PR

 正解は2です。

 セキュリティテンプレートとは,Windows のセキュリティポリシーの設定をファイルとして保存したものです。「テンプレート」という名のとおり,セキュリティ設定の雛形として使用できます(図1)

図1●セキュリティテンプレート
図1●セキュリティテンプレート [画像のクリックで拡大表示]

 コンピュータのローカルに適用したり,Active Directoryのグループポリシー内の [セキュリティの設定] の項目にインポートしたりすることも可能です(図2)。複数台のコンピュータに展開するには,後者の方法が便利です。

図2●セキュリティテンプレートのインポート
図2●セキュリティテンプレートのインポート [画像のクリックで拡大表示]

 問題のシナリオでは,すでにセキュリティテンプレートに必要な設定は構成済みになっているので,Active Directory のグループポリシー内にインポートするのが最も効率がよい方法です。セキュリティテンプレートは,複数インポートすることもできるので,ベースのグループポリシーと各サーバーの役割ごとのグループポリシーを統合することも可能です。しかし,ベースのセキュリティ設定が変更されるケースを考えると,ポリシーを分けるほうが管理の手間はかからずに済みます。

 ベースとなるグループポリシーを作成して必要な設定をした後,すべてのサーバーが格納されているOU(Organization Unit)にリンクし,役割ごとのグループポリシーを作成し必要な設定をした後,それぞれのサーバーが格納されているOUにリンクする方法でも,最終的な目的は果たすことができます。しかし,グループポリシーに対して何度も構成するのは,作業負荷が高い上,設定ミスのリスクもあります。従って,1は誤りです。

 グループポリシーの管理ツールを使用して,各サーバーのグループポリシーの結果レポートを作成すると,グループポリシーの適用状況を調べることはできますが,グループポリシーが適用されるわけではありません(図3)。従って,3は誤りです。

図3●グループポリシーの管理
図3●グループポリシーの管理 [画像のクリックで拡大表示]

 GPUPDATE は,コンピュータ上でグループポリシーをすぐに適用したいときに使用するコマンドラインツールです。セキュリティテンプレートを使用してローカルコンピュータにセキュリティの設定を行うには,SECEDIT コマンドラインツールを使用します。従って,4は誤りです。