[Windows基礎解説]
|
|
|
|
|
継承のブロックと上書き禁止は、Active Directory のコンテナの階層構成に基づいて例外を設定するための機能である。しかし、グループ・ポリシーの適用に当たっては、階層によらない例外を設けたい場合もある。
例えば、部署に基づいてOUを分けている場合、「あるグループに所属しているユーザーすべて」とか「サービス・パックが適用されていないコンピュータすべて」といった切り口は、OUをまたぐことになり、対象をActive Directoryのコンテナによって特定することができない。
そのような対象にグループ・ポリシーの例外を設定するには、対象全体を含むコンテナにGPOをリンクしたうえで、「フィルタ」を使用する。フィルタには、「セキュリティ・フィルタ」と「WMIフィルタ」がある。どちらのフィルタも、GPOに対する設定である。GPOに対する設定なので、その GPOがどのコンテナにリンクされていてもフィルタは有効になる。
セキュリティ・フィルタ
特定のグループに対してだけGPOを適用したい、あるいは適用させたくないといった場合には、セキュリティ・フィルタを使用する。
「セキュリティ」という呼び方やUI(ユーザー・インターフェイス)はあまり直感的ではないのだが、簡単にいうと、GPOのアクセス権の設定を変更し、特定のアカウントに対してGPOへのアクセス権を許可したり拒否したりすることによって、適用の対象にしたり対象から外したりする機能である。
セキュリティ・フィルタの設定は、GPOのプロパティの[セキュリティ]タブで行う。グループ・ポリシー・エディタでGPOを開き、ツリーの一番上にあるGPOノードの[プロパティ]で設定する。
| セキュリティ・フィルタの設定 | |||||||||
| GPOのアクセス権の設定を変更すると、特定のアカウントを適用の対象にしたり対象から外したりすることができる。このようなフィルタをセキュリティ・フィルタと呼ぶ。 | |||||||||
|
GPOは、この[セキュリティ]タブで[グループ ポリシーの適用]が許可されているアカウントにだけ適用される。もちろん、たとえセキュリティ・フィルタですべてのアカウントが適用対象となっていても、そもそもコンテナにリンクしていないGPOは、どこにも適用されない。セキュリティ・フィルタは便利な機能だが、Active Directory全体にわたってどのようにセキュリティ フィルタを設定しているかを常に確認するのは困難なので、必要最小限の使用にとどめた方がよい。
WMIフィルタ
WMIフィルタは、Windows XPまたはWindows Server 2003にGPOが適用されるときにだけ使える機能である。Windows 2000にGPOが適用されるときは、WMIフィルタは使われず、常に適用される。
WMIフィルタが設定されたGPOは、適用に当たってWMIでクエリが行われ、一致するコンピュータのみGPOが適用される。もちろん、そもそもコンテナにリンクしていないGPOは、WMIフィルタの有無にかかわらず、どこにも適用されない。
例えば、あるGPOをService Pack 1またはそれ以前のWindows XPだけに適用したい場合は、そのGPOに次のようなWMIフィルタを設定すればよい。
| 項目 | 内容 |
| 名前空間 | root\CIMV2 |
| クエリ | Select * from WIN32_OperatingSystem where ServicePackMajorVersion<=1 and Version='5.1.2600' |
| WMIフィルタに設定する内容の例 | |
| GPOの適用にWMIフィルタを利用することができる。これを利用すると、WMIのクエリにマッチしたコンピュータだけにGPOを適用させることができる。これはService Pack 1が適用されているWindows XPのみを対象とするWMIのクエリの例 | |
WMIフィルタの設定は、セキュリティ・フィルタと同じく、GPOのプロパティで行う。グループ・ポリシー・エディタでGPOを開き、ツリーの1番上にあるGPOノードの[プロパティ]中の[WMIフィルタ]タブで設定する。
| GPOにWMIフィルタを設定する | |||||||||
| GPOにWMIフィルタを設定すると、GPOを適用するかどうかをWMIクエリでフィルタすることができる。 | |||||||||
|
