Windowsサーバには、個別のコンピュータごとに設定するローカルセキュリティポリシー、あるいはActive Directoryを利用して一括設定するグループポリシーといったセキュリティ関連機能がある。

こうしたセキュリティ関連機能の設定情報を一括して出力したり、取り込んで適用したりする機能として、セキュリティポリシーテンプレートがある。Active Directoryを使用していない環境でも複数のサーバについてセキュリティ関連設定を容易に統一できる、なかなか便利な機能だ。

ポリシーテンプレートの概要と作業準備

セキュリティポリシーテンプレート(以下、ポリシーテンプレート)は、拡張子「.inf」を持つファイルで、これを適用対象のコンピュータにコピーしてから適用操作を行う仕組みだ。拡張子は同じ「.inf」だが、デバイスドライバと一緒に配布するドライバ情報ファイルとは別物なので注意したい。

既存のポリシーテンプレートをそのまま適用してもよいし、内容をカスタマイズしてから適用してもよい。もちろん、新規作成してもよい。

MMCコンソールの作成と検索パスの指定

ポリシーテンプレートの管理に必要な管理ツールは、標準の状態では存在しない。そこで、まずMMC.EXEを単独で実行して空白のMMCコンソールを用意してから、そこに以下の2種類のMMCスナップインを追加する。

・セキュリティテンプレート
・セキュリティの構成と分析

これらは一緒に使用するものだから、まとめてMMCコンソールに追加した上で、その設定をコンソールファイル(*.msc)として保存しておくと良いだろう。別々にMMCコンソールを用意するよりも手間がかからない。

まず、MMC.EXEを単独で実行して、[ファイル]-[スナップインの追加と削除]を選択する

ポリシーテンプレートの編集には、MMCスナップイン[セキュリティテンプレート]が必要になるので追加する

ポリシーテンプレートの適用には、MMCスナップイン[セキュリティの構成と分析]が必要になるので、こちらも追加する

両方とも追加したら、[OK]をクリックして確定する

Windowsサーバが標準装備しているポリシーテンプレートのファイルは、「%SystemRoot%\Security\Templates」フォルダに置いてある。これが既定の検索パスということになり、新たにポリシーテンプレートを追加する場合にも、対応する「*.inf」ファイルをこのフォルダにコピーすればよい。

Windows Server 2012が標準装備しているポリシーテンプレート群。これらをそのまま適用してもよいし、内容を変更したり、独自のポリシーテンプレートを追加したりしてもよい

また、別のフォルダを検索パスとして追加することもできる。その際の手順は以下の通りだ。

  1. MMCスナップイン[セキュリティテンプレート]で、ツリー画面の[セキュリティテンプレート]を選択する。このアイテムの下に、インストール済みのポリシーテンプレート一覧を表示している。

  2. [操作]-[新しいテンプレートの検索パス]、あるいは右クリックして、[新しいテンプレートの検索パス]を選択する。

  3. 続いて表示するダイアログで、検索パスに指定したいフォルダを選択する。

独自のテンプレート検索パスを追加することもできる

今週はここまでにして、ポリシーテンプレートの追加・編集などについては、次週に解説することにしよう。