今週からしばらく、グループポリシーについて取り上げていくことにしよう。
グループポリシーを利用すると、クライアントPCの設定を強制的に統一したり、パスワードポリシーを初めとする各種セキュリティ関連設定を統一的に適用したりできる。グループポリシーによって設定できる項目の多くは、コントロールパネル、各種の管理ツール、あるいはレジストリの直接編集によって実現することもできるが、グループポリシーを使用する方が安全性が高く、かつ確実性が高い。
なお、いわゆるポリシーには、Active Directoryを通じて適用するグループポリシー以外にも、セキュリティ関連の設定に限定して個々のコンピュータごとに設定する、ローカルセキュリティポリシーがある。セキュリティ関連の設定項目については両者で重複するものがあるが、設定の競合が発生したときにはグループポリシーを優先するようになっている。
グループポリシーの適用方法と適用対象
グループポリシーを利用するには、グループポリシーオブジェクト(GPO)を作成する。GPOとは、いわば「設定集」のようなもので、ひとつのドメインに複数のGPOを作成できる。
そのGPOをドメイン、あるいはOUにリンクすると、リンクしたGPOに設定した内容が、リンク先のドメイン、あるいはOUに所属するオブジェクトに対して適用される。ポリシー設定の変更には、ポリシーエディタを使用する。
なお、GPOはひとつだけではなく、必要に応じて複数用意できる。だから、OUごとにGPOを別々に用意してリンクしておき、それぞれで異なる設定を行うと、OUごとに異なるポリシー設定を適用できる。このとき、あるOUから別のOUにオブジェクトを移動することで、適用するGPOも切り替わる。つまり、オブジェクトを配置するOUによってポリシー設定を使い分けられることになる。
逆に、あるGPOを複数のOUにリンクすることもでき、その場合には異なるOUに対して同じ設定を適用することになる。
なお、セキュリティ関連のポリシー設定は原則としてドメインが単位となっており、OUごとの使い分けは行えない。
グループポリシーの継承と上書き
グループポリシーには「継承」「上書き」というルールがある。具体的には、以下のような内容になる。
・OUのポリシーは、既定値では上位OUのポリシー設定を継承する
・上位OUに存在しないポリシー設定を行うと、それはそのまま有効になる
・上位OUに存在するポリシー設定と異なる設定を行うと、それが上位OUの設定を上書きする
そのため、上位OUでは当該階層全体に共通する設定を行い、その下の個々のOUでは、個別に必要な設定を追加していく、という形をとるのが合理的だ。もちろん、それぞれのOUごとに別々のGPOを用意して、リンクする必要がある。混乱しやすくなるので、上書きはできるだけ避ける方が良いかもしれない。
実際の設定作業では、最初に必要なポリシー設定をリストアップしておき、その中から共通するものを抜き出して上位のOUに設定、残りの非共通項目を個別のOUで設定するのがよいだろう。
[コンピュータの構成]と[ユーザーの構成]
GPOで設定するポリシー項目は、[コンピュータの構成]と[ユーザーの構成]に大別されており、ポリシーエディタのツリー画面も、[コンピュータの構成]と[ユーザーの構成]から設定項目を枝分かれさせる構成になっている。
[コンピュータの構成]と[ユーザーの構成]の違いは、ポリシーを適用する対象にある。[コンピュータの構成]以下のポリシー項目で設定した内容はコンピュータが単位となる。一方、[ユーザーの構成]以下のポリシー項目で設定した内容は個々のユーザーアカウントが単位になるため、同じコンピュータを複数のユーザーが共用している場合、設定次第でユーザーごとに異なる設定を適用できる。
また、[コンピュータの構成]に設定した内容は、適用対象となるコンピュータが起動した際に適用される。それに対して、[ユーザーの構成]に設定した内容は、適用対象となるユーザーがActive Directoryにログオンした際に適用される。
このように、適用する対象と適用するタイミングが異なり、当然ながらポリシー項目の内容も異なる。レジストリでいうところの「HKEYLOCALCOMPUTER」と「HKEYCURRENTUSER」の違いだといえば、理解しやすいかも知れない。
なお、Active Directoryでオブジェクトを分類する際に使用するコンテナのうち、[Builtin]、[Computers]、[ForeignSecurityPrincipals]、[Users]にはGPOをリンクできない。