| あなたは,Active Directoryのエンタープライズ管理者である。すべてのクライアントはグループ・ポリシーを使って管理されている。最近,部門管理者から「全社ポリシーと部門ポリシーの設定が複雑で,得られる結果が予想しにくい」という報告があった。グループ・ポリシーの結果を予測するために,どのツールを使えばよいか。3つ選びなさい。なお,ドメイン・コントローラはWindows Server 2003とWindows 2000 Serverが混在しており,クライアントはWindows XP Professionalに統一されている。 1:Active Directoryユーザーとコンピュータ 2:GPRESULTコマンド 3:グループ・ポリシー管理コンソール 4:ヘルプとサポートセンターのツール 5:[ポリシーの結果セット]MMCスナップイン。 正しいものを3つ選んでください。 正解:1,3,5 |
グループ・ポリシー・エディタはグループ・ポリシーの設定には便利だが,各コンピュータやユーザーに実際に適用されるポリシーの内容を正しく予想するのが難しいと指摘されてきた。グループ・ポリシーには「継承」「例外」「セキュリティ・グループによるフィルタリング」などを設定できるため,これらが結果の予測を余計に難しくしている。
 図1●グループ・ポリシー管理コンソール(GPMC) グループ・ポリシーの結果セットを表示したところ。実際に設定した項目だけが表示されることに加え,見たい項目だけを詳細に展開できるため使いやすい。 [画像のクリックで拡大表示] |
 表1●グループ・ポリシーの結果セットを表示できるツール [画像のクリックで拡大表示] |
こうした声にこたえるため,Windows XPにはグループ・ポリシーの適用結果を表示するGPRESULTコマンドが追加され,[ヘルプとサポートセンター]にも同等機能が追加された。GPRESULTコマンドはWindows 2000リソース・キットのツールが標準コマンドに昇格したものだ。ただし,これらの機能は実際に適用された結果を見る機能であり,事前に予測する機能ではない。実行結果も決して見やすいとはいえない。
グループ・ポリシーの適用結果を予測する機能は,Windows Server 2003で組み込まれた(表1[拡大表示])。最も便利なのは,Windows Server 2003の無償オプションである「グループ・ポリシー管理コンソール(GPMC)」である(図1[拡大表示])。このツールはWindows XP Service Pack 1+.NET Frameworkの環境でも利用可能だ。このほか,マイクロソフト管理コンソール(MMC)の[ポリシーの結果セット(RSoP)]スナップインも使える。
いずれのツールも,実際の結果を表示する機能(ログ・モード)と結果を予測する機能(計画モード)の両方を備えている。ただし,どちらのツールも計画モードではWindows Server 2003のドメイン・コントローラ上で動作する特定のサービスを必要とする。両ツールはどうやら内部的に同じ機能を流用しているようで,得られる結果も変わらない。ただし,見やすさの面ではGPMCが圧倒的に有利である。
ログ・モードを使う場合,実際にグループ・ポリシーが適用されたPCとネットワーク経由で通信する必要がある。そのため,グループ・ポリシーの適用結果を調べたいPCが起動していなければならない。またユーザーの構成を調査するには,そのPCにユーザー・プロファイルが作成されている必要がある。つまり,少なくとも一度は当該PCにログオンしている必要がある。
計画モードを使う場合,実際のPCは不要だ。管理者は任意のOUを指定して,コンピュータやユーザーの構成をシミュレートできる。また,セキュリティ・グループによるフィルタリングなどもサポートする。
