【2/17】今年は「濃厚」技術トーク！＠ITメールセミナー        

Windows Server 2008 R2の真価 ――　実質新世代サーバOSの真の実力を知る　―― 第7回　強化されたグループ・ポリシー機能 1．Windows Server 2008におけるグループ・ポリシーの強化点 マイクロソフト株式会社 エバンジェリスト 安納 順一 2009/12/24

機能が向上したWindows Vistaのグループ・ポリシー（連載「Vistaの地平」） 基礎解説「グループ・ポリシーのしくみ」

　前回はWindows Server 2008以降のActive Directoryの進化について解説した。Active Directoryがもはや単なる認証サービスではなく、「IDとアクセス管理の基盤」としてその機能を強化してきたように、グループ・ポリシーも単なるクライアント環境の管理サービスから、エンタープライズ・レベルの「セキュリティ管理基盤」として進化してきた。本稿では、Windows Server 2008 によってもたらされたグループ・ポリシーの変革と、Windows Server 2008 R2による機能強化について解説する。

Windows Server 2008 での変革

　前回触れたとおり、Windows Server 2008 ではActive Directoryに大きな革命がもたらされた。では、Active Directoryの女房役としてともに歩んできたグループ・ポリシーはどうだろうか。実はWindows Server 2008では、グループ・ポリシーにとっても大きな思想的な変革がなされ、新機能として実装されている。Windows Server 2008におけるグループ・ポリシーの新機能および変更点を表1に示す。

追加／強化された機能	追加／強化された内容
「基本設定」の実装	ログオン・スクリプトやスタートアップ・スクリプトで行わざるを得なかった設定をグループ・ポリシー・オブジェクト（GPO）で吸収することができるため、設定の可視化がしやすくなっただけでなく、複数スクリプトの管理や処理の分岐といった煩雑な作業から解放される
スターター・グループ・ポリシー・オブジェクト（GPO）の実装	グループ・ポリシー・オブジェクト（GPO）のひな型を作成する機能。セキュリティ・レベルの違いによって使用するGPOを使い分けるなど、より柔軟な運用を可能とするだけでなく、設定抜けなどのミスをなくすことができる
管理用テンプレート・ファイルの形式変更（ADMX）とSYSVOL内での集中管理	ファイル形式がXMLとなり、カスタマイズがしやすくなったほか、テンプレート・ファイルをSYSVOL内で集中管理できるようになったため、どのドメイン・コントローラまたはクライアントからでも最新のテンプレートを使用したGPOの管理が可能になった。また、多言語対応により、複数のロケーションに対応したポリシー・テンプレートを簡単に作成することができるようになった
ネットワークの認識機能の実装	ネットワークの状況を素早く判断できるようになったため、起動時にポリシー適用に要する時間が短縮された。また、常にドメイン・コントローラとの通信状態を監視しているため、例えばVPNによって社内ネットワークに接続した場合でも、素早く社内のセキュリティ・ポリシーをモバイル・コンピュータに適用することができるようになった
管理カテゴリの追加	電源オプション、デバイスのインストールをブロックするなどの新たな設定カテゴリが追加され、より細かな企業レベルの運用ポリシーを、グループ・ポリシーを通して伝達することができるようになった
GPOおよびポリシー設定のコメント付加	ポリシー設定にコメントを追記することで、GPOの目的や特定のポリシー設定の構成を文書化することができるようになった
グループ・ポリシーのWinlogonからの分離とサービス化	グループ・ポリシーの適用プロセスがWinlogonと完全に分離されたことにより、ポリシーの適用のために再ログオンや再起動が要求されるシチュエーションが大幅に減少した。これにより、重要なセキュリティ・ポリシーがいつまでも適用されないといった問題を解消できると同時に、ポリシー適用時のパフォーマンス向上と消費リソースの減少が図られた
複数のローカル・グループ・ポリシー・オブジェクト（GPO）の保持	これまで1種類しか保持することができなかったローカルGPOを、ローカル・コンピュータを使用するユーザーごとに保持できるようになった。一般ユーザーとローカルPCの管理者とでポリシー設定を分割できるため、ドメイン管理者ではないローカルPCの管理者が、クライアントの管理を容易に行えるようになった
管理用テンプレート・ポリシー設定の検索	［管理用テンプレート］配下のポリシーを検索し、目的のポリシー設定を迅速に見つけられるようになった
イベント・ログ	グループ・ポリシーに関するイベント・ログがアプリケーション・ログからシステム・ログに変更された。また、適用状況に関する細かなログは、［Microsoft］−［Windows］−［GroupPolicy］−［Operational］配下にまとめて保存されており、トラブルシューティング等がしやすくなった
表1　Windows Server 2008におけるグループ・ポリシーの新機能および変更点

