ドメイン ベースの GPO を作成して構成する
GPO を管理するには、次の 2 つの主要なツールを使用します。
- グループ ポリシー管理コンソール
- グループ ポリシー管理エディター
次の表に示すように、Windows PowerShell コマンドレットを使用して、GPO とその設定を管理することもできます。
コマンドレット
説明
New-GPO
新しい GPO を作成します。
New-GPLink
GPO をサイト、ドメイン、または OU にリンクします。
Get-GPInheritance
指定したドメインまたは OU のグループ ポリシー継承情報を取得します。
Set-GPInheritance
指定したドメインまたは組織単位の継承をブロックまたはブロック解除します。
Get-GPO
ドメイン内の 1 つの GPO またはすべての GPO を取得します。
GPO を使用して管理できるもの
ポリシー設定には、[コンピューターの構成] ノードに含まれるコンピューターの設定と、[ユーザーの構成] ノードに含まれるユーザーの設定の、2 つの主要なカテゴリがあります。
- [コンピューターの構成] ノードには、ログオンしているユーザーに関係なく、コンピューターに適用される設定が含まれています。 コンピューターの設定は、オペレーティング システムの起動時、バックグラウンド更新の間、およびそれ以降の 90 分から 120 分ごとに適用されます。
- [ユーザーの構成] ノードに含まれている設定は、ユーザーがコンピューターにログオンしたとき、バックグラウンド更新の間、およびそれ以降の 90 分から 120 分ごとに適用されます。
[コンピューターの構成] ノードと [ユーザーの構成] ノードには、[ポリシー] ノードと [詳細設定] ノードがあります。
[コンピューターの構成] と [ユーザーの構成] の [ポリシー] ノードには、ポリシー設定を含むフォルダーの階層があります。 何千もの設定があるため、このコースでは個々の設定については説明しません。 ただし、構成できる設定の種類を確認しておくと役に立ちます。
セキュリティ設定の適用
Windows Server オペレーティング システムの GPO には、ユーザーとコンピューターの両方に適用できるセキュリティ関連の設定が多数含まれています。 たとえば、ドメインのパスワード ポリシーや Windows Defender ファイアウォールに対して設定を適用したり、監査や他のセキュリティ設定を構成したりすることができます。 また、ユーザー権利の割り当ての完全なセットを構成することもできます。
デスクトップとアプリケーションの設定を管理する
グループ ポリシーを使用すると、組織内のすべてのユーザーに、デスクトップとアプリケーションの一貫した環境を提供できます。 GPO を使用すると、ユーザー環境の表現に影響を与える各設定を構成できます。 また、GPO をサポートする一部のアプリケーションの設定を構成することもできます。
ソフトウェアを展開する
グループ ポリシーを使用して、ユーザーとコンピューターにソフトウェアを展開できます。 グループ ポリシーを使用すると、.msi 形式で使用可能なすべてのソフトウェアを展開できます。 また、ソフトウェアの自動インストールを強制することも、ソフトウェアをコンピューターに展開するかどうかをユーザーに決定させることもできます。
重要
GPO を使用して大きなソフトウェア パッケージを展開することは、組織のコンピューターにアプリケーションを配布するための最も効率的な方法ではない可能性があります。 状況によっては、デスクトップ コンピューター イメージの一部としてアプリケーションを配布する方が効果的な場合があります。
フォルダー リダイレクトを管理する
[フォルダーのリダイレクト] オプションを使用すると、ユーザーのデータ ファイルを簡単にバックアップできます。 フォルダーをリダイレクトすることで、ユーザーが、サインインしているコンピューターに関係なく、自分のデータにアクセスできるようにすることもできます。 さらに、すべてのユーザーのデータをネットワーク サーバー上の 1 か所に一元化しながら、これらのフォルダーがユーザーのコンピューターに保存されているのと同様のユーザー エクスペリエンスを提供することもできます。 たとえば、ユーザーのドキュメント フォルダーがネットワーク サーバー上の共有フォルダーにリダイレクトされるように、フォルダー リダイレクトを構成できます。
ネットワーク設定の構成
グループ ポリシーを使用すると、クライアント コンピューターのさまざまなネットワーク設定を構成できます。 たとえば、ユーザーが事前に定義された認証と暗号化の設定を使用して特定の Wi-Fi ネットワークの SSID にのみ接続することを許可するように、ワイヤレス ネットワークの設定を適用することができます。 ワイヤード (有線) ネットワークの設定に適用されるポリシーを展開することもできます。一部の Windows サーバーの役割では、グループ ポリシーを使用して、DirectAccess などのサービスのクライアント側が構成されています。
GPO の適用に関するトラブルシューティング
グループ ポリシーの継承、フィルター、例外は複雑であり、多くの場合、どのポリシー設定が適用されるかを判断するのは困難です。 RSoP は、GPO のリンク、強制や継承のブロックなどの例外、セキュリティと WMI のフィルターの適用が考慮された、ユーザーまたはコンピューターに適用される GPO の実質的な効果です。
RSoP は、グループ ポリシー設定の適用の評価、モデル化、トラブルシューティングに使用できるツールのコレクションでもあります。 RSoP を使用すると、ローカル コンピューターまたはリモート コンピューターに対してクエリを実行し、コンピューターおよびコンピューターにログオンしているすべてのユーザーに適用される正確な設定のレポートを取得できます。 RSoP では、OU 間またはサイト間でのオブジェクトの移動や、オブジェクトのグループ メンバーシップの変更など、さまざまなシナリオでユーザーまたはコンピューターに適用されることが予想されるポリシー設定をモデル化することもできます。 これらの機能により、RSoP はポリシーの競合の管理とトラブルシューティングに役立ちます。 RSoP 分析を実行するために、次のツールが用意されています。
- グループ ポリシーの結果ウィザード。
- グループ ポリシーのモデル作成ウィザード。
- GPResult.exe。
デモンストレーション
次の動画では、GPO を作成、構成、適用する方法が実演されています。 このプロセスの主な手順は以下のとおりです。
- グループ ポリシー管理コンソールを起動します。
- [グループ ポリシー オブジェクト] コンテナーに移動します。
- 新しい GPO を作成します。
- 編集用に GPO を開き、一部のユーザー設定を変更します。
- GPO を
Contoso.com
ドメインにリンクします。 - 管理者としてクライアント コンピューターにサインインし、ファイアウォール経由でリモート イベント ログ管理と WMI を有効にします。
- 標準のユーザーとしてサインインし、ローカル コンピューターで GPO の効果を確認します。
- 新しい GPO を作成し、その設定を編集して、OU にリンクします。 継承の設定を確認します。
- ポリシーがグループのみに適用され、認証されたユーザーには適用されないように、セキュリティ フィルターの設定を変更します。
- 継承とセキュリティ フィルターの変更の影響を確認します。