今週と来週は、Windows 2000 ServerとWindows Server 2003における、グループポリシーの設定方法について解説する。これらのOSでは、ドメイン、あるいはOUのプロパティとしてGPOを作成するという手順をとるので、GPOとリンクの関係が分かりづらい。しかし、同じGPOを複数のOUにリンクするのでなければ、これでも支障はないといえる。
なお、Active Directoryを新規構成した時点で、ドメインには[Default Domain Policy]、[Domain Controllers]OUには[Default Domain Controllers Policy]というGPOを、最初から作成・リンクした状態になっている。これらのGPOの内容は新規作成したGPOの既定値とは異なっている。また、この2種類のGPOはそれぞれ、設定内容に違いがある。
これら2種類のGPOに設定した内容はセキュリティを考慮したものであり、うかつに変更するとリスク要因になる可能性があるため、これらのGPOは特に理由がなければ手をつけず、新しいGPOを作成する方がよいだろう。そうすれば、設定を間違えてトラブルに見舞われたときに、GPOを削除して元に戻せるからだ。
ドメイン・OUへのGPOの追加
Windows 2000 ServerやWindows Server 2003で稼働するActive Directoryに対してグループポリシーの設定を行うには、[Active Directoryユーザーとコンピュータ]管理ツールを使用する。まず、GPOを作成する際の手順から解説しよう。
Active Directoryを構成した直後の状態では、グループポリシーを設定できる対象はドメイン自体、あるいは[Domain Controllers]OUに限られる。それ以外の場合、まず対象となるOUを作成してから、以下の手順でGPOを作成する必要がある。
[Active Directoryユーザーとコンピュータ]管理ツールを起動する。
左側のツリー画面で、グループポリシーの設定を行いたいドメイン、あるいはOUを選択する。
[操作]-[プロパティ]、あるいは右クリックして[プロパティ]を選択する。
続いて表示するプロパティ画面で、[グループポリシー]タブに移動する。
ポリシー設定を行うには、既存のGPOを編集する方法と、新規にGPOを作成する方法がある。新規作成の場合、このダイアログで[新規]をクリックすると、既定値の設定でGPOを新規作成する。
GPOを作成した直後は名前が編集可能な状態になっているので、内容が判りやすいような名前を付けておくとよい(GPOの名前は後からでも変更できる)。
話が長くなるため、GPOの設定内容をポリシーエディタで変更する際の手順については、この後で項を分けて解説する。
GPOの編集
ドメインやOUのプロパティ画面にある[グループポリシー]タブでは、当該ドメインやOUに対して作成・リンクしてあるGPOの一覧を表示している。それぞれのGPOごとに、編集操作を行ってポリシーの設定を行うと、それが適用される仕組みだ。以下で、GPOを編集する際の手順について解説する。
- 一覧に表示している中から、内容を変更したいGPOを選択して、[編集]をクリックする。
ポリシーエディタが起動する。左側のツリー表示を展開すると、さまざまな設定項目が現れる。
ツリー表示で目的の項目をクリックすると、右側に個別のポリシー設定が現れる。その中から、設定を変更したいものをダブルクリックするとダイアログを表示する。ツリーの末端まで展開すると右側に個別のポリシー項目が現れる場合が多いが、サブツリーとポリシー項目の両方が同居している場合もある。
ポリシー項目をダブルクリックしたときに表示するダイアログの内容は、ポリシー項目によって異なる。単に有効・無効を切り替えるだけのものもあれば、有効にした上で数値を指定するもの、あるいは文字列を指定するもの、ユーザーアカウントやグループを指定するものなど、さまざまなポリシー項目がある。具体例については、いずれ個々の項目について解説する際に、併せて説明することにしよう。
そのダイアログでポリシー項目の設定変更を行い、[OK]をクリックしてダイアログを閉じる。すると、設定変更の結果が編集中のGPOに反映される。
こうしてポリシーエディタによる設定変更が完了したら、ポリシーエディタのウィンドウを閉じる。