ここまで何回かに分けて、Active Directoryにおけるグループポリシーの設定について解説してきた。

グループポリシーで難しいのは、往々にして、意図した通りの適用結果が得られないことだ。その原因は、複数のGPOをリンクしたときの優先順位や、OUの階層における上書きのルールにある。しかも、優先順位を意図的に変更できたり、上書きや継承を意図的に切ったりできることが、さらに話を複雑にしている。

そこで今週は、ポリシー適用結果を事前に確認するための補助機能について解説しよう。こうした機能を活用すれば、グループポリシーを思うように設定できなくてイライラすることが減るだろう。

GPMCを使用する方法

もっとも簡単な方法は、GPMC(Group Policy Management Console)、つまり[グループポリシーの管理]管理ツールが備える[グループポリシーの結果]を利用する方法だ。

GPMCの画面左側にあるツリー画面では、フォレストの下に[グループポリシーの結果]という項目がある。これを使用すると、ポリシー適用結果の事前確認が可能だ。操作手順は以下のようになる。

  1. [グループポリシーの結果]を選択して、[操作]-[グループポリシーの結果ウィザード]、あるいは右クリックして[グループポリシーの結果ウィザード]を選択する。

  2. ウィザード2画面目で、対象となるコンピュータを指定する。既定値は操作中のコンピュータだが、[別のコンピューター]をクリックして、他のコンピュータを指定することもできる。

  3. このとき、[選択されたコンピューター用のポリシー設定を結果に表示しない]チェックボックスをオンにすると、[ユーザーの構成]の適用結果だけを表示する。

  4. 次の画面で、対象となるユーザーを指定する。既定値はログオン中のユーザーだが、[特定のユーザーを選択する]を選択して、別のユーザーを指定することもできる。

  5. このとき、[ユーザーポリシー設定を結果に表示しない]を選択すると[コンピュータの構成]の適用結果だけを表示する。

  6. 次の画面で、設定内容を確認してから[次へ]をクリックすると、解析作業を開始する。

  7. ウィザード最終画面で[完了]をクリックすると、GPMCに戻る。この時点で[グループポリシーの結果]以下には[<コンピュータ名> 上の <ユーザー名>]が加わっているはずだ。それをクリックすると、結果を画面に表示する。

GPMCでは、ツリー画面の[グループポリシーの結果]で右クリックして[グループポリシーの結果ウィザード]を選択すると、ウィザード形式でポリシー適用結果のシミュレートを指示できる

作成した設定はツリーに登録した状態になり、それをクリックするだけで、いつでも適用結果を確認できる。これは[要約]画面

こちらは[詳細]画面で、内容の確認に利用する

GPRESULTコマンドを使用する方法

同様の機能を実現するコマンドラインツールとして、gpresultコマンドがある(「GroupPolicyのRESULT」と覚える)。コマンドラインツールは実行結果を画面にテキストとして出力するため、それをリダイレクトしてテキストファイルに保存できるメリットがある。

もっとも簡単な使い方は、何も引数を指定しない方法だ。この場合、操作中のコンピュータとログオン中のユーザーを対象として解析を行う。引数の指定によって、別のコンピュータ、あるいは特定のユーザーに適用するポリシー設定を解析させることもできる。

gpresultコマンドの構文

gpresult [/s [/u [\] [/p []]]] [/scope {user | computer}] [/user ] [/v | /z] 

gpresultコマンドの引数一覧

引数 解説
/s 適用対象となるコンピュータの名前、あるいはIPアドレスを指定する(先頭に「\\」は付けない)。省略すると、操作中のコンピュータを対象とする
/u [\] コマンドの実行に使用する資格情報を指定する。ドメインアカウントを使用するときは「\」形式で指定する
/p 引数「/u」で指定したユーザーのパスワードを指定する
/scope {user | computer} 「user」を指定するとユーザーの構成だけを、「computer」を指定するとコンピュータの構成だけを表示する。省略すると両方を対象とする
/user 適用対象となるユーザー名を指定する
/v、/z 出力の際に、詳細なポリシー情報を表示する。「/z」を指定したときの情報量は「/v」より多く、グループポリシーについて入手できるすべての情報を表示する。つまり、「省略時→/v→/z」の順に情報量が多くなる