Windows
グループ・ポリシーでクライアントを管理する10の方法
(記事は執筆時の情報に基づいており、現在では異なる場合があります)
■グループ・ポリシーは適切な計画の下に実装すれば、クライアント管理に不可欠な存在になり得る。しかしグループ・ポリシーは仕組みが複雑で設定が多すぎるため、あまり活用されていないのが実態である。
■そこで今回は、グループ・ポリシーの仕組みを分かりやすく説明するとともに、クライアントを管理する上で役に立つテクニックを10個紹介する。
グループ・ポリシーは、適切な計画に従って実装すれば、Windowsクライアントの管理に不可欠なものとなり得る。ところが2つの障壁が、管理者による効果的なグループ・ポリシーの活用を阻んでいる。1つ目はグループ・ポリシーの仕組みやその割り当て方法などが、ユーザーに理解されていないことである。2つ目は、グループ・ポリシーでやりたいことが明確になっていないことである。
グループ・ポリシーは設定項目が多い上に設定方法も様々で、困惑するのも無理はない。しかしグループ・ポリシーを理解することは難しくはない。いったん感覚をつかんだら、アイデアさえあれば実行に移せる。このことを踏まえて、今回はグループ・ポリシーの基本と、グループ・ポリシーを使ってWindowsクライアントを管理する10個の方法を紹介する。
グループ・ポリシーの基本
|
△ 図をクリックすると拡大されます |
| 図1●グループ・ポリシーで編集できる主要なノード |
(1)の[ソフトウエアインストール]ノードは、ユーザーへのソフトウエアの割り当てと発行、コンピュータへのソフトウエアの適用を行うものである。
(2)の[スクリプト]ノードでは、コンピュータの起動時と終了時、またはユーザーのログオン時とログオフ時に実行されるスクリプトを指定する。Windows Script Host(WSH)をサポートする言語であればスクリプト・オブジェクトに加えることができる。
(3)の[セキュリティの設定]ノードでは、コンピュータやネットワークのセキュリティ設定を指定する。
|
△ 図をクリックすると拡大されます |
| 図2●[管理用テンプレート]ノードに読み込むテンプレートを選択する画面 |
(5)の[リモートインストールサービス]ノードでは、リモート・インストール・サービス(RIS)機能を利用するクライアントに表示されるウィザード画面の内容を設定できる。
(6)の[フォルダリダイレクト]ノードは、Windowsの特別なフォルダ(「マイ ドキュメント」「デスクトップ」「スタートメニュー」「Application Data(%userprofile%\Local Settings\Application Data)」)をネットワーク上の別の場所に移動するための設定である。
(7)の[Internet Explorerのメンテナンス]ノードでは、IEの振る舞いを管理し、カスタマイズする。
GPOはドメインやOUにリンクする
|
△ 図をクリックすると拡大されます |
| 図3●組織単位(OU)にGPOをリンクするための手順 |
OUには、ユーザーまたはコンピュータ・オブジェクトを所属させることで、デスクトップ・システムやユーザーを管理する。また、WMI(Windows Management Instrumentation)フィルタリングを使って、特定のポリシーを適用する対象となるオブジェクトの範囲を絞り込める。
それではここから、グループ・ポリシーを使って実行できるクライアント管理の例を10個紹介しよう。
その1:起動時とログオン時に必ずネットワークに接続する
この設定は、Windows XPクライアントにGPOを確実に適用させる上で非常に重要である。なぜならWindows XPはWindows 2000と異なり、ログオン時に毎回GPOが同期されないようになった(これは起動とログオンを高速化するための仕様変更である)。そのためWindows XPでは、グループ・ポリシーが有効になるまでに、2〜3回のログオンが必要になることがある。セキュリティ強化のためにグループ・ポリシーを活用するのであれば、クライアントのGPOは迅速にサーバーと同期される必要がある。その際はこの設定を有効にしておこう。
その2:RISを使ったOSの自動インストール
リモート・インストール・サービス(RIS)は、Windows 2000/XP/Server 2003のインストール・イメージを、クライアントに配布する機能である。[リモートインストールサービス]ノードは、RISによるイメージのインストール時にクライアント・マシンに表示するウィザード画面のオプションを制御するための設定だ。
例えば[自動セットアップ]のオプションを[有効]にしておけば、イメージのインストールは全自動で行われるようになる。[カスタムセットアップ]を[有効]にした場合、コンピュータの名前付け処理を手動で実行できる。
その3:ログオン/ログオフ・スクリプト
[ユーザーの構成]−[Windowsの設定]−[スクリプト(ログオン/ログオフ)]
|
△ 図をクリックすると拡大されます |
| 図4●2つある「スクリプト」の違い |
その4:クライアントのセキュリティ強化
セキュア・デスクトップ・クライアントを実装するに当たっては、多面的な取り組みが必要である。グループ・ポリシーはセキュリティ戦略の構築に当たって、一貫性のある安定した基盤を確保してくれる。グループ・ポリシーは広範なセキュリティ設定を含んでおり、デスクトップ・コンピュータとユーザーに関連するポリシーの集中管理と実行を可能にする。
セキュリティを確保する上で、グループ・ポリシーで管理できる重要な分野が4つある。(1)セキュリティ設定、(2)IPsecポリシー、(3)ソフトウエア制限ポリシー、(4)ワイヤレス・ネットワーク・ポリシー——である。これらのポリシーを構成するに当たっては、その影響を徹底的に理解している必要がある。また実稼働させる前に、念入りなテストを行う必要もあることも忘れないでほしい。
(1)に対応するのが[コンピュータの構成]−[Windowsの設定]−[セキュリティの設定]にあるポリシー群だ。OSの詳細を構成できる。[ファイルシステム]と[レジストリ]では、ファイルやレジストリに対するアクセス許可を設定する。[ローカルポリシー]−[監査ポリシー]では監査に関する設定を、[アカウントポリシー]−[パスワードポリシー]ではパスワードに関する設定を、[イベントログ]ではイベント・ログに関する設定をそれぞれ施せる。
なお「セキュリティ・テンプレート」をGPOに読み込むことで、簡単にセキュリティ設定を整理できる。デフォルトのテンプレートは「%systemroot%\Security\Templates」フォルダに置かれていて.infという拡張子が付いている。
(2)の[IPセキュリティポリシー]は、IPsecに関するセキュリティ機能で、フィルタリング、認証、ネットワーク・トラフィックの暗号化のためにある。
(3)の[コンピュータの構成]−[セキュリティの設定]ならびに[ユーザーの構成]−[セキュリティの設定]にある[ソフトウエアの制限ポリシー]は、クライアントにおけるソフトウエアの実行を禁止するものである。ユーザーまたはコンピュータ単位で、ソフトウエア実行の許可の可否を指定できる。
(4)の[ワイヤレスネットワーク(IEEE802.11)]は、Windows XPの無線LAN設定を、Windows Server 2003を使って制御するものである。