　ここでは、最も大きな変革点である「基本設定」について詳しく解説する。

「基本設定」

　Windows Server 2008における最も象徴的な変革が「基本設定」だ。残念ながら「基本設定」という名称からは伝わりづらいが、本機能がもたらす恩恵は非常に大きい。

　グループ・ポリシーの基本的な思想は「企業内のコンピュータ管理ポリシーの見える化」と「集中管理機構による管理の自動化とコストの削減」である。これまでに多くのWindows管理者がその恩恵を享受してきたが、中途半端感があったことも否定できない。それは、ログオンスクリプトやスタートアップスクリプトの存在が大きく影響しているといえる。

　スクリプトには、グループ・ポリシー単独では表現し切れないネットワーク・ドライブへの接続、レジストリの変更、ローカルユーザーの作成などをコマンドで記述し、決められたGUIによってのみ変更が可能なグループ・ポリシーに柔軟性を与えていた。しかし、柔軟なスクリプトは徐々に肥大化し、管理にとって重要な「可視化」がしづらくなった。それによってかえって管理コストを増加させる結果となっていたことは否定できない。

　Windows Server 2008で新たに実装された「基本設定」と呼ばれる機能は、そうした問題を解消すると同時に、これからますます拡大し複雑化するであろうITシステムをより効率的に管理できるようにした。これは単に機能が強化されたというだけにとどまらない、マイクロソフトとしての運用管理に対する思想の転換であるともいえる。

　コンピュータの利用形態は、今後ますます拡大する方向にあることは間違いない。数年前まで物理的な移動の少ないデスクトップPCが中心であった市場は、確実に小型のノートPCに取って代わり、現在はさらに小型のネットブックと呼ばれるPCがシェアを拡大しつつある。さらにはWindows Mobileを搭載した携帯電話も市場を拡大しており、これは今後、従来のActive Directoryがサポートしてきた「企業内のOU（組織単位）」による管理ポリシーの使い分けといった枠組みでは、すべてのPCを吸収することが難しくなりつつあることを示唆している。

　また、遠隔地からの企業リソースを利用するためのソリューションは増え続けており、マイクロソフトもWindows Server 2008 R2とWindows 7の組み合わせによって実現可能なDirect Accessをソリューションの1つにラインアップしている。

　遠隔地のPCが社内リソースにアクセスする際に問題となるのは、いかにして社内の管理ポリシーを遠隔地のPCに適用するかということだ。従来は社外からアクセス可能なリソースを制限することで安全性を維持してきたが、ビジネスにスピードが求められるいま、そうした対策は減速の要因になる可能性が高いといえる。減速させないためには、管理ポリシーをインターネット上のPCにまで波及させる必要があり、そのためには早い段階で将来問題となるであろう要素を取り除いておく必要がある。

　こうした多彩な用途やデバイスが登場する中、インターネット上にまで波及させるべきエンタープライズレベルの管理ポリシー構築に足かせとなる可能性が高いのが、OSや管理者のスキルレベルに依存しがちな「スクリプト」の存在だ。

　長い時間をかけ、ログオンスクリプトは管理者にとって「運用管理の最後のとりで」としての地位を築き上げてきた。Windows PowerShellに見られるように、マイクロソフトのスクリプティング技術への注力はこれまで以上であるといえるが、少なくともその大部分は、今後仮想化によって増大するであろうサーバ管理の分野に注がれているといえる。今後、ログオン・スクリプトに取って代わるべく用意されたのが、グループ・ポリシーの「基本設定」だ。

