1. クラウドサービスのbit-drive TOP>
  2. Windows Server 2003 移行支援サイト>
  3. 連載コラム Windows Server活用のススメ
  4. Active Directory のグループポリシー 使いこなさないと勿体無い!
[連載コラム]

Windows Server活用のススメ

Active Directory のグループポリシー 使いこなさないと勿体無い!

  • グループポリシー基本設定とは?
  • グループポリシー基本設定の項目と用途
  • グループポリシー基本設定の利用の流れ

みなさん、こんにちは、知北です。今回のコラムではグループポリシーの機能の一つである「グループポリシー基本設定」についてご紹介します。

多くのユーザ環境で Active Directory が導入されていると思いますが、そこではグループポリシーを使ってユーザアカウントやコンピュータアカウントの一括管理をされていることでしょう。
この Active Directory におけるグループポリシーは、「グループポリシー設定」と「グループポリシー基本設定」の二つによって構成されていますが、ほとんどの Active Directory 環境では前者しか使われていないのではないでしょうか。(ちなみに、英語表記では前者は「Group Policy Settings」、後者は「Group Policy Preferences」です。)

グループポリシー基本設定とは?

今回のコラムで紹介する「グループポリシー基本設定」は、 Windows Server 2008 から実装されているドメインベースの GPO (グループポリシーオブジェクト)でのみ利用可能な機能です。かつてはコマンドやバッチファイルなどのスクリプトを駆使して自動化していた処理や設定を、グループポリシーの一つの機能として GUI で設定することができます。例えば、項目が多い Internet Explorer のオプションも、直感的な設定が可能です。

グループポリシー管理エディター 新しいInternet Explorer 10のプロパティ

この「グループポリシー基本設定」は Windows Server 2008 、および Windows Vista の時代に追加された機能であるため、それよりも以前のOSである Windows XP などには、追加のプログラムである「グループポリシーの基本設定クライアント側拡張機能」を事前に配布しておかなければ利用できないといった制約がありました。これが、「グループポリシー基本設定」がいまひとつ利用されなかった大きな理由ではないかと考えています。
しかしながら、2014年4月の Windows XP サポート終了後は、組織で利用される Windows コンピュータの大半は Windows 7 や Windows 8/8.1 が占めることになったでしょうから、追加のプログラムを事前配布することなく、すぐに「グループポリシー基本設定」が利用できるようになりました。

このページの上部へ

グループポリシー基本設定の項目と用途

「グループポリシー基本設定」は、従来からの「グループポリシー設定」と同様に、適用対象がコンピュータとユーザに二分されます。さらに、コンピュータとユーザそれぞれで「Windows の設定」と「コントロールパネルの設定」のカテゴリに分かれており、次の表のように、多数の「基本設定項目」が用意されています。

カテゴリ 基本設定項目 適用対象 説明
コンピ
ュータ
ユーザ
Windows の設定 アプリケーション - アプリケーションの構成を行います。アプリケーションベンダーによってプラグインが開発されている場合に利用できます。
ドライブマップ - ファイルサーバの共有フォルダなどをドライブマッピングするための機能です。
環境 環境変数を作成、変更、または削除するための機能です。
ファイル ファイルの属性の変更、ファイルのコピー、置換、削除など、ファイルに関する操作を行う機能です。
フォルダ フォルダを作成、変更、または削除する機能です。
ini ファイル アプリケーションの構成ファイルである「INI」ファイルや、セットアップ情報である「INF」ファイルに対して、セクションやプロパティを追加、置換、削除する機能です。
レジストリ レジストリを操作するための機能です。また、あるコンピュータのレジストリを他のコンピュータにコピーするようなことも可能です。
ネットワーク共有 - ネットワーク共有を作成、変更、または削除 (共有解除) する機能です。
ショートカット ショートカットを作成、変更、または削除する機能です。
コントロールパネルの設定 データソース ODBC(Open Database Connectivity)データ ソース名を作成、変更、または削除する機能です。
デバイス ハードウェアデバイスやデバイスのクラスを有効化、無効化するための機能です。
フォルダーオプション フォルダーオプションを構成する機能です。
[プログラムから開く] に表示される、ファイル名拡張子への関連付けを作成、変更、または削除します。また、ファイルの種類に関連付けるファイル拡張子を作成、変更、または削除します。
インターネット設定 - Internet Explorer の設定を変更する機能です。
Internet Explorer のバージョンごとの設定ができます。
ローカルユーザーとグループ ローカルユーザーやグループを作成、変更、削除するための機能です。
ネットワークオプション 仮想プライベートネットワーク(VPN)接続や、ダイヤルアップネットワーク(DUN)接続の作成、変更、削除を行うための機能です。
電源オプション 電源オプションの変更と、電源設定の作成、変更、または削除を行うための機能です。
プリンター TCP/IP、共有、およびローカルのプリンター接続を作成、変更、または削除する機能です。
地域のオプション - 地域のオプションを変更する機能です。
タスク スケジュールされたタスクまたは即時実行タスクを作成、変更、または削除する機能です。
サービス - Windowsコンピュータが持つ「サービス」の制御を行うことができる機能です。
[スタート]メニュー - [スタート]メニュー オプションを変更する機能です。

