Active Directoryドメインサービス(AD DS)の構成と、関連するDNS(Domain Name System)サーバなどの設定については、すでに本連載の初めの方で取り上げた。
今回からしばらく、そのAD DSの話に戻り、有用性が高い機能のひとつであるグループポリシーと、その設定・管理に使用するGPMC(Group Policy Management Console)について解説していく。まず今回は、GPMCの基本機能である、GPOの作成・リンク・編集などの機能について解説する。
GPMCの実行
基本的な使い方は、Windows Server 2008と比べて大きく変化したわけではないので、Windows Server 2008のAD DSやGPMCに慣れた方なら、戸惑うことは少ないと思われる。ただし、GPMCの実行方法は変わっている。
いちいち記述すると冗長なので最初に書いてしまうと、従来は[スタート]-[管理ツール]以下から実行していたものが、Windows Server 2012では[サーバーマネージャ]の[ツール]メニュー以下から呼び出す形に変わっている。いったん起動してしまえば、画面デザインはいくらか変わっているものの、使い方は同じだ。
GPOの新規作成とリンク
最初に、グループポリシーオブジェクト(GPO)を作成すると同時に、任意のドメインやOUにリンクする際の手順について解説する。この方法は、特定のドメイン、あるいはOUだけを対象にしたGPOを作成したい場合に利用するとよい。
GPMCの画面左側にあるツリー画面で、作成・リンクの対象となるドメインやOUを選択する。
[操作]メニュー、あるいは右クリックメニューで[このドメインにGPOを作成し、このコンテナーにリンクする]を選択する。
続いて表示するダイアログで、GPOの名前を入力して[OK]をクリックする。
以上の操作により、指定した名前のGPOを[グループポリシーオブジェクト]以下に作成するとともに、そのGPOを、選択していたドメインやOUにリンクする。
GPOの単独作成
次に、GPOの作成だけを行い、リンクは行わないときの手順について解説する。GPMCではGPOの作成とリンクを別々に操作できるため、こうした使い方が可能になる。
この方法は、まずGPOを作成しておいて、それとを後から複数のドメインやOUにリンクする場合、あるいは、とりあえずGPOだけ作成しておきたい場合に利用するとよいだろう。
GPMCの画面左側にあるツリー画面で、[フォレスト]-[ドメイン]-[(ドメイン名)]以下の[グループポリシーオブジェクト]を選択する。
[操作]-[新規]、あるいは右クリックして[新規]を選択する。
続いて表示するダイアログでGPOの名前を入力して、[OK]をクリックする。
以上の操作により、指定した名前のGPOを作成する。
作成したGPO・既存GPOの編集
作成したGPO、あるいは既存のGPOを変更するには、ポリシーエディタを使用する。ポリシーエディタの使い方に、Windows Server 2008との違いはない。
GPMCの画面左側にあるツリー画面で、[フォレスト]-[ドメイン]-[(ドメイン名)]以下の[グループポリシーオブジェクト]以下にある、編集したいGPOを選択する。
[操作]-[編集]、あるいは右クリックして[編集]を選択する。
ポリシーエディタが起動して、GPOの編集が可能になる。編集が完了したら、ポリシーエディタを終了する。
ポリシーエディタの画面構成は、[Active Directoryユーザーとコンピューター]管理ツールを使用する場合と変わらない。左側のツリー画面で選択した分野に該当するポリシー項目一覧が、画面右側に現れる。それをダブルクリックすると表示するダイアログで、設定を変更する。
ドメイン/OUに対する既存GPOのリンク
作成しただけでどこにもリンクしていないGPOを新たにドメインやOUにリンクしたり、すでにどこかのドメインやOUにリンクしているGPOをさらに別のところにもリンクしたりできる。その場合、以下の手順でリンクの操作を行う。この操作を行うには、対象となるGPOがすでに存在していなければならない。
GPMCの画面左側にあるツリー画面で、[フォレスト]-[ドメイン]-[(ドメイン名)]以下の、リンクしたいドメインやOUを選択する。
[操作]-[既存のGPOのリンク]、あるいは右クリックして[既存のGPOのリンク]を選択する。
続いて表示するダイアログで、リンクしたいGPOを一覧から選択して[OK]をクリックする。
以上の操作により、指定したGPOをリンクする。