　表2に、「基本設定」に実装されている機能を、表3に「基本設定」のサポートOSを示す。

基本設定での設定項目	ターゲット		機能
設定項目	コンピュータ	ユーザー	Windows Server 2008で実装された機能	Windows Server 2008 R2で強化された機能
Windowsの設定
アプリケーション	−	○	この設定項目は、ISVのアプリケーションをグループ・ポリシーの管理配下に置くために用意されている拡張可能な項目となっている。標準では設定可能な項目は提供されていない
ドライブマップ	−	○	net useコマンドを使用して行ってきたネットワーク・ドライブへの接続、切断、上書きをグループ・ポリシー上から制御できる
環境	○	○	setコマンドやsetxコマンドによって行ってきたユーザー環境変数およびシステム環境変数の作成、削除、変更をグループ・ポリシーによって制御することができる。ログオン・スクリプトでは難しかった「ユーザー・ログオン時のシステム環境変数の作成」が行えるため、さらに柔軟な運用管理が可能になった
ファイル	○	○	copyコマンド等で行ってきた、起動時およびログオン時のファイルのコピー、上書き、削除が行える
フォルダ	○	○	mdコマンドやrdコマンドで行ってきたフォルダの作成、削除が行える
iniファイル	○	○	これまでスクリプトでは面倒だったiniファイルの作成、削除、編集がグループ・ポリシーを使用して行える
レジストリ	○	○	regコマンドやregeditコマンドで行ってきたレジストリ・キーと値の作成、削除、編集が行える
ネットワーク共有	○	−	net shareコマンドなどで行ってきた共有フォルダの作成、削除、編集が行える。「アクセス・ベースの列挙（ABE）」の可否設定も可能だ（ABEについては連載Windows Server 2003 SP1レビュー「アクセス・ベースのディレクトリ列挙ABE」参照）
ショートカット	○	○	これまでコマンドによる作成や配布が面倒だったショートカット・ファイル（.lnk）の作成、削除、編集が行える
コントロール・パネル
データソース	○	○	コントロール・パネルの「データソース（ODBC）のセットアップ」で行わなければならなかったシステム・データソースおよびユーザー・データソースの作成、変更、削除をグループポリシー上から行える
デバイス	○	○	すでにインストールされているデバイスのデバイス・クラスを指定し、有効と無効を切り替えることができる。例えば、特定のサウンド・デバイスやUSBデバイスを、エンド・ユーザーが利用できないように無効化することができる
フォルダ・オプション	○	○	コンピュータ側の設定では、ファイルの種類（拡張子）ごとにクラスやアプリケーションとの関連付けなどについて、新規作成、変更、削除が行える。 ユーザー側の設定では、「登録されている拡張子を表示しない」「常にメニューを表示する」などのエクスプローラの動作を細かく設定することができる
インターネット設定	−	○	「Internet Explorerのプロパティ」を、「Internet Explorer 5 および 6」「Internet Explorer 7」で分けて設定することが可能。一部の設定はポリシー設定と重複しており、ポリシー側で設定されている場合には基本設定は無視される。Internet Explorerの設定画面がそのまま実装されているため、従来のポリシーと比べて設定の影響を把握しやすい	「Internet Explorer 8」の設定が可能となった
ローカル・ユーザーとグループ	○	○	従来、net userコマンドや net group／net localgroup コマンドで行ってきたローカル・ユーザーとローカル・グループの作成、削除、変更をグループ・ポリシーから制御することができる。例えば、「項目レベルのターゲット設定」機能と併用することで、ログオンしたコンピュータや時間帯によって所属グループを変更するといった特殊な制御も可能であるため、従来のスクリプトと比較すると柔軟性が大幅に向上している
ネットワーク・オプション	○	○	VPN接続とダイヤルアップ・ネットワーク（DUN）接続の設定が行える。OSによってコントロールパネル内の設定場所が若干異なっている。 Windows XPの場合には［コントロールパネル］−［ネットワーク接続］−［新しい接続を作成する］−［職場へのネットワークへ接続する］を選択した場合の設定 Windows Vistaの場合には［コントロールパネル］−［ネットワークと共有センター］−［接続またはネットワークのセットアップ］−［職場に接続します］を選択した場合の設定 Windows 7の場合には［コントロールパネル］−［ネットワークと共有センター］−［新しい接続またはネットワークのセットアップ］−［職場に接続します］を選択した場合の設定
電源オプション	○	○	電源オプションに関する設定。Windows Server 2008ではWindows XP／Server 2003に関する電源オプションが提供されており、Vista／Server 2008以降のOSについては「ポリシー設定」側で行うことができる	Windows Vista／Server 2008以降のOSの設定画面が提供された。同様の設定は「ポリシー設定」側にも用意されており、「基本設定」とともに設定した場合には「ポリシー設定」側が優先される
プリンタ	○	○	共有プリンタへの接続や、ローカル・コンピュータの作成をグループ・ポリシーから制御することができる。ただし、共有プリンタへの接続／削除はユーザー・ポリシーのみ、ローカル・プリンタ（TCP/IPプリンタ含む）の作成／変更／削除はユーザーとコンピュータ両方のポリシーで設定可能
地域のオプション	−	○	ユーザー・ロケールおよび、数値、通貨、時刻、日付の形式に関する設定が行える
タスク	○	○	コマンドからの操作が非常に面倒だった、タスク・スケジューラへのタスク登録をグループ・ポリシーから制御できる。もちろん、タスクを実行する際のアカウントや細かいスケジュールの設定、既存のタスク設定の変更および削除をすることも可能。Windows XP／Server 2003とVista以降の設定画面は分かれており、Vista以降の設定画面ではトリガーの設定など、新しい機能に関する設定も可能となっている。 また、Windows Server 2008では、Windows XPに対して「即時タスク」と呼ばれる1回限りのタスクを登録することが可能となっている	Windows Vista/2008以降のOSに対して即時タスクを作成できるようになった
[スタート]メニュー	−	○	これまでコマンドでは困難だった、「管理ツール」や「ネットワーク」の表示など、スタート・メニューのプロパティを詳細に設定することができる。Windows XP／Server 2003と Windows Vista／Server 2008では設定画面が分かれている
サービス	○	−	従来、scコマンドなどで行ってきたサービスのスタートアップの設定（自動、手動、無効など）に関する設定および、起動時のサービスの操作（起動、停止、一時停止、再開）をグループ・ポリシーから制御できるようになった。サービス・アカウントの指定や対話ログオンの有無、回復ポリシーの設定なども設定可能
表2　グループ・ポリシーの基本設定に実装されている機能一覧

