PR

 本特集では、Samba 4のActive Directory Domain Controller(AD DC)を利用した環境において、グループポリシーを設定する手順を説明していく。グループポリシーをうまく設定することにより、ドメイン内のユーザーやコンピュータを効率的に管理、制御できる。まずは、グループポリシーの設定ツールについて紹介する。

(1)グループポリシーとは

 グループポリシーとは、Active Directoryから利用可能になった機能で、Active Directoryドメインに所属するWindows端末のユーザーやコンピューターに対してリモートコンフィグレーション(遠隔操作による統括的な管理や制御)を行うものである。グループポリシーを利用することで、ドメインの管理者はドメイン内のユーザーやコンピューターに対して、自動的に管理者の用意した設定値を強制できるようになる。

 Samba 3では、グループポリシーが利用可能になる以前に用意されていた「システムポリシー」と呼ばれる機能を利用可能だった。システムポリシーでは、設定可能な項目が一部のレジストリー値に限られるという制約があった。しかも、Windows端末がシステムポリシーを読み込んだ際にシステムポリシー適用前のレジストリー設定を上書きしてしまうので、いったんシステムポリシーを適用すると、適用前の状態に戻すことが困難だった。

 さらに、システムポリシーは単にレジストリーを変更するものなので、ユーザー権限で操作可能な範囲についてはユーザーがレジストリーを再変更して制限を解除できてしまうという問題も抱えていた。

 グループポリシーとシステムポリシーの違いは表1の通り。グループポリシーはシステムポリシーの後継版として用意された経緯もあり、システムポリシーを利用する上で問題となった箇所について対策が施され、機能が向上している。

表1●グループポリシーとシステムポリシーの差異
 グループポリシーシステムポリシー
設定可能な項目Windows全般の設定変更、ソフトウエアの自動インストールなどレジストリーのみ
設定対象複雑な条件を付けて対象を絞り込み可能ユーザー、グループ、コンピュータのうち1種類以上の対象すべてに適用
設定の一貫性ポリシー用の領域に書き込む。ユーザーは変更不可通常のレジストリーに書き込む。ユーザーが変更可能
提供されるツールGUIベースの管理ツールやリモート管理機能ポリシーファイル作成ツールのみ