グループ ポリシーの概要
グループ ポリシーを使用すると、Windows Server および Windows Client オペレーティング システムを実行しているコンピューターで、ユーザーとコンピューターの設定の構成と設定を管理できます。 グループ ポリシーを使用してユーザーとクライアント コンピューターのグループの構成を定義するだけでなく、サーバー固有の操作とセキュリティの設定を多数構成することで、サーバー コンピューターの管理に役立つグループ ポリシーを使用することもできます。
グループ ポリシーとは
グループ ポリシーは、ファイル システムまたは Active Directory ドメイン サービスにおけるローカルでのポリシー設定のことを示します。 Active Directory で使用すると、グループ ポリシー設定は Group Policy Object (GPO) に含まれます。 GPO は、Active Directory のユーザーとコンピューターに適用できるポリシー設定、セキュリティ権限、および管理範囲 (SOM) の仮想コレクションです。 GPO には、GUID などの一意の名前があります。 クライアントは、Active Directory の階層的な性質を使用して GPO 設定を評価します。
ポリシー設定は、コンピューターに影響を与えるポリシー設定と、ユーザーに影響を与えるポリシー設定に分かれています。 コンピューター関連のポリシーでは、システム動作、アプリケーション設定、セキュリティ設定、割り当てられたアプリケーション、コンピューターの起動スクリプトとシャットダウン スクリプトを指定します。 ユーザー関連のポリシーでは、システム動作、アプリケーション設定、セキュリティ設定、割り当て済みアプリケーションと発行済みアプリケーション、ユーザー ログオンスクリプトとログオフ スクリプト、およびフォルダー リダイレクトを指定します。 コンピューターの設定は、ユーザー関連の設定をオーバーライドします。
グループ ポリシーを作成するには、管理者はローカル グループ ポリシー エディター (gpedit.msc
) を使用できます。このエディターは、スタンドアロン ツールとローカルに保存されている設定となります。 Active Directory 関連の MMC スナップインの拡張機能として、グループ ポリシー オブジェクト エディターを使用することをお勧めします。 グループ ポリシー オブジェクト エディターを使用すると、GPO を選択した Active Directory サイト、ドメイン、組織単位 (OU) にリンクできます。 リンクにより、GPO のポリシー設定が、それらの Active Directory オブジェクト内のユーザーとコンピューターに適用されます。 GPO は、Active Directory と各ドメイン コントローラーの SYSVOL フォルダーの両方に格納されます。
グループ ポリシーのしくみ
コンピューターの場合、グループ ポリシーはコンピューターの起動時に適用されます。 ユーザーの場合、サインイン時にグループ ポリシーが適用されます。 このポリシーの初期処理は、フォアグラウンド ポリシー アプリケーションとも呼ばれます。
グループ ポリシーのフォアグラウンド アプリケーションは、同期または非同期にすることができます。 同期モードでは、コンピューター ポリシーが正常に適用されるまで、コンピューターはシステムの起動を完了しません。 ユーザーのログオン プロセスは、ユーザー ポリシーが正常に適用されるまで完了しません。 非同期モードでは、同期処理を必要とするポリシーの変更がない場合、コンピューター はコンピューター ポリシーの適用が完了する前に開始シーケンスを完了できます。 ユーザー ポリシーの適用が完了する前に、シェルをユーザーが使用できます。 その後、システムはバックグラウンドでグループ ポリシーを定期的に適用 (更新) します。 更新中、ポリシー設定は非同期的に適用されます。
グループ ポリシーのしくみの詳細については、「グループ ポリシーの処理」を参照してください。
組織単位 (OU) とは
OU は、グループ ポリシー設定を割り当てることができる最下位レベルの Active Directory コンテナーです。 通常、ほとんどの GPO は OU レベルで割り当てます。そのため、OU 構造でグループ ポリシーベースのクライアント管理戦略がサポートされていることを確認してください。 また、ドメイン レベル (特にパスワード ポリシー) で、いくつかのグループ ポリシー設定を適用することもできます。 サイト レベルで適用されるポリシー設定はほとんどありません。 組織の管理構造を反映し、GPO の継承を利用する適切に設計された OU 構造により、グループ ポリシーの適用が簡略化されます。 たとえば、適切に設計された OU 構造では、組織のさまざまな部分にこれらの GPO を適用できるように、特定の GPO の複製を防ぐことができます。 可能であれば、管理機関を委任し、グループ ポリシーの実装に役立つ OU を作成します。
OU 設計では、グループ ポリシーのニーズに依存しない管理者権限を委任するためのバランス要件と、グループ ポリシーの適用範囲を指定する必要があります。 ドメイン内に OU を作成し、特定の OU の管理制御を特定のユーザーまたはグループに委任できます。 OU に同種のオブジェクト (ユーザー オブジェクトやコンピューター オブジェクトなど) が含まれている構造を使用すると、特定の種類のオブジェクトに適用されない GPO のセクションを簡単に無効にすることができます。 OU 設計に対するこのアプローチにより、複雑さが軽減され、グループ ポリシーが適用される速度が向上します。 OU 構造の上位レイヤーにリンクされている GPO は、下位レイヤーの OU に対して既定で継承されるため、GPO を複製したり、GPO を複数のコンテナーにリンクしたりする必要が減ります。