GPO とは

  • 7 分

Windows Server の初期のバージョンから、Windows オペレーティング システムのグループ ポリシー機能により、管理者が設定を一元的に定義してから、組織全体のコンピューターに展開できるインフラストラクチャが提供されています。

その結果、Contoso の IT スタッフは、GPO の設定を使用して、構成全体を定義、適用、更新することができます。 GPO の設定を使用することにより、サイト全体または組織内のドメインに影響を与えることや、1 つの OU に対象を絞ることができます。

ヒント

セキュリティ グループのメンバーシップと物理コンピューターの属性に基づくフィルター処理により、Contoso は GPO の設定のターゲットをさらに定義できます。

グループ ポリシーとは

グループ ポリシーは、AD DS 内、ドメイン コントローラー上、および各 Windows Server とクライアント上にコンポーネントが存在する Windows オペレーティング システムのフレームワークです。 これらのコンポーネントを使用することにより、AD DS ドメインの構成を管理できます。 グループ ポリシーの設定は GPO 内で定義します。 GPO は、ユーザーまたはコンピューターの 1 つ以上の構成設定に適用される 1 つ以上のポリシー設定が含まれるオブジェクトです。

A screenshot of the Group Policy Management console. The administrator has selected the Contoso.com domain. Displayed are three GPOs. Also displayed are the OUs in the domain, some of which have linked GPOs.

グループ ポリシーは、強力な管理ツールです。 GPO を使用して、多数のユーザーとコンピューターにさまざまな設定をプッシュできます。 これらの設定は、ローカル コンピューターからドメインまで、さまざまなレベルに適用できるため、これらの設定を正確に絞り込むこともできます。 グループ ポリシーは、主に、ユーザーに構成させたくない設定を構成するのに使用します。 さらに、グループ ポリシーを使用すると、組織単位 (OU) または組織全体のすべてのコンピューター上のデスクトップ環境を標準化することもできます。 また、グループ ポリシーを使用して、追加のセキュリティを提供したり、システムの高度な設定を構成したり、以降のデモ ユニットで説明するその他の目的に使用したりすることもできます。

A screenshot of the Group Policy Management Editor. The administrator has expanded the Computer Configuration and User Configuration nodes to display the Policies and Preferences folders.

GPO とは

グループ ポリシーの最も小さいコンポーネントは、個別のポリシー設定です。 個々のポリシー設定で、ユーザーがレジストリ編集ツールにアクセスできないようにするポリシー設定など、特定の構成を定義します。 そのポリシー設定を定義してユーザーに適用した場合、そのユーザーは Regedit.exe などのツールを実行できなくなります。

ユーザーに影響を与える設定は、ユーザー構成設定またはユーザー ポリシーと呼ばれ、コンピューターに影響を与える設定は、コンピューター構成設定またはコンピューター ポリシーと呼ばれます。

重要

グループに直接影響を与える設定はなく、ユーザー オブジェクトとコンピューター オブジェクトにのみ適用されます。

グループ ポリシーによりさまざまなポリシー設定が管理され、グループ ポリシー フレームワークは拡張可能です。 グループ ポリシーを使用すると、構成可能なほぼすべての設定を管理できます。

A screenshot of the Configure Automatic Updates dialog box in the Group Policy Management Editor. The setting is enabled. Other values are displayed.

ポリシー設定を定義するには:

  1. グループ ポリシー管理エディターで、ポリシー設定を見つけて、Enter キーを押します。 ポリシー設定の [プロパティ] ダイアログ ボックスが表示されます。
  2. ポリシーの状態を [有効] または [無効] に変更します。 ほとんどのポリシー設定には、[未構成]、[有効]、[無効] の 3 つの状態があります。
  3. 必要に応じて追加の値を構成し、終わったら [OK] を選択します。

GPO によりグループ ポリシーの設定が格納されます。 新しい GPO では、すべてのポリシー設定が既定で [未構成] に設定されています。 ポリシー設定を有効または無効にすると、Windows Server により、GPO が適用されるユーザーとコンピューターの構成が変更されます。

注意

設定の値を [未構成] に戻すと、既定値に戻ります。

ドメインで新しい GPO を作成するには:

  1. [グループ ポリシーの管理] で、右クリックするか、[グループ ポリシー オブジェクト] コンテナーのコンテキスト メニューにアクセスし、[新規] を選択します。
  2. GPO の構成設定を変更するには、右クリックするか、GPO のコンテキスト メニューにアクセスして、[編集] を選択します。 これにより、グループ ポリシー管理エディター スナップインが開きます。

グループ ポリシー管理エディターには、GPO で使用できるすべてのポリシー設定が、[コンピューターの構成] ノードと [ユーザーの構成] ノードという、コンピューターの設定とユーザーの設定の分割から始まる整理された階層に表示されます。

GPO は、[グループ ポリシー オブジェクト] という名前のコンテナーに表示されます。 階層の次の 2 つのレベルのノード名は、[ポリシー][詳細設定] です。 グループ ポリシー管理エディターの階層には、ノードまたはポリシー設定グループと呼ばれるフォルダーが表示されます。 ポリシー設定はフォルダー内にあります。

スターター GPO とは

スターター GPO をテンプレートとして使用して、グループ ポリシー管理コンソールで他の GPO を作成することができます。 スターター GPO には、管理用テンプレートの設定のみが含まれます。 スターター GPO を起点にして、ドメインに新しい GPO を作り始めることができます。 スターター GPO には、環境のベスト プラクティスである特定の設定が既に含まれている場合があります。 スターター GPO をキャビネット (.cab) ファイルにエクスポートしてインポートし、他の環境に簡単かつ効率的に配布することができます。

注意

スターター GPO は、グループ ポリシー管理コンソールの [SYSVOL] 内の [StarterGPOs] というフォルダーに格納されています。

注意

[SYSVOL] は、ドメイン コントローラー上の共有フォルダーです。

Microsoft により、Windows クライアント オペレーティング システム用の事前構成済みスターター GPO が収められています。 これらのスターター GPO には、Microsoft によってクライアント環境の構成に推奨されるベスト プラクティスが反映された管理用テンプレートの設定が含まれます。