これら多数の基本設定項目を持つ「グループポリシー基本設定」は、次のような用途が考えられます。

  • 「インターネット設定」を使って、Internet Explorer を開いたときに表示されるホームページ設定を社内ポータル Web サイトにする
  • 「ショートカット」を使って、ユーザの利用頻度が高い社内サーバの共有フォルダや、社内ポータル Web サイトへのショートカットをデスクトップに作成する
  • 「ドライブマップ」を使って、ファイルサーバの共有フォルダを「Eドライブ」や「Fドライブ」のように見せる
  • 「プリンター」を使って、共有プリンターへの接続を行う
  • 「ファイル」を使って、ユーザが利用しているコンピュータから特定の情報(ファイル)を収集、逆にファイルをプッシュする
  • 「レジストリ」を使って、エンドユーザに操作させることなく、安全にアプリケーションやシステムの制御を行う
  • 「データソース」を使って、ODBCによってアクセスするデータベースやシステムのための設定を行う
  • 「デバイス」を使って、特定のデバイスの利用を制限する
  • 「ローカルユーザーとグループ」を使って、一時的にあるグループやユーザに各コンピュータのメンテナンスを実施させるために、それぞれのコンピュータの管理者グループ(Administrators ローカルグループ)のメンバーにする
このページの上部へ

グループポリシー基本設定の利用の流れ

従来からの「グループポリシー設定」とほぼ同様の操作で、「グループポリシー基本設定」を利用することができます。Active Directory ドメインコントローラーなどにインストールされている「グループポリシーの管理(GPMC)」を使って、次のように操作します。

  1. GPO(グループポリシーオブジェクト)を作成、編集する
  2. ドメインや OU に GPO をリンクする

GPOが適用されたコンピュータの起動時や、ユーザのログオン時に、指定した動作が実行されます。

このページの上部へ

グループポリシー基本設定のための GPO の編集

GPO の編集は、従来からの「グループポリシー設定」とは若干異なります。
GPO の編集画面を開き、「コンピュータの構成」や「ユーザの構成」の「基本設定」を展開します。さらにその配下にある「基本設定項目」のアイコンを右クリックして「新規作成」から作成していきます。
大半の基本設定項目のプロパティには、「全般」タブと「共通」タブがあり、「全般」タブでその基本設定項目についての詳細を設定していきます。多くの場合、「アクション」という設定項目があります。対象となる基本設定項目によって詳細は異なりますが、大まかには次のような選択肢があります。

選択肢 説明
作成 新たな基本設定項目を作成します。
置換 既に存在している基本設定項目を置き換えます。
更新 既に存在している基本設定項目を削除して、新しいものを作成します。
削除 既に存在している基本設定項目を削除します。

「F3」キーを押すことにより、システム定義変数を選択することができます。

グループポリシー管理エディター 変数の選択

「インターネット設定」などでは、下線付きの設定や円の付いた設定があちこちに表示されることがあります。

新しい Internet Exploer 10のプロパティ portal.corp.itd-corp.jp 新しい Internet Exploer 10のプロパティ アクセラレータによるグラフィック

これら設定に付いている下線や円は、設定が現在有効であるか無効であるかを示しています。

  • 緑色の下線や緑色の円の付いた設定は有効
  • 赤色の下線や赤色の円の付いた設定は無効

これら設定の有効、無効を切り替えるには次のようなファンクションキーを押す必要があります。

キー 目的
F5 現在のタブのすべての設定を有効にします。
F6 現在選択されている設定を有効にします。
F7 現在選択されている設定を無効にします。
F8 現在のタブのすべての設定を無効にします。
このページの上部へ

まとめ

今回紹介した「グループポリシー基本設定」を使うことにより、スクリプトなどを作成することなく、Active Directory 環境のユーザやコンピュータの構成を管理することができます。Windows XP が存在しなくなったことにより、すぐに利用できるようになった組織も多いことでしょう。ぜひ、マイクロソフトの技術情報も参照しながら、利用を検討してください。

基本設定の概要

Windows Server活用のススメ 一覧へ

このページの上部へ

Windows Server最新書籍を抽選でプレゼント!

「Windows Server最新書籍プレゼント」は終了しました。
たくさんのご応募ありがとうございました。

標準テキスト Windows Server 2012 R2構築・運用・管理パーフェクトガイド

コラム執筆者 知北 直宏氏の標準テキスト Windows Server 2012 R2構築・運用・管理パーフェクトガイドを抽選で10名様にプレゼント!ベストセラー2008 R2の続編です。好評につき、第四弾!今回の締切は2015年7月31日です。お早めにご応募ください。
※当選は賞品の発送をもって代えさせていただきます。

このページの上部へ
アイティデザイン株式会社 代表取締役社長 知北 直宏

著者プロフィール

アイティデザイン株式会社 代表取締役社長 知北 直宏(ちきた なおひろ)
Microsoft MVP - Directory Services
マイクロソフトのサーバ製品を中心に、提案、設計、導入、そしてサポートまで、オールインワンで対応しているエンジニア。また、Windows NT時代から技術書籍を執筆。最近は、マイクロソフト主催イベントでの登壇や、マイクロソフトのホワイトペーパーの執筆なども行っている。
標準テキスト Windows Server 2008 R2構築・運用・管理パーフェクトガイド標準テキスト Windows Server 2012 R2構築・運用・管理パーフェクトガイド
主な著書:
標準テキスト Windows Server 2008 R2構築・運用・管理パーフェクトガイド
標準テキスト Windows Server 2012 R2構築・運用・管理パーフェクトガイド
  1. クラウドサービスのbit-drive TOP>
  2. Windows Server 2003 移行支援サイト>
  3. 連載コラム Windows Server活用のススメ
  4. Active Directory のグループポリシー 使いこなさないと勿体無い!