PR

■グループ・ポリシーは適切な計画の下に実装すれば,クライアント管理に不可欠な存在になり得る。しかしグループ・ポリシーは仕組みが複雑で設定が多すぎるため,あまり活用されていないのが実態である。
■そこで今回は,グループ・ポリシーの仕組みを分かりやすく説明するとともに,クライアントを管理する上で役に立つテクニックを10個紹介する。

(2005年12月号「Windowsテクノロジ徹底解説」より)



 グループ・ポリシーは,適切な計画に従って実装すれば,Windowsクライアントの管理に不可欠なものとなり得る。ところが2つの障壁が,管理者による効果的なグループ・ポリシーの活用を阻んでいる。1つ目はグループ・ポリシーの仕組みやその割り当て方法などが,ユーザーに理解されていないことである。2つ目は,グループ・ポリシーでやりたいことが明確になっていないことである。

 グループ・ポリシーは設定項目が多い上に設定方法も様々で,困惑するのも無理はない。しかしグループ・ポリシーを理解することは難しくはない。いったん感覚をつかんだら,アイデアさえあれば実行に移せる。このことを踏まえて,今回はグループ・ポリシーの基本と,グループ・ポリシーを使ってWindowsクライアントを管理する10個の方法を紹介する。

グループ・ポリシーの基本


△ 図をクリックすると拡大されます
図1●グループ・ポリシーで編集できる主要なノード
 グループ・ポリシーは,WindowsのActive Directoryドメイン内にあるクライアントの振る舞いを集中して制御する仕組みである。Windows Server 2003でマイクロソフト管理コンソール(MMC)を起動して,[ファイル]−[スナップインの追加と削除]から[グループポリシーオブジェクトエディタ]を選択すると,図1のようなグループ・ポリシー・オブジェクト(GPO)のツリーが表示される。ここには,7つのメイン・ノードが存在する。各ノードを図に基づいて説明しよう。

 (1)の[ソフトウエアインストール]ノードは,ユーザーへのソフトウエアの割り当てと発行,コンピュータへのソフトウエアの適用を行うものである。

 (2)の[スクリプト]ノードでは,コンピュータの起動時と終了時,またはユーザーのログオン時とログオフ時に実行されるスクリプトを指定する。Windows Script Host(WSH)をサポートする言語であればスクリプト・オブジェクトに加えることができる。

 (3)の[セキュリティの設定]ノードでは,コンピュータやネットワークのセキュリティ設定を指定する。


△ 図をクリックすると拡大されます
図2●[管理用テンプレート]ノードに読み込むテンプレートを選択する画面
 (4)の[管理用テンプレート]ノードはレジストリ・ベースのポリシーで,デスクトップやアプリケーションの振る舞いと外観を制御する各種レジストリ設定を変更できる。管理用テンプレートでは,デフォルトで5つの「テンプレート」が読み込まれている(図2)。

 (5)の[リモートインストールサービス]ノードでは,リモート・インストール・サービス(RIS)機能を利用するクライアントに表示されるウィザード画面の内容を設定できる。

 (6)の[フォルダリダイレクト]ノードは,Windowsの特別なフォルダ(「マイ ドキュメント」「デスクトップ」「スタートメニュー」「Application Data(%userprofile%\Local Settings\Application Data)」)をネットワーク上の別の場所に移動するための設定である。

 (7)の[Internet Explorerのメンテナンス]ノードでは,IEの振る舞いを管理し,カスタマイズする。

GPOはドメインやOUにリンクする


△ 図をクリックすると拡大されます
図3●組織単位(OU)にGPOをリンクするための手順
 管理者はグループ・ポリシー・オブジェクト・エディタを使ってGPOに格納されているポリシー情報や設定を変更する。GPOはADにある適切なサイト,ドメイン,組織単位(OU)にリンクして,GPOが割り当てられるコンピュータやユーザーを特定する(図3)。

 OUには,ユーザーまたはコンピュータ・オブジェクトを所属させることで,デスクトップ・システムやユーザーを管理する。また,WMI(Windows Management Instrumentation)フィルタリングを使って,特定のポリシーを適用する対象となるオブジェクトの範囲を絞り込める。

 それではここから,グループ・ポリシーを使って実行できるクライアント管理の例を10個紹介しよう。

その1:起動時とログオン時に必ずネットワークに接続する

[コンピュータの構成]−[管理用テンプレート]−[システム]−[ログオン]−[コンピュータの起動およびログオンで常にネットワークを待つ]

