ドメインベースのグループポリシーオブジェクトを作成して構成する

12 分

GPO を管理するには、次の 2 つの主要なツールを使用します。

グループポリシー管理コンソール
グループポリシー管理エディター

次の表に示すように、Windows PowerShell コマンドレットを使用して、GPO とその設定を管理することもできます。

コマンドレット	説明
`New-GPO`	新しい GPO を作成します。
`New-GPLink`	GPO をサイト、ドメイン、または OU にリンクします。
`Get-GPInheritance`	指定したドメインまたは OU のグループポリシー継承情報を取得します。
`Set-GPInheritance`	指定したドメインまたは組織単位の継承をブロックまたはブロック解除します。
`Get-GPO`	ドメイン内の 1 つの GPO またはすべての GPO を取得します。

ポリシー設定には、[コンピューターの構成] ノードに含まれるコンピューターの設定と、[ユーザーの構成] ノードに含まれるユーザーの設定の、2 つの主要なカテゴリがあります。

[コンピューターの構成] ノードには、ログオンしているユーザーに関係なく、コンピューターに適用される設定が含まれています。コンピューターの設定は、オペレーティングシステムの起動時、バックグラウンド更新の間、およびそれ以降の 90 分から 120 分ごとに適用されます。
[ユーザーの構成] ノードに含まれている設定は、ユーザーがコンピューターにログオンしたとき、バックグラウンド更新の間、およびそれ以降の 90 分から 120 分ごとに適用されます。

[コンピューターの構成] ノードと [ユーザーの構成] ノードには、[ポリシー] ノードと [詳細設定] ノードがあります。

[コンピューターの構成] と [ユーザーの構成] の [ポリシー] ノードには、ポリシー設定を含むフォルダーの階層があります。何千もの設定があるため、このコースでは個々の設定については説明しません。ただし、構成できる設定の種類を確認しておくと役に立ちます。

セキュリティ設定の適用

Windows Server オペレーティングシステムの GPO には、ユーザーとコンピューターの両方に適用できるセキュリティ関連の設定が多数含まれています。たとえば、ドメインのパスワードポリシーや Windows Defender ファイアウォールに対して設定を適用したり、監査や他のセキュリティ設定を構成したりすることができます。また、ユーザー権利の割り当ての完全なセットを構成することもできます。

デスクトップとアプリケーションの設定を管理する

グループポリシーを使用すると、組織内のすべてのユーザーに、デスクトップとアプリケーションの一貫した環境を提供できます。 GPO を使用すると、ユーザー環境の表現に影響を与える各設定を構成できます。また、GPO をサポートする一部のアプリケーションの設定を構成することもできます。

ソフトウェアを展開する

グループポリシーを使用して、ユーザーとコンピューターにソフトウェアを展開できます。グループポリシーを使用すると、.msi 形式で使用可能なすべてのソフトウェアを展開できます。また、ソフトウェアの自動インストールを強制することも、ソフトウェアをコンピューターに展開するかどうかをユーザーに決定させることもできます。

重要

GPO を使用して大きなソフトウェアパッケージを展開することは、組織のコンピューターにアプリケーションを配布するための最も効率的な方法ではない可能性があります。状況によっては、デスクトップコンピューターイメージの一部としてアプリケーションを配布する方が効果的な場合があります。

フォルダーリダイレクトを管理する

[フォルダーのリダイレクト] オプションを使用すると、ユーザーのデータファイルを簡単にバックアップできます。フォルダーをリダイレクトすることで、ユーザーが、サインインしているコンピューターに関係なく、自分のデータにアクセスできるようにすることもできます。さらに、すべてのユーザーのデータをネットワークサーバー上の 1 か所に一元化しながら、これらのフォルダーがユーザーのコンピューターに保存されているのと同様のユーザーエクスペリエンスを提供することもできます。たとえば、ユーザーのドキュメントフォルダーがネットワークサーバー上の共有フォルダーにリダイレクトされるように、フォルダーリダイレクトを構成できます。

ネットワーク設定の構成

グループポリシーを使用すると、クライアントコンピューターのさまざまなネットワーク設定を構成できます。たとえば、ユーザーが事前に定義された認証と暗号化の設定を使用して特定の Wi-Fi ネットワークの SSID にのみ接続することを許可するように、ワイヤレスネットワークの設定を適用することができます。ワイヤード (有線) ネットワークの設定に適用されるポリシーを展開することもできます。一部の Windows サーバーの役割では、グループポリシーを使用して、DirectAccess などのサービスのクライアント側が構成されています。

GPO の適用に関するトラブルシューティング

グループポリシーの継承、フィルター、例外は複雑であり、多くの場合、どのポリシー設定が適用されるかを判断するのは困難です。 RSoP は、GPO のリンク、強制や継承のブロックなどの例外、セキュリティと WMI のフィルターの適用が考慮された、ユーザーまたはコンピューターに適用される GPO の実質的な効果です。

RSoP は、グループポリシー設定の適用の評価、モデル化、トラブルシューティングに使用できるツールのコレクションでもあります。 RSoP を使用すると、ローカルコンピューターまたはリモートコンピューターに対してクエリを実行し、コンピューターおよびコンピューターにログオンしているすべてのユーザーに適用される正確な設定のレポートを取得できます。 RSoP では、OU 間またはサイト間でのオブジェクトの移動や、オブジェクトのグループメンバーシップの変更など、さまざまなシナリオでユーザーまたはコンピューターに適用されることが予想されるポリシー設定をモデル化することもできます。これらの機能により、RSoP はポリシーの競合の管理とトラブルシューティングに役立ちます。 RSoP 分析を実行するために、次のツールが用意されています。

グループポリシーの結果ウィザード。
グループポリシーのモデル作成ウィザード。
GPResult.exe。

デモンストレーション

次の動画では、GPO を作成、構成、適用する方法が実演されています。このプロセスの主な手順は以下のとおりです。

グループポリシー管理コンソールを起動します。
[グループポリシーオブジェクト] コンテナーに移動します。
新しい GPO を作成します。
編集用に GPO を開き、一部のユーザー設定を変更します。
GPO を Contoso.com ドメインにリンクします。
管理者としてクライアントコンピューターにサインインし、ファイアウォール経由でリモートイベントログ管理と WMI を有効にします。
標準のユーザーとしてサインインし、ローカルコンピューターで GPO の効果を確認します。
新しい GPO を作成し、その設定を編集して、OU にリンクします。継承の設定を確認します。
ポリシーがグループのみに適用され、認証されたユーザーには適用されないように、セキュリティフィルターの設定を変更します。
継承とセキュリティフィルターの変更の影響を確認します。

フィードバック

このページはお役に立ちましたか?

ドメイン ベースのグループ ポリシー オブジェクトを作成して構成する