Windows Server 2008で運用管理はどう変わる?(7) Active Directory 関連の仕様変更 - グループポリシー編

先週はActive Directory管理ツールに関わる仕様変更について取り上げた。今週は、グループポリシーについて見てみよう。単にポリシー項目が増えただけでなく、管理者の仕事に関わりがある仕様変更が何点かある。

グループポリシー : GPMC の標準装備化

Windows Server 2003とWindows Server 2008を比較したとき、グループポリシーに関して目につく変化といえば、管理ツールの変更だろう。Windows 2000やWindows Server 2003は[Active Directoryユーザーとコンピュータ]管理ツールでドメイン、あるいはOUのプロパティ画面からポリシーエディタを呼び出す方法を使用していたが、Windows Server 2008では、Windows Server 2003のように、後日提供となったグループポリシー管理コンソール(GPMC : Group Policy Management Console)が標準装備となった。

GPMCは、グループポリシーオブジェクト(GPO)と、ドメイン、OUへのリンクの関係を明確にできるだけでなく、GPOのバックアップやインポート、適用するポリシー設定のシミュレーション機能といった機能拡張を行っているため、これは歓迎できる仕様変更といえるだろう。

GPMCは、機能の1つという位置づけになっている。役割[Active Directoryドメインサービス]を追加してドメインコントローラとしてセットアップすると、自動的にGPMCも組み込むようになっているが、役割ではなく機能の1つなので、サーバーマネージャでは[役割]ではなく[機能]の下に現れる点に留意したい。

Windows Server 2008のActive Directoryでは、グループポリシーの管理ツールとしてGPMCを使用する

グループポリシー : スターターGPOの導入

グループポリシーでは、まずGPOを作成してからポリシーエディタで設定変更を行い、それをドメインやOUにリンクして適用する形をとっている。先に、ドメインやOUにリンクしたGPOを作成してから設定を変更してもよいが、いずれにしても、初期状態で作成するGPOの内容は同じだ。

しかし、複数のGPOを取り扱っていて、そのすべて、あるいは大半に同じ設定変更を行わなければならない場合、作業の手間が増える上に、変更を忘れるリスクも出てくる。そこでWindows Server 2008では、新機能としてスターターGPOを取り入れた。

スターターGPOをひとことでいうと、GPOのひな形を用意する機能だ。GPMCのツリー画面でドメイン名以下にある[スターターGPO]を選択してから、[操作]-[新規]、あるいは右クリックして[新規]を選択すると、スターターGPOを作成できる。

まず、スターターGPOにつける名前とコメントを指定する。続いて、通常のGPO編集と同様にして、ポリシーエディタを使って設定を変更しておく。すると、GPOを新規作成する際のダイアログで、作成するGPOの名前に加えて、ひな形となるスターターGPOの選択が可能になる。

この状態で、[(なし)]を選択すると既定の設定を持つGPOを新規作成するが、スターターGPOを選択すると、スターターGPOの内容を引き写したGPOを作成する。あとは、そのGPOに固有の設定項目だけを変更すればよい。

スターターGPOの作成を指示して、名前の指定やポリシー項目の設定変更を行うと、それを新規作成するGPOの雛形として利用できるようになる

作成したスターターGPOは、GPO新規作成時に選択可能だ。ここでは1つしか作成していないが、もちろん複数のスターターGPOを用意することもできる

グループポリシー : 管理用テンプレートの形式変更

グループポリシーでは、[管理用テンプレート]以下にポリシー項目を追加できる。その際には、対象となるソフトウェアや設定項目に関する記述を行ったファイルを用意する必要があり、Windowsのバージョンアップ、あるいはWindows用の追加ソフトウェアがそれぞれ、対応する管理用テンプレートを備えている場合が多い。

だから、たとえばActive DirectoryがWindows 2000ベースのままでも、Windows XP用の管理用テンプレートを追加することで、Windows XPに固有の設定機能を追加できる。Windows Desktop Searchのような追加ソフトウェアでも事情は同じだ。

Windows 2000 ServerとWindows Server 2003では、この管理用テンプレートは「.adm」という拡張子を持つテキスト形式のファイルだったが、Windows Server 2008ではXMLベースになり、拡張子も「.admx」に変化した。

追加の手順は従来と同じで、ポリシーエディタ左側のツリー画面で[管理用テンプレート]を選択して、[操作]-[テンプレートの追加と削除]、あるいは右クリックして、[テンプレートの追加と削除]を選択すればよい。続いて表示するダイアログで、管理用テンプレートのファイルを指定する。

このとき、Windows Server 2008用の「.admx」だけでなく、従来の「.adm」形式の管理用テンプレートも追加できる。ただし、この場合には[従来の管理用テンプレート(ADM)]というツリーが加わって、その下にポリシー項目のツリーが現れる点に留意したい。