ステップバイステップ ガイド : Windows Server 2003 のグループ ポリシー機能

公開日: 2005年1月7日

このステップバイステップ ガイドでは、グループ ポリシーの概要と、グループ ポリシー スナップインを使ってユーザー グループやコンピュータ グループに対してポリシーを設定する方法について説明します。

トピック

符號 はじめに

A 概要

B グループ ポリシーと Microsoft 管理コンソール

C 付録

D 関連資料

はじめに

ステップバイステップ ガイド

Microsoft Windows Server 2003 展開のステップバイステップ ガイドでは、多くの共通点を持つオペレーティング システム構成における実際上の操作を説明します。これらのガイドでは、Windows Server 2003 をインストールして共通ネットワーク インフラストラクチャを構築することから説明を始めます。そして、Active Directory® の構成、Windows XP Professional ワークステーションのインストールについて説明し、最後にワークステーションをドメインに追加する方法について説明します。これらのステップバイステップ ガイドの各分冊では、この共通ネットワーク インフラストラクチャが構築されていることを前提としています。このガイドで説明するネットワーク インフラストラクチャとは異なるインフラストラクチャを構築する場合は、適宜変更を加えながらガイドを読み進めてください。

共通ネットワーク インフラストラクチャの構築には、以下のガイドで説明する操作を完了する必要があります。

共通ネットワーク インフラストラクチャを構築すると、その他のステップバイステップ ガイドの操作を実行できるようになります。ただし、その他のステップバイステップ ガイドでは、共通ネットワーク インフラストラクチャ構築の要件に加えて、その他の前提条件が必要になる場合があります。詳細については、各ステップバイステップ ガイドの説明を参照してください。

Microsoft Virtual PC

Microsoft Windows Server 2003 展開のステップバイステップ ガイドで説明する内容は、現実のラボ環境で実装することができ、Microsoft Virtual PC 2004 や Microsoft Virtual Server 2005 のような仮想化テクノロジを使って実装することもできます。仮想コンピュータ テクノロジを使用すると、単一の物理サーバー上で複数のオペレーティング システムを並行して稼働させることができます。Virtual PC 2004 と Virtual Server 2005 は、ソフトウェアのテストや開発、レガシ アプリケーションの移行、サーバー統合シナリオにおいて、業務効率を高めるように設計されています。

Microsoft Windows Server 2003 展開のステップバイステップ ガイドでは、現実のラボ環境での構成を前提としています。ただし、大部分の構成はそのまま仮想環境に適用できます。

このステップバイステップ ガイドに記載する概念を仮想環境に適用する場合の説明については、ここでは割愛します。

重要

このドキュメントで使用している会社、組織、製品、ドメイン名、電子メール アドレス、ロゴ、人物、場所、イベントなどの名称は架空のものです。実在する会社名、組織名、製品名、ドメイン名、電子メール アドレス、ロゴ、個人名、場所名、イベント名などは一切関係ありません。

この共通インフラストラクチャは、プライベート ネットワークで使用する目的で設計されています。共通インフラストラクチャで使用する架空の企業名と DNS (Domain Name System) 名は、インターネット上で使用するための登録が行われていません。パブリック ネットワークやインターネット上では、この名前を使用しないようにしてください。

この共通インフラストラクチャの Active Directory サービス構造は、Windows Server 2003 のの変更と構成管理機能の概要、および Active Directory との関連を示すために設計されたものです。企業で Active Directory を構成する場合を想定して設計されているわけではないことに注意してください。

ページのトップへ ページのトップへ

概要

グループ ポリシー設定では、ユーザーが利用できるプログラム、ユーザーのデスクトップに表示するプログラム、スタート メニューのオプションなど、システム管理者が制御する必要のあるユーザー デスクトップ環境のさまざまなコンポーネントを定義します。管理者が作成したグループ ポリシー設定はグループ ポリシー オブジェクト (GPO) に保存されます。GPO は、指定した Active Directory オブジェクト (サイト、ドメイン、組織単位など) に関連付けられます。

グループ ポリシーは、ユーザーおよびクライアント コンピュータだけでなく、メンバ サーバー、ドメイン コントローラ、管理のスコープ内にあるその他の Windows Server 2003 コンピュータにも適用されます。既定では、ドメインに適用された ("Active Directory ユーザーとコンピュータ" のルートのすぐ上のドメイン レベルに適用された) グループ ポリシーは、ドメイン内のすべてのコンピュータとユーザーに適用されます。また、"Active Directory ユーザーとコンピュータ" には、ドメイン コントローラ組織単位が組み込まれています。ドメイン コントローラ アカウントを持つと、GPO の既定のドメイン コントローラ ポリシーを使って他のコンピュータとは別にドメイン コントローラを管理できます。

GPO は、Active Directory のコンテナ (サイト、ドメイン、組織単位) に関連付けられます。優先順位は、既定で、Active Directory の階層構造に従います。つまり、サイト、ドメイン、各組織単位の順になります。1 つの GPO を複数の Active Directory コンテナに関連付けることもできますし、複数のコンテナを単一の GPO に関連付けることもできます。

GPO は、セキュリティ グループのメンバシップに基づいたオブジェクトのフィルタ処理に使用できるため、集中的な方法でも分散的な方法でもコンピュータやユーザーを管理できます。これを実現するため、管理者は、セキュリティ グループに基づくフィルタ処理を使用して、グループ ポリシーをドメイン レベルで集中的に適用できるようにグループ ポリシー管理のスコープを定義します。または、組織単位レベルで分散的に適用し、セキュリティ グループによってもう一度フィルタ処理を行うことができます。管理者は、グループ ポリシーのセキュリティ グループを使って以下を実行できます。

  • GPO のスコープのフィルタ処理。