WMIフィルタは、クエリを自由に定義できるため、非常に便利な機能である。だが、適用対象が動的に変わるので、適用範囲の見極めは簡単ではない。適用に当たってはパフォーマンスにも影響がある。適用対象を絞るにはなるべくOUの階層構造を使用した方がよい。WMIフィルタの使用は、特定のサービス・パックのOSにだけGPOを適用したり、ハードディスクの空き容量が十分なコンピュータにだけGPOを適用したいといった、WMIフィルタを使うしかない場面に限るべきだろう。
デフォルトのGPO
Active Directoryには、デフォルトでいくつかのGPOが存在し、コンテナにリンクされている。
-
Default Domain Policy
-
Default Domain Controllers Policy
(Small Business Serverではデフォルトでもっと多くのGPOが存在し、リンクされている)
「Default Domain Policy」GPOはドメインにリンクし、「Default Domain Controllers Policy」は、「Domain Controllers」OUにリンクしている。
これらのデフォルトのGPOは、ドメイン全体やドメイン・コントローラのデフォルトのセキュリティ・ポリシーを定義している。ドメインやドメイン・コントローラにポリシーを設定したい場合に、ついこれらのデフォルトのGPOを編集してしまいがちだが、デフォルトのGPOを編集してしまうとデフォルトの環境に簡単に戻せなくなるので、これらには手を加えない方がよい。
ドメインやドメイン・コントローラにポリシーを設定したい場合には、新規にGPOを作成し、それをドメインや「Domain Controllers」OUにリンクさせるのがよいだろう。
| [参考引用] Default Domain Policyの編集に関する注意 | |||||||||||
Default Domain Policyを編集することは勧められていない。以下は、グループ・ポリシー管理コンソール(GPMC)のヘルプ・ファイルの「GPMC からグループ ポリシー オブジェクトを編集する」にある注意書きである。
|
|||||||||||
スタート・メニューの[管理ツール]の[ドメイン セキュリティ ポリシー]や[ドメイン コントローラ セキュリティ ポリシー]は、デフォルトのGPOのセキュリティ・ポリシー部分だけを編集するコンソールとなっている。ショートカットとしては便利だが、使わない方が無難だろう。
変更してしまったデフォルトのGPOを元に戻すには、dcgpofixツールを用いるとよい(これはWindows Server 2003用のコマンドであるが、Windows 2000については以下のTIPS記事を参照のこと)。
- Windows TIPS「dcgpofixでグループ・ポリシーをデフォルト状態に戻す」(Windows Server Insider)
まとめ
以上が Active Directoryにおけるグループ・ポリシーについての基本的な事項である。
Active Directoryのグループ・ポリシーであっても、実際にグループ・ポリシーを適用するのは各コンピュータであり、そこではローカル・グループ・ポリシーの適用と基本的に同じことが行われている。ローカル・グループ・ポリシーの基本的な理解に加えて、Active Directory特有の継承と優先度(LSDOUの処理順)さえ理解しておけば、あまり困ることはないだろう。
継承と優先度の原則では必要を満たせない場合は、継承のブロックや上書き禁止のような例外構成も可能だが、必要最小限にとどめることが望ましい。階層を越えた例外設定には、必要に応じてセキュリティとWMIのフィルタを活用することができる。トラブルに備えて、GPOの実体(GPT:グループ・ポリシー・テンプレートとGPC:グループ・ポリシー・コンテナ)の場所については一度把握しておきたい(GPCとGTPについては連載第5回「Active DirectoryにおけるGPO」を参照)。
■
第2回から、グループ・ポリシーの仕組みとその適用方法などについて解説してきた。特に前回と今回の2回ではActive Directory環境におけるグループ・ポリシーについて解説した。次回からは、グループ・ポリシー・エディタの使い方について解説する。
| INDEX | ||
| [Windows技術解説]グループ・ポリシーのしくみ | ||
