グループ ポリシー管理コンソール (GPMC) は、組織内の複数のフォレストにわたるグループ ポリシーのすべての側面の統合された管理を提供します。 GPMC を使用すると、ネットワーク内のすべてのグループ ポリシー オブジェクト (GPO)、Windows Management Instrumentation (WMI) フィルター、およびグループ ポリシー関連のアクセス許可を管理できます。 GPMC は、GPMC インターフェイスから使用できるすべてのグループ ポリシー管理ツールを使用して、グループ ポリシーへのプライマリ アクセス ポイントと考えてください。
GPMC は、グループ ポリシーと MMC ベースのユーザー インターフェイス (UI) を管理するためのスクリプト可能なインターフェイスのセットで構成されます。 GPMC は、Windows Server とリモート サーバー管理ツールに含まれています。
GPMC には、次の機能があります。
- GPO のインポートとエクスポート。
- GPO をコピーして貼り付ける。
- GPO のバックアップと復元。
- 既存の GPO を検索します。
- レポート機能。
- グループ ポリシー モデリング。 運用環境に実装する前に、グループ ポリシーの展開を計画するためのポリシーの結果セット (RsoP) データをシミュレートできます。
- グループ ポリシーの結果。 GPO の操作を表示したり、グループ ポリシーの展開のトラブルシューティングを行うことができます。
- ドメイン間およびフォレスト間での GPO のインポートとコピーを容易にする移行テーブルのサポート。 移行テーブルは、ソース GPO のユーザー、グループ、コンピューター、および汎用名前付け規則 (UNC) パスへの参照を、移行先 GPO の新しい値にマップするファイルです。
- 保存および印刷可能な HTML レポートで提供される GPO 設定と RSoP データの報告。
- GPMC 内で使用できるすべての操作を許可するスクリプト可能なインターフェイス。 スクリプトを使用して GPO の個々のポリシー設定を編集することはできません。
[前提条件]
GPMC を使用するには、次の前提条件を満たす必要があります。
- Windows Server または Windows クライアント オペレーティング システムを実行しているコンピューターにグループ ポリシー管理機能をインストールします。
- GPO の 設定の編集、 削除、およびセキュリティアクセス許可の 変更 を行います。
- GPO をリンクするには、そのサイト、ドメイン、または OU に対する 変更 アクセス許可が必要です。 既定では、このアクセス許可を持つのはドメイン管理者とエンタープライズ管理者だけです。
- GPO を特定のサイト、ドメイン、または OU にリンクするアクセス許可を持つユーザーとグループは、GPO のリンク、リンク順序の変更、そのサイト、ドメイン、または OU でのブロック継承の設定を行うことができます。
リンクされていない GPO を作成する
リンクされていない GPO を作成するには、次の手順に従います。
- GPMC を開くには、[ スタート] を選択し、検索ボックスに 「グループ ポリシー管理 」と入力し、[ グループ ポリシー管理] を選択します。
- GPMC コンソール ツリーで、新しいリンクされていない GPO を作成するフォレストとドメインの グループ ポリシー オブジェクト を右クリックします。
- 新規を選択します。
- [新しい GPO] ダイアログ ボックスで、新しい GPO の名前を指定し、[ OK] を選択します。
既存の GPO を編集する
既存の GPO 内のポリシー設定を変更するには、次の手順に従います。
- GPMC コンソール ツリーで、編集する GPO を含むフォレストとドメインのグループ ポリシー オブジェクトを展開します。
- 編集する GPO を右クリックし、[編集] を選択 します。
- グループ ポリシー管理エディターのコンソール ツリーで、必要に応じて項目を展開して、変更するポリシー設定を含むポリシー項目を見つけます。 アイテムを選択して、関連するポリシー設定を詳細ウィンドウに表示します。
- 詳細ウィンドウで、編集するポリシー設定の名前をダブルクリックします。
- [プロパティ] ダイアログ ボックスで、必要に応じてポリシー設定を変更し、[ OK] を選択します。
