのすべてのメンバに GPO が適用されます。フィルタを使用することによって、サイト、ドメイン、または OU 内のユーザーおよびコンピュータのうち、GPO の適用対象になるユーザーおよびコンピュータを特定できます (その他のユーザーおよびコンピュータは除外されます) 。このシナリオの OU 構造では、IT 管理セキュリティ グループ (たとえば Noam Computer Account Admins) と部門管理セキュリティ グループ (たとえばAccounting Admins) が Admins OU に含まれます。しかし、IT セキュリティ グループの個々のユーザー アカウントは Admins OU に含まれるのに対して、部門管理グループのユーザー アカウントは Users OU に含まれます。"Admins Tools" GPO では、個別の OU に含まれる 2 セットのユーザーを対象にするので、ドメイン レベルで GPO を適用した後、Admins OU に含まれるセキュリティ グループでフィルタを適用する必要があります。GPO にフィルタを使用することによって、Admins OU にのみ GPO を適用できます。
管理者がログオンする任意のワークステーションから管理ツールを利用できるようにするには、以下の 2 つの手順が必要です。
adminpak.msi ファイルのソフトウェア配布ポイントとして機能するファイル共有を作成します。adminpak.msi ファイルには、Windows 2000 管理ツールが含まれます。
Windows 2000 管理ツールを発行する GPO を定義します。
OU 構造を完全に実装すれば、Noam Server Admins セキュリティ グループはネットワーク サーバー上でファイル共有を作成する権限を持ちます。しかし Noam Server Admins は、『グループ ポリシーによるドメインのコンピュータの管理』で説明する GPO を実装するまで、ドメインのサーバーに対する管理権限を取得しません。Group Policy Creator Owners は、既定の設定で GPO を作成する権限を持ちますが、ここで記述した GPO を Admins OU に適用するまで、このグループのメンバが自身のワークステーションから GPO を作成することはできません。したがって、このシナリオの OU 構造の初期セットアップでは、Domain Admins セキュリティ グループのメンバが以下の手順を実行します。
"Admin Tools" GPO のソフトウェア配布ポイントを作成するには
Seattle の Windows 2000 Professional ベースのコンピュータから Administrator として noam.reskit.com にログオンします。
[スタート] メニューから、[プログラム]、[管理のツール] をポイントし、[コンピュータの管理] をクリックします。
[コンピュータの管理 (ローカル) ] を右クリックし、[別のコンピュータへ接続] をクリックします。
[名前] ボックスで、SEA-NA-FP-03 と入力し、[OK] をクリックします。
コンソール ツリーで、[システム ツール] 、 [共有フォルダ] を展開します。
[共有] を右クリックし、[新しいファイルの共有] をクリックします。
[共有するフォルダ] ボックスで、以下のように入力します。
C:\Software Distribution Point
[共有名] ボックスで、以下のように入力します。
Software Distribution Point
[共有の説明] ボックスで、以下のように入力します。
グループ ポリシーによる配布用ソフトウェア
[次へ] をクリックし、[はい] をクリックして共有フォルダを作成します。
[共有フォルダの作成] ダイアログ ボックスで、[Administrators がフル コントロールを持ち、ほかのユーザーは読み取り専用のアクセスを持つ] をクリックします。
[完了] をクリックします。
別の共有フォルダを作成するかどうか尋ねられたら、[いいえ] をクリックします。
[コンピュータの管理] スナップインを閉じます。
注意
adminpak.msi ファイルは、任意の Windows 2000 ベースのサーバーの WINNT\system32 フォルダ、および Windows 2000 リソース キット付属 CD-ROM から利用できます。Software Distribution Point ファイル共有を作成した後、この共有に adminpak.msi ファイルをコピーします。
adminpak.msi ファイルのソフトウェア配布ポイントを作成した後、 Windows 2000 管理ツールを発行する GPO を Admins OU に適用できます。
"Admin Tools" GPO を作成するには
Seattle の Windows 2000 Professional ベースのコンピュータから Administrator として noam.reskit.com にログオンします。
[スタート] メニューから、[プログラム]、[管理のツール] をポイントし、[Active Directory ユーザーとコンピュータ] をクリックします。
noam.reskit.com を展開します。
noam.reskit.com を右クリックし、[プロパティ] をクリックします。
[グループ ポリシー] タブをクリックします。
[新規] をクリックします。
[グループ ポリシー オブジェクトのリンク] 列で、既定の名前である [新しいグループ ポリシー オブジェクト] を Admin Tools に変更します。
[編集] をクリックします。[グループ ポリシー] スナップインが表示されます。
[ユーザーの構成] の [ソフトウェアの設定] を展開します。
[ソフトウェアのインストール] を右クリックして、[新規作成] をポイントし、[パッケージ] をクリックします。[ファイルを開く] ダイアログ ボックスが表示されます。
[sea-na-fp-03] をクリックし、[開く] をクリックします。
[Software Distribution Point] フォルダをクリックし、[開く] をクリックします。
[adminpak.msi] をクリックして、[開く] をクリックします。[ソフトウェアの展開] ダイアログ ボックスが表示されます。
既定の設定である [公開] をそのまま使用して、[OK] をクリックします。
[グループ ポリシー] スナップインで、[Windows 2000 管理ツール] を右クリックし、[プロパティ] をクリックします。
[展開] タブをクリックします。
[展開オプション] で、[管理の対象でなくなったときは、このアプリケーションをアンインストールする] チェック ボックスをオンにします。
このオプションによって、Admins OU から削除されたユーザーまたはグループに GPO が適用されないことが保証されます。
[セキュリティ] タブをクリックし、セキュリティ グループを基準にして GPO にフィルタを適用します。
[追加] をクリックします。
[名前] ボックスで、Admins OU に含まれる管理グループごとに [追加] をクリックします。この管理グループは、以下のとおりです。
Domain Admins
Group Policy Creator Owners
Noam Administrator Account Admins
Noam User Account Admins
Noam Service Account Admins
Noam Computer Account Admins
Noam Server Admins
Noam Help Desk
Boston Admins
Vancouver Admins
Human Resources Admins
Accounting Admins
Finance Admins
Legal Admins
Sales and Support Admins
Engineering Admins
Research and Development Admins
Facilities Admins
Manufacturing Admins
[OK] をクリックします。
[グループ ポリシー] スナップインを閉じます。
[Admin Tools のプロパティ] ダイアログ ボックスで、追加した管理グループごとに以下の作業を行います。
[名前] ボックスで管理グループをクリックします。
[アクセス許可] ボックスで、既定の設定である [読み取り] をそのまま使用します。
[OK] をクリックします。
[noam.reskit.com のプロパティ] ボックスを閉じます。
注意
管理者が、非管理者ユーザーのワークステーションに管理ツールをインストールした場合 (たとえばトラブルシューティングの目的で) 、ログオフする前に管理ツールを削除すべきです。
関連情報
グループ ポリシーによるソフトウェアの配布
関連資料
Windows 2000 リソース キットの詳細については、こちらを参照してください。
注意
このシナリオにおいて、コンピュータおよびデバイスを構成するために使用した手続きは、サンプルとして紹介したものです。実際のネットワークでは、類似したコンピュータおよびデバイスを構成する場合でも、必要になる手順はそれぞれのケースで異なります。さらに各シナリオでは、目的とする機能を実現するために必要な手順だけを示しています。運用ネットワークにおいて必要になる、その他の手順については取り上げていません。すべてのシナリオは、特に表記しない限り Windows 2000 を使用してテストされています。また、ブラウザとして Microsoft Internet Explorer 5 以上を推奨します。