\r\n\r\n
Windowsの技術的な部分を掘り下げたことがある人、あるいはIT部門の噂話を聞いたことがある人なら、グループポリシーについて聞いたことがあるかもしれませんね。しかし、その中で仕事をしたことがない限り、使ったことはないでしょう。
このWindowsの重要な構成要素であるグループポリシーとは何か、なぜ重要なのか、どのように表示するのかを見ていきましょう。
グループポリシーは、アカウントやアプリケーション、Windows自体の動作を制御することができるWindowsの機能です。主に企業で使用されていますが、ホームユーザーにも便利です(これについては後ほど説明します)。
それ自体では、グループ設定ポリシーは1台のコンピュータにしか適用されません。完全なコンフィギュレーションを設定することはできますが、それだけではあまり意味がありません。そのため、Group PolicyはBusiness SettingsのActive Directoryと組み合わされています。
先ほどのWindowsドメインの説明でも触れたが、activedirectoryは、大量のユーザー管理を簡略化するMicrosoftのユーザー管理サービスである。IT管理者は、サーバー上のグループポリシー設定を変更することができ、それらはすぐにすべてのワークステーションコンピュータ上で更新されます。
ドメインに参加するにはWindowsのプロフェッショナル版が必要なため、グループポリシーはWindowsのプロフェッショナル版(またはそれ以上)のみで利用できます。ホームユーザーが使用するには、グループポリシーソリューションを試す必要があります。
GPOとは、Group Policy Objectの略で、特定のシステムに対して定義されたグループポリシー設定の集合体である。
誰かがドメインコンピュータにログオンすると、そのコンピュータはドメインコントローラにチェックインし、最近のグループポリシーの変更を取得します。その際、サーバーから最新のGPOをダウンロードしています。
企業では、さまざまなタイプのユーザーに対して複数のGPOを設定することがあります。標準グループは、ユーザーアカウントをロックアウトし、サーバー上の共有フォルダーへのアクセスを防止することができます。また、エグゼクティブのチームでは、GPOが全く異なるため、Windowsの動作も異なる。
Windows Proには、ローカルのグループポリシーを表示・変更するための「グループポリシーエディター」というプログラムが含まれています。アクセスするには、gpedit.mscと入力するか、他の方法でグループポリシーエディターを開くだけです。
グループポリシーエディタで、「コンピュータの構成」と「ユーザーの構成」フィールドが表示されます。ご想像のとおり、前者はコンピュータ全体に適用される設定を保持し、ユーザー設定は現在のユーザーにのみ適用されます。
ここで様々なオプションを調整することができます。以下、いくつかの例を示します。
ほとんどのグループポリシーは、レジストリの値を変更するだけです。グループポリシーはよりユーザーフレンドリーであり、リスクも少ないので、システム管理者がレジストリを掘り下げる理由はあまりない。
グループポリシーへのアクセス方法がわかったところで、企業はグループポリシーを使って何ができるのでしょうか。
Windowsの初期設定では、ドキュメントやピクチャーなどの標準的なフォルダーは、C:⇄Users [ユーザー名]に置かれます。しかし、企業によっては、従業員が文書をサーバーに保存して簡単に取り出せるようにしたり、部署間でリソースを簡単に共有できるようにすることを好む場合もあります。
この場合、グループポリシーを使って、これらのユーザーフォルダを各自で簡単に振り分けることができます。ファイルエクスプローラーで「ドキュメント」のショートカットをクリックすると、ローカルフォルダーではなく、ネットワークリソースにアクセスできるようになるのです。
Windowsでは、「設定」アプリケーションや「コントロールパネル」を通じて、さまざまな設定を変更することができます。管理者は、ユーザーがこれらをすべて自分の好きなように変更することを望んでいない。
そのため、グループポリシーを使ってこれらの設定を行い、ユーザーが設定を変更できないようにロックすることができます。例えば、設定した時間が経過するとディスプレイの電源が切れるように電源オプションを設定したり、デフォルトのプログラムを選択したり、インターネット接続オプションを変更できないようにユーザーをロックしたりすることが可能です。
グループポリシーは、アカウントセキュリティのための多くの条件を設定することができます。ITスタッフは、パスワードポリシーを設定し、最小の長さを指定し、複雑さを強制し、定期的にパスワードを変更するようにユーザに強制することが可能です。ロックアウト・ポリシーは、ユーザーが不正な認証情報を繰り返し入力した場合に、そのアカウントを凍結するために使用することもできます。
このPC」ウィンドウでローカルのC:ドライブはよく知られていますが、ネットワークの場所も自分のドライブとして追加できることをご存じですか?これにより、ユーザーは正確な場所を覚える必要がないため、会社のサーバーにあるフォルダーに簡単にアクセスすることができます。
新しいユーザーごとにネットワーク共有を手動で追加する代わりに、グループポリシーによって自動的にマッピングすることができます。場所が変わっても、個々のコンピュータで何十回、何百回と調整するのではなく、GPOで一度調整すればよいのです。
企業が新しいプリンタを導入する場合、グループポリシーに追加し、すべてのコンピュータにそのドライバをインストールするだけです。
グループポリシーで利用できるオプションの中には、驚くようなものがあるかもしれません。中には、ほとんどバカバカしいと思われるものもありますが、どんな状況でもウィンドウをきめ細かくコントロールすることができるのです。パソコンを改善するために最適なグループポリシーを紹介します。
もっと深い例もあります。
上記のLocal Group Policy Editor, gpedit.msc ソフトウェアは、1台のコンピュータでのみ使用可能です。ドメインを管理するには、ドメインコントローラーにインストールされたグループポリシー管理コンソール(GPMC)を使用する必要があります。
GPMCでは、インポートやエクスポート、gpoの検索、レポートの作成などのオプションが追加されています。ネットワーク全体にgpoを適用するために設計された企業レベルのツールです。
グループポリシー管理コンソールを表示したい場合は、Windows Pro(またはそれ以上のバージョン)に追加してください。まず、Windowsリモートサーバー管理ツール(Windows 10 | Windows 7)をインストールする必要があります。
その後、スタートメニューに「windows features」と入力し、「Turn windows features on or off」を開いてください。下の「リモートサーバー管理ツール」と「機能管理ツール」を展開し、「グループポリシー管理ツール」も選択されていることを確認します。
ツールを起動するには、gpmc.msc と入力して、スタートメニューまたは実行ダイアログボックスにアクセスします。しかし、サーバーでないコンピュータでこの機能を使う意味はほとんどないことを覚えておいてください。
ビジネスで使用するためのグループポリシーをマスターしたい方は、Courseraの「システム管理およびITインフラストラクチャサービス」コースで、グループポリシーの情報をご確認ください。
グループポリシーとは何か、グループポリシーエディターへのアクセス方法とその目的については、すでに学びました。もし、何も覚えていなくても、グループポリシーによって、システム管理者がドメイン上のコンピュータのすべてのウィンドウ面を中央から制御できることだけは知っておいてください。
一般家庭のユーザーにとって、グループポリシーは使う必要がないものですが、Windowsの重要な部分であり、学ぶ価値があるものです。
例えば、グループポリシーでどのようにシステムを調整するのか? 自分で安全に無効化できるWindows 10の機能を確認することができます。