Active Directoryドメインサービス(AD DS)の構成と、関連するDNS(Domain Name System)サーバなどの設定については、すでに本連載の初めの方で取り上げた。

今回からしばらく、そのAD DSの話に戻り、有用性が高い機能のひとつであるグループポリシーと、その設定・管理に使用するGPMC(Group Policy Management Console)について解説していく。まず今回は、GPMCの基本機能である、GPOの作成・リンク・編集などの機能について解説する。

GPMCの実行

基本的な使い方は、Windows Server 2008と比べて大きく変化したわけではないので、Windows Server 2008のAD DSやGPMCに慣れた方なら、戸惑うことは少ないと思われる。ただし、GPMCの実行方法は変わっている。

いちいち記述すると冗長なので最初に書いてしまうと、従来は[スタート]-[管理ツール]以下から実行していたものが、Windows Server 2012では[サーバーマネージャ]の[ツール]メニュー以下から呼び出す形に変わっている。いったん起動してしまえば、画面デザインはいくらか変わっているものの、使い方は同じだ。

GPOの新規作成とリンク

最初に、グループポリシーオブジェクト(GPO)を作成すると同時に、任意のドメインやOUにリンクする際の手順について解説する。この方法は、特定のドメイン、あるいはOUだけを対象にしたGPOを作成したい場合に利用するとよい。

  1. GPMCの画面左側にあるツリー画面で、作成・リンクの対象となるドメインやOUを選択する。

  2. [操作]メニュー、あるいは右クリックメニューで[このドメインにGPOを作成し、このコンテナーにリンクする]を選択する。

  3. 続いて表示するダイアログで、GPOの名前を入力して[OK]をクリックする。

以上の操作により、指定した名前のGPOを[グループポリシーオブジェクト]以下に作成するとともに、そのGPOを、選択していたドメインやOUにリンクする。

ドメイン、あるいはOUで右クリックして、GPOの作成・リンクを指示する。続いて表示するダイアログで名前を指定すると、GPOの作成とリンクを行う

GPOを作成・リンクした結果の例

GPOの単独作成

次に、GPOの作成だけを行い、リンクは行わないときの手順について解説する。GPMCではGPOの作成とリンクを別々に操作できるため、こうした使い方が可能になる。

この方法は、まずGPOを作成しておいて、それとを後から複数のドメインやOUにリンクする場合、あるいは、とりあえずGPOだけ作成しておきたい場合に利用するとよいだろう。

  1. GPMCの画面左側にあるツリー画面で、[フォレスト]-[ドメイン]-[(ドメイン名)]以下の[グループポリシーオブジェクト]を選択する。

  2. [操作]-[新規]、あるいは右クリックして[新規]を選択する。

  3. 続いて表示するダイアログでGPOの名前を入力して、[OK]をクリックする。

以上の操作により、指定した名前のGPOを作成する。

[グループポリシーオブジェクト]を選択して、右クリックメニューで[新規]を選択すると、GPOの作成だけを行える

GPOの名前を入力している画面の例。作成したGPOは、同じツリーの[グループポリシーオブジェクト]以下に現れる

作成したGPO・既存GPOの編集

作成したGPO、あるいは既存のGPOを変更するには、ポリシーエディタを使用する。ポリシーエディタの使い方に、Windows Server 2008との違いはない。

  1. GPMCの画面左側にあるツリー画面で、[フォレスト]-[ドメイン]-[(ドメイン名)]以下の[グループポリシーオブジェクト]以下にある、編集したいGPOを選択する。

  2. [操作]-[編集]、あるいは右クリックして[編集]を選択する。

  3. ポリシーエディタが起動して、GPOの編集が可能になる。編集が完了したら、ポリシーエディタを終了する。

ポリシーエディタの画面構成は、[Active Directoryユーザーとコンピューター]管理ツールを使用する場合と変わらない。左側のツリー画面で選択した分野に該当するポリシー項目一覧が、画面右側に現れる。それをダブルクリックすると表示するダイアログで、設定を変更する。

編集したいGPOの右クリックメニューで[編集]を選択すると、ポリシーエディタが起動する

ドメイン/OUに対する既存GPOのリンク

作成しただけでどこにもリンクしていないGPOを新たにドメインやOUにリンクしたり、すでにどこかのドメインやOUにリンクしているGPOをさらに別のところにもリンクしたりできる。その場合、以下の手順でリンクの操作を行う。この操作を行うには、対象となるGPOがすでに存在していなければならない。

  1. GPMCの画面左側にあるツリー画面で、[フォレスト]-[ドメイン]-[(ドメイン名)]以下の、リンクしたいドメインやOUを選択する。

  2. [操作]-[既存のGPOのリンク]、あるいは右クリックして[既存のGPOのリンク]を選択する。

  3. 続いて表示するダイアログで、リンクしたいGPOを一覧から選択して[OK]をクリックする。

以上の操作により、指定したGPOをリンクする。

ドメインやOUに対して、既存のGPOのリンクを指示すると、GPOリンクを設定して、当該GPOで設定した内容を適用する

リンクするGPOを指定する画面の例