GPO とは
Windows Server の初期バージョン以降、Windows オペレーティング システムのグループ ポリシー機能は、管理者が設定を一元的に定義し、組織全体のコンピューターに展開できるインフラストラクチャを提供してきました。
そのため、Contoso の IT スタッフは、GPO 設定を使用して、構成全体を定義、適用、更新できます。 GPO 設定を使用すると、組織内のサイト全体またはドメインに影響を与えたり、フォーカスを 1 つの OU に絞り込んだりすることができます。
ヒント
セキュリティ グループのメンバーシップと物理コンピューターの属性に基づくフィルター処理により、Contoso は GPO 設定のターゲットをさらに定義することもできます。
グループ ポリシーとは
グループ ポリシーは、AD DS、ドメイン コントローラー、および各 Windows Server とクライアントに存在するコンポーネントを含む Windows オペレーティング システムのフレームワークです。 これらのコンポーネントを使用すると、AD DS ドメインの構成を管理できます。 GPO 内でグループ ポリシー設定を定義します。 GPO は、ユーザーまたはコンピューターの 1 つ以上の構成設定に適用される 1 つ以上のポリシー設定を含むオブジェクトです。
グループ ポリシーは強力な管理ツールです。 GPO を使用して、多数のユーザーやコンピューターにさまざまな設定をプッシュできます。 ローカル コンピューターからドメインまで、さまざまなレベルに適用できるため、これらの設定に正確に集中することもできます。 主に、グループ ポリシーを使用して、ユーザーに構成させたくない設定を構成します。 さらに、グループ ポリシーを使用して、組織単位 (OU) または組織全体のすべてのコンピューター上のデスクトップ環境を標準化できます。 また、グループ ポリシーを使用して、追加のセキュリティを提供したり、システムの詳細設定を構成したり、以降のデモ ユニットで説明するその他の目的で使用したりすることもできます。
![グループ ポリシー管理エディターのスクリーンショット。管理者は、[コンピューターの構成] ノードと [ユーザー構成] ノードを展開して、[ポリシー] フォルダーと [基本設定] フォルダーを表示しました。](../../wwl-windows-server/implement-group-policy-objects/media/m8-group-policy-2-07377f9d.png)
GPO とは
グループ ポリシーの最も細かいコンポーネントは、個々のポリシー設定です。 個々のポリシー設定では、ユーザーがレジストリ編集ツールにアクセスできないようにするポリシー設定など、特定の構成を定義します。 そのポリシー設定を定義してユーザーに適用すると、そのユーザーは Regedit.exeなどのツールを実行できなくなります。
一部の設定は、ユーザー構成設定またはユーザー ポリシーと呼ばれるユーザーに影響し、一部はコンピューターの構成設定またはコンピューター ポリシーと呼ばれるコンピューターに影響します。
重要
設定はグループに直接影響せず、ユーザー オブジェクトとコンピューター オブジェクトにのみ適用されます。
グループ ポリシーはさまざまなポリシー設定を管理し、グループ ポリシー フレームワークは拡張可能です。 グループ ポリシーを使用すると、ほぼすべての構成可能な設定を管理できます。
![グループ ポリシー管理エディターの [自動更新の構成] ダイアログ ボックスのスクリーンショット。この設定は有効になっています。その他の値が表示されます。](../../wwl-windows-server/implement-group-policy-objects/media/m8-group-policy-3-4bb956fe.png)
ポリシー設定を定義するには:
- グループ ポリシー管理エディターで、ポリシー設定を見つけて Enter キーを押します。 ポリシー設定の [プロパティ ] ダイアログ ボックスが表示されます。
- ポリシーの状態を [有効] または [無効] に変更します。 ほとんどのポリシー設定には、未構成、有効、無効の 3 つの状態があります。
- 必要に応じて、追加の値を構成し、完了したら [ OK] を選択します。
GPO には、グループ ポリシー設定が格納されます。 新しい GPO では、すべてのポリシー設定が既定で [未構成] に設定されます。 ポリシー設定を有効または無効にすると、GPO を適用するユーザーとコンピューターの構成が Windows Server によって変更されます。
注
未 構成 の値に設定を返すと、その既定値に戻ります。
ドメインに新しい GPO を作成するには:
- グループ ポリシー管理で、 グループ ポリシー オブジェクト コンテナーのコンテキスト メニューを右クリックまたはアクセスし、[ 新規] を選択します。
- GPO の構成設定を変更するには、GPO のコンテキスト メニューを右クリックまたはアクセスし、[ 編集] を選択します。 グループ ポリシー管理エディター スナップインが開きます。
グループ ポリシー管理エディターには、コンピューターの設定とユーザー設定の間の分割で始まる整理された階層内の GPO で使用できるすべてのポリシー設定が表示されます。コンピューター の構成 ノードと ユーザー構成 ノード。
GPO は、グループ ポリシー オブジェクトという名前のコンテナーに表示されます。 階層の次の 2 つのレベルは、 ポリシー と基本設定という名前 のノードです。 階層を進むと、グループ ポリシー管理エディターには、ノードまたはポリシー設定グループと呼ばれるフォルダーが表示されます。 ポリシー設定はフォルダー内にあります。
スターター GPO とは
スターター GPO をテンプレートとして使用して、グループ ポリシー管理コンソール内に他の GPO を作成できます。 スターター GPO には管理用テンプレートの設定しかありません。 スターター GPO を使用して、ドメインに新しい GPO を作成するための開始点を提供できます。 スターター GPO には、環境のベスト プラクティスである特定の設定が既にある場合があります。 スターター GPO をエクスポートしてキャビネット (.cab) ファイルにインポートして、他の環境への配布を簡単かつ効率的にすることができます。
注
グループ ポリシー管理コンソールは、スターター GPO を STARTERGPO という名前のフォルダー ( SYSVOL) に格納します。
注
SYSVOL は、ドメイン コントローラー上の共有フォルダーです。
Microsoft には、Windows クライアント オペレーティング システム用の事前構成済みのスターター GPO が含まれています。 これらのスターター GPO には、クライアント環境の構成に関して Microsoft が推奨するベスト プラクティスを反映した 管理用テンプレート 設定があります。