	基本設定の適用	基本設定の編集/管理
Windows XP SP2以降（x86／x64）	クライアント側拡張機能（KB943729）をインストール	×
Windows Vista（x86／x64）	クライアント側拡張機能（KB943729）をインストール	×
Windows Vista SP1/SP2（x86／x64）	クライアント側拡張機能（KB943729）をインストール	リモート・サーバ管理ツール（KB941314）をインストール
Windows 7（x86／x64）	標準で可能	リモート・サーバ管理ツール（KB958830）をインストール
Windows 2000 以前（x86／x64）	×	×
Windows Server 2003（x86／x64）	×	×
Windows Server 2003 SP2 以降（x86／x64）	クライアント側拡張機能（KB943729）をインストール	×
Windows Server 2008 以降（x86／x64）	標準で可能	標準で可能
表3　グループ・ポリシー基本設定のサポートOSと前提条件
※KB943729の最新版は2009年11月10日にリリースされている ※KB941314の最新版は2009年2月24日にリリースされている ※KB958830の最新版は2009年8月11日にリリースされている

　「基本設定」の特徴は、従来ログオン・スクリプトやスタートアップ・スクリプト内にコマンドを記述することによって実装してきた機能を、グループ・ポリシーを使用して表現できるようにしたものだ。表2をご覧いただくと、ネットワーク・ドライブの接続やプリンタへの接続など、運用管理者にとってなじみの多い機能が数多く実装されていることが分かるだろう。