| 第6回 リンクの継承と優先度およびフィルタ機能 | ||
| 1.リンクの継承と優先度 | ||
| 2.継承のブロックと上書き禁止 | ||
| 3.フィルタ機能とデフォルトのGPO | ||
| 基礎解説 |
ホワイトペーパー(TechTargetジャパン)
- 第206話 バナー広告案 (2010/2/2)
いまどきWebマーケティングが不可欠なのは分かるが、強烈な競合に並べてバナーなんか出して、勝ち目はあるのか? - WindowsTIPS (2010/1/29)
− Win 7/Server 2008 R2でクイック起動バーを利用する
− コントロールパネルの管理機能の一覧リンクを作成する
− Win OSでサポートされている最大物理メモリサイズは? - 強化されたIIS 7.5(前編) (2010/1/28)
2008 R2のIIS 7.5の強化点を解説。Server CoreにおけるASP.NETのサポートやPowerShell用IISコマンドレット/監査機能の充実など - 第205話 不信うずまくオフィス (2010/1/26)
何か集中してやってるようだが、あいつのことだ、どうせまたネットの私的利用にきまってる。まったく困ったもんだ……
|
|
スキルアップ/キャリアアップ(JOB@IT)
スポンサーからのお知らせ
- - PR -
| 【CTC事例】約30の基幹システムを統合! 膨大なバッジジョブを制御した方法は? New! |
| 「どこでもオフィス」で業務効率アップ! PHP研究所モバイルシンクライアント事例 New! |
| コスト削減・信頼性向上をまとめて満たす “高信頼Linux”を構築する方法とは? New! |
| 仮想化環境の構築手法を詳しく解説! 失敗しないVMware仮想化環境構築セミナー New! |
| 世界に通用するストレージの作り方とは? 製品に込めた思いを富士通の開発者に聞く New! |
| DBアーキテクトを目指すなら、トムに聞け Oracle Databaseをデザインする男が来日 |
| 40Gbpsという圧倒的パフォーマンスで実現 余裕の仮想セキュリティサービスとは? |
| 急速に広がるHyper-Vでのサーバ仮想化 そのベストプラクティスをデルが解説 |
| @IT「Windows 7」 特設サイトオープン! 最新情報・移行ノウハウを公開しています |
- - PR -
お勧め求人情報
**先週の人気講座ランキング**
〜CCNA編〜
| ◆ | 仮想化すればコストは削減できるか? 仮想化に必要な「3つの視点」を解説する New! |
| ◆ | セキュリティを知り尽くす上野氏が登壇! @ITメールソリューションLive! in Tokyo New! |
| ◆ | 運用管理の課題を“2つの観点”から分析 ユーザー満足度の高い「仮想環境」とは? New! |
| ◆ | 仮想化を導入したいが、問題が山積み…… 失敗しない仮想化環境の構築手法とは? |
| ◆ | 世界に通用するストレージの作り方とは? 製品に込めた思いを富士通の開発者に聞く |
| ◆ | OSSで手間も時間も、障害も減った―― 「マピオンの事例」オープンソース活用法 |
| ◆ | “知る人ぞ知る”DBのカリスマが初来日 彼と「直接話せるチャンス」を逃すな! |
| ◆ | 「ノートPCの持ち出し禁止」で大丈夫? 情報漏えいを防ぐ管理手法とインフラは? |
| ◆ | 1日の処理を1秒に――MySQLの達人が語る 「コスト削減」できるチューニング |
| ◆ | ドキュメント作成を自動化して、SEの作業 効率を大幅アップ! Visio 2007の魅力 |
| ◆ | 急速に広がるHyper-Vでのサーバ仮想化 そのベストプラクティスをデルが解説 |
| ◆ | @IT主催セミナーで語られた、「担当者に 求められるセキュリティ対策」をレポート |
| ◆ | SJI◆営業拠点を中国そしてアジアに拡大 オフショア開発を超えた最先端のSIerの姿 |
| ◆ | @IT「Windows 7」 特設サイトオープン! 最新情報・移行ノウハウを公開しています |
ソリューションFLASHPR
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「@IT MONOist」「ITmedia」「誠」「BARKS」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。