 この設定は,Windows XPクライアントにGPOを確実に適用させる上で非常に重要である。なぜならWindows XPはWindows 2000と異なり,ログオン時に毎回GPOが同期されないようになった(これは起動とログオンを高速化するための仕様変更である)。そのためWindows XPでは,グループ・ポリシーが有効になるまでに,2~3回のログオンが必要になることがある。セキュリティ強化のためにグループ・ポリシーを活用するのであれば,クライアントのGPOは迅速にサーバーと同期される必要がある。その際はこの設定を有効にしておこう。

その2:RISを使ったOSの自動インストール

[ユーザーの構成]−[Windowsの設定]−[リモートインストールサービス]−[オプションの選択]

 リモート・インストール・サービス(RIS)は,Windows 2000/XP/Server 2003のインストール・イメージを,クライアントに配布する機能である。[リモートインストールサービス]ノードは,RISによるイメージのインストール時にクライアント・マシンに表示するウィザード画面のオプションを制御するための設定だ。

 例えば[自動セットアップ]のオプションを[有効]にしておけば,イメージのインストールは全自動で行われるようになる。[カスタムセットアップ]を[有効]にした場合,コンピュータの名前付け処理を手動で実行できる。

その3:ログオン/ログオフ・スクリプト

[コンピュータの構成]−[Windowsの設定]−[スクリプト(スタートアップ/シャットダウン)]
[ユーザーの構成]−[Windowsの設定]−[スクリプト(ログオン/ログオフ)]


△ 図をクリックすると拡大されます
図4●2つある「スクリプト」の違い
 デスクトップやユーザー環境の管理にログオン・スクリプトを使うことは陳腐化している——という考えは半分しか合っていない。グループ・ポリシーを使えば,スクリプトの実行先やタイミングがもっと強力に制御できる。ユーザーがドメインにログオンする際に実行される伝統的なログオン・スクリプトに加え,ユーザーがログオフするときに実行させるスクリプトや,コンピュータの起動/終了時に実行させるスクリプトも指定できる(図4)。

その4:クライアントのセキュリティ強化
 セキュア・デスクトップ・クライアントを実装するに当たっては,多面的な取り組みが必要である。グループ・ポリシーはセキュリティ戦略の構築に当たって,一貫性のある安定した基盤を確保してくれる。グループ・ポリシーは広範なセキュリティ設定を含んでおり,デスクトップ・コンピュータとユーザーに関連するポリシーの集中管理と実行を可能にする。

 セキュリティを確保する上で,グループ・ポリシーで管理できる重要な分野が4つある。(1)セキュリティ設定,(2)IPsecポリシー,(3)ソフトウエア制限ポリシー,(4)ワイヤレス・ネットワーク・ポリシー——である。これらのポリシーを構成するに当たっては,その影響を徹底的に理解している必要がある。また実稼働させる前に,念入りなテストを行う必要もあることも忘れないでほしい。

 (1)に対応するのが[コンピュータの構成]−[Windowsの設定]−[セキュリティの設定]にあるポリシー群だ。OSの詳細を構成できる。[ファイルシステム]と[レジストリ]では,ファイルやレジストリに対するアクセス許可を設定する。[ローカルポリシー]−[監査ポリシー]では監査に関する設定を,[アカウントポリシー]−[パスワードポリシー]ではパスワードに関する設定を,[イベントログ]ではイベント・ログに関する設定をそれぞれ施せる。

 なお「セキュリティ・テンプレート」をGPOに読み込むことで,簡単にセキュリティ設定を整理できる。デフォルトのテンプレートは「%systemroot%\Security\Templates」フォルダに置かれていて.infという拡張子が付いている。

 (2)の[IPセキュリティポリシー]は,IPsecに関するセキュリティ機能で,フィルタリング,認証,ネットワーク・トラフィックの暗号化のためにある。

 (3)の[コンピュータの構成]−[セキュリティの設定]ならびに[ユーザーの構成]−[セキュリティの設定]にある[ソフトウエアの制限ポリシー]は,クライアントにおけるソフトウエアの実行を禁止するものである。ユーザーまたはコンピュータ単位で,ソフトウエア実行の許可の可否を指定できる。

 (4)の[ワイヤレスネットワーク(IEEE802.11)]は,Windows XPの無線LAN設定を,Windows Server 2003を使って制御するものである。