- 必要な変更が完了したら、グループ ポリシー管理エディターを閉じます。
GPO をリンクする
GPO のポリシー設定をユーザーとコンピューターに適用する主な方法は、GPO を Active Directory のコンテナーにリンクすることです。 GPO は、サイト、ドメイン、組織単位 (OU) の 3 種類のコンテナーにリンクできます。 GPO は、複数の Active Directory コンテナーにリンクできます。
GPO はドメインごとに格納されます。 たとえば、GPO を OU にリンクした場合、GPO はその OU に格納されません。 GPO は、フォレスト内の任意の場所にリンクできるドメインごとのオブジェクトです。 GPMC の UI は、リンクと実際の GPO の区別を明確にするのに役立ちます。
GPMC では、次のいずれかの方法を使用して、既存の GPO を Active Directory コンテナーにリンクできます。
- サイト、ドメイン、または OU 項目を右クリックし、[ 既存の GPO のリンク] を選択します。 この手順では、GPO がドメインに既に存在している必要があります。
- GPO をグループ ポリシー オブジェクト項目の下から、GPO をリンクする OU にドラッグします。 このドラッグ アンド ドロップ機能は、同じドメイン内でのみ機能します。
GPO リンクの順序を変更する
各サイト、ドメイン、OU 内で、リンク順序によって GPO が適用される順序が制御されます。 リンクの優先順位を変更するには、リンクの順序を変更し、リスト内の各リンクを適切な場所に上下に移動します。 番号が最も小さいリンクは、特定のサイト、ドメイン、または OU の優先順位が高くなります。
たとえば、最後に追加した GPO の優先順位を最も高くします。 GPO のリンク順序を 1 のリンク順に調整して、最も高いものにすることができます。 サイト、ドメイン、または OU の GPO リンクのリンク順序を変更するには、GPMC を使用します。
サイト、ドメイン、または OU から GPO のリンクを解除する
GPO のリンクを解除すると、リンクされた GPO が最初にリンクされた場所に適用されなくなります。 GPO のリンクを解除するには:
- GPMC コンソール ツリーで、リンクを解除する GPO を含むフォレストとドメインのグループ ポリシー オブジェクトを展開します。
- リンクを解除する GPO を選択します。
- 詳細ウィンドウで、[ スコープ ] タブを選択します。
- [リンク] セクションで、削除するリンクを含む Active Directory オブジェクトを右クリックし、[ リンクの削除] を選択します。
GPO へのリンクの削除は、GPO の削除とは異なります。 GPO リンクの場合、GPO は引き続き使用できます。 他のドメインからその GPO への他のリンクも残ります。 GPO を削除すると、選択したドメイン内の GPO とその GPO へのすべてのリンクを削除するように求められます。 GPO とすべてのリンクを実行しても、他のドメインから GPO へのリンクは削除されません。 この GPO をこのドメインから削除する前に、他のドメインの GPO へのリンクを必ず削除してください。
GPO でユーザー構成またはコンピューターの構成設定を無効にする
ユーザー関連のポリシー設定のみを設定する GPO を作成するには、GPO のコンピューター構成設定を無効にします。 GPO のコンピューター構成設定を評価する必要がないため、コンピューターの構成を無効にすると、コンピューターの起動時間が少し短縮されます。 コンピューター関連のポリシー設定のみを構成する場合は、GPO のユーザー構成設定を無効にします。 ユーザー構成またはコンピューターの構成を無効にするには:
- GPMC コンソール ツリーで、フォレスト内のグループ ポリシー オブジェクトと、無効にするポリシー設定を含む GPO を含むドメインを展開します。
- 無効にするポリシー設定が含まれている GPO を右クリックします。
- GPO の状態の一覧で、次のいずれかのオプションを選択します。
- すべてのポリシー設定が無効になっている
- コンピューターの構成設定が無効になっている
- 有効 (デフォルト)
- ユーザー構成設定が無効になっている