グループ ポリシーを使用すると、Windows Server および Windows クライアント オペレーティング システムを実行しているコンピューターで、ユーザーとコンピューターの設定の構成と設定を管理できます。 グループ ポリシーを使用してユーザーとクライアント コンピューターのグループの構成を定義するだけでなく、サーバー固有の操作とセキュリティの設定を多数構成することで、サーバー コンピューターの管理に役立つグループ ポリシーを使用することもできます。
グループ ポリシーとは
グループ ポリシーは、ファイル システムまたは Active Directory Domain Services (AD DS) のローカルでポリシー設定を表すことができます。 Active Directory (AD) と共に使用すると、グループ ポリシー設定はグループ ポリシー オブジェクト (GPO) に含まれます。 GPO は、ポリシー設定、セキュリティアクセス許可、および管理範囲 (SOM) の仮想コレクションであり、AD のユーザーとコンピューターに適用できます。 GPO は、グループ ポリシー コンテナーとグループ ポリシー テンプレートという 2 つの主要なコンポーネントで構成されます。 グループ ポリシー コンテナーは Active Directory のドメイン パーティションに格納されますが、グループ ポリシー テンプレートは各ドメイン コントローラー (DC) の SYSVOL フォルダーにあります。
これらのコンポーネントは、AD レプリケーションと、ファイル レプリケーション サービス (FRS) または分散ファイル システム レプリケーション (DFSR) を介して DC 間でレプリケートされます。
GPO には、コンピューター設定とユーザー設定の両方の構成が含まれます。 コンピューターの構成では、システム全体が適用され、電源管理やファイアウォール規則などの設定が管理されます。 ユーザー構成は、Internet Explorer の設定やフォルダー リダイレクトなどのオプションを使用して、現在のユーザーにのみ影響します。 GPO は、アプリケーションのスコープを定義するサイト、ドメイン、組織単位 (OU) など、AD 階層内のさまざまなレベルにリンクできます。
ポリシー設定は、コンピューターの起動時とユーザーのサインイン時に適用されます。 グループ ポリシー サービスは、サイト、ドメイン、および OU メンバーシップに基づいて AD にクエリを実行することで、該当する GPO を決定します。 A Client-side extension (CSE) applies the specific settings dictated by the GPOs, managing tasks like registry updates and security configurations. ポリシー設定は、起動時にコンピューターに適用され、サインイン時にユーザーに適用されます。 コンピューターが起動すると、グループ ポリシー サービスは AD をチェックして、どの GPO がリンクされ、コンピューター オブジェクトに適用されているかを判断します。これには、次のものが含まれます。
コンピューターが存在するサイト。
コンピューターがメンバーになっているドメイン。
コンピューターが直接メンバーである親組織単位と、親 OU の上にある他の組織単位。
グループ ポリシーの基本設定では、標準のグループ ポリシーと同様の管理機能が提供され、同じ方法で管理されます。 管理者は、ローカル設定用のローカル グループ ポリシー エディター (gpedit.msc) またはドメイン全体の設定用の AD 関連 MMC スナップイン内のグループ ポリシー オブジェクト エディターを使用して GPO を作成および管理できます。 各 GPO にはグローバル一意識別子 (GUID) があり、ポリシー評価のための AD の階層構造に従います。 効果的なポリシー管理には、AD 内で GPO を作成、変更、リンクする方法を十分に理解することが不可欠です。 GPO は、AD と各 DC の SYSVOL フォルダーの両方に格納されるため、一元的な管理とポリシーの適用が容易になります。
Client-side extensions
グループ ポリシー CSE は、グループ ポリシー インフラストラクチャによって提供される特定のポリシー設定を処理する分離コンポーネントです。 各 CSE は、このデータの詳細を解釈または管理しないグループ ポリシー インフラストラクチャとは無関係に、独自の特定の形式でポリシー データを管理および格納します。 グループ ポリシーの主な機能は、コンピューターに設定を配信することです。各 CSE は、複数のグループ ポリシー オブジェクトからポリシー設定の一部を適用します。
ライブラリ システムとしてのグループ ポリシー インフラストラクチャを想像してみてください。 ライブラリ システムは、書籍 (またはデータ) を管理し、さまざまなブランチ (コンピューター) に配信します。 ライブラリは、各本の内容を理解する必要はありません。それは単に正しい本が右の枝に到達することを保証します。 この例えでは、グループ ポリシー サービスはライブラリ システムのようなもので、コンテンツを知らずに書籍を配信します。 さまざまなポリシー設定は、さまざまなジャンルや書籍のコレクションのようなものです。 グループ ポリシー CSE は、各ブランチのライブラリアンを表し、特定のコレクションを処理する方法を知っています。 各ライブラリアンがコレクションを管理する機能を備えているのと同様に、各 CSE は特定のポリシー設定情報を読み取り、それらの設定内で検出された内容に基づいてアクションを実行します。
グループ ポリシーのしくみ
コンピューターの場合、グループ ポリシーはコンピューターの起動時に適用されます。 ユーザーの場合、サインイン時にグループ ポリシーが適用されます。 このポリシーの初期処理は、フォアグラウンド ポリシー アプリケーションとも呼ばれます。
グループ ポリシーのフォアグラウンド アプリケーションは、同期または非同期にすることができます。 同期モードでは、コンピューター ポリシーが正常に適用されるまで、コンピューターはシステムの起動を完了しません。 ユーザー のサインイン プロセスは、ユーザー ポリシーが正常に適用されるまで完了しません。 非同期モードでは、同期処理を必要とするポリシーの変更がない場合、コンピューター はコンピューター ポリシーの適用が完了する前に開始シーケンスを完了できます。 ユーザー ポリシーの適用が完了する前に、シェルをユーザーが使用できます。 その後、システムはバックグラウンドでグループ ポリシーを定期的に適用 (更新) します。 更新中、ポリシー設定は非同期的に適用されます。
グループ ポリシーのしくみの詳細については、「 グループ ポリシーの処理」を参照してください。
OU とは
OU は、グループ ポリシー設定を割り当てることができる最下位レベルの AD コンテナーです。 通常、ほとんどの GPO は OU レベルで割り当てます。そのため、OU 構造でグループ ポリシーベースのクライアント管理戦略がサポートされていることを確認してください。 また、ドメイン レベル (特にパスワード ポリシー) で一部のグループ ポリシー設定を適用することもできます。 サイト レベルで適用されるポリシー設定はほとんどありません。 組織の管理構造を反映し、GPO の継承を利用する適切に設計された OU 構造により、グループ ポリシーの適用が簡略化されます。 たとえば、適切に設計された OU 構造では、組織のさまざまな部分にこれらの GPO を適用できるように、特定の GPO の複製を防ぐことができます。 可能であれば、管理機関を委任し、グループ ポリシーの実装に役立つ OU を作成します。
OU の設計では、グループ ポリシーのニーズに依存しない管理者権限を委任するためのバランス要件と、グループ ポリシーの適用範囲を指定する必要があります。 ドメイン内に OU を作成し、特定の OU の管理制御を特定のユーザーまたはグループに委任できます。 OU に同種のオブジェクト (ユーザー オブジェクトやコンピューター オブジェクトなど) が含まれている構造を使用すると、特定の種類のオブジェクトに適用されない GPO のセクションを簡単に無効にすることができます。 OU 設計に対するこのアプローチにより、複雑さが軽減され、グループ ポリシーが適用される速度が向上します。 OU 構造の上位レイヤーにリンクされている GPO は、下位レイヤーの OU に対して既定で継承されるため、GPO を複製したり、GPO を複数のコンテナーにリンクしたりする必要が減ります。