　これらの設定がグループ・ポリシーに組み込まれたことで、管理者は以下のメリットを享受することができる。

• スクリプトをメンテナンスする負荷からの解放

　コマンドやスクリプトが管理者のたしなみとはいえ、適切なコマンドやサンプル・スクリプトを探し出すことは管理者にとって面倒な作業であることに違いなかった。「基本設定」により、環境設定に使用される機能をグループ・ポリシーに組み込むことで、スクリプトを使わずともGUIを使用して簡単に設定項目を作り上げることができるようになった。設定された項目はグループ・ポリシー・オブジェクト（GPO）として保存されるため、一度作成したGPOを流用したり、グループ・ポリシーのレポート機能を使用すればほかの設定とともに「基本設定」もドキュメント化できる。

画面1　グループ・ポリシー管理エディタ内の「基本設定」の設定画面例

■コマンドラインでは実現が難しかった機能の実装
　電源管理機構や、フォルダ・オプションなど、これまでスクリプトでは実装することが難しかった環境設定項目の多くが「基本設定」として用意されている。そのため、デフォルト・プロファイルに設定を埋め込んで配布するといった面倒な作業の多くは「基本設定」で吸収できる。

■適用先ユーザーやコンピュータのきめ細かな制御
　「基本設定」がグループ・ポリシーの一部として提供されているということは、GPOが関連付けられたOUごとに設定内容を変えることができるということだ。スクリプトで同様の機能を実装するには、分岐処理が必要になるためスクリプトが複雑化してしまうことはいうまでもない。この点だけを取ってもスクリプトから「基本設定」に切り替えるメリットは大きいといえる。

　さらに、「基本設定」には「項目レベルの対象化」と呼ばれる特殊で強力なフィルタ機能が提供されている。例えば、以下のようなフィルタを設定することが可能だ。

画面2　「項目レベルの対象化」に用意されているフィルタ

画面3　「項目レベルの対象化」機能の設定例

以下のような条件を設定した場合の例。 ・CPUのクロック数が1GHz以上 ・コンピュータ名が「PC」で始まる ・毎月1日に適用する ・IPアドレスが192.168.1.100から192.168.1.200の間にある ・OSがWindows XP Tablet PC Edition ・メモリを512Mbytes以上実装している ・OSAKAサイトに所属しているPC以外に適用する

　条件式には、AND以外にもORを使用することが可能で、その組み合わせは自由にアレンジすることができる。これらをスクリプトで表現しようとすれば膨大な量の判定文が必要になり、中には実装が難しいものも出てくるだろう。「基本設定」が持つ「項目レベルの対象化」機能により、OU（組織単位）にとらわれない柔軟な適用条件を設定することができる。

連載 グループ・ポリシーのしくみ第2回『グループ・ポリシーとは何か―― 4．グループ・ポリシーの「拡張」』

　「基本設定」を使用するに当たっては、表3に示すように「クライアント側拡張機能（CSE）」をインストールしなければならない場合がある。特に、Windows VistaにCSEが必要であることは意外と知られていないので、注意が必要だ（CSEについては関連記事参照）。

　なお、「ポリシー設定」と「基本設定」には、その適用方法について2つの違いがあることを理解しておかなければならない。

■設定の永続性
　両者の最も大きな違いは設定の永続性だ。「ポリシー設定」の場合には、適用されるGPOが変われば値はリセットされる。「基本設定」では、一度適用された値は別の値で上書きしたり削除をしない限り、永遠に埋め込まれたままになることに注意しよう。これは従来のスクリプトによる設定を踏襲したものであると考えることができる。

■バックグラウンド更新
　「基本設定」はバックグラウンドの更新機能によって、値を強制的に書き換えることはできない。これは、gpupdateコマンドを使用した場合も同様だ。値を強制適用するには、コンピュータ設定の場合には再起動、ユーザー設定の場合には再ログオンが必要であることに注意しなければならない。

INDEX
	Windows Server 2008 R2の真価
	第7回　強化されたグループ・ポリシー機能
	1．Windows Server 2008におけるグループ・ポリシーの強化点
	2．Windows Server 2008 R2におけるグループ・ポリシーの強化点

「 Windows Server 2008 R2の真価 」

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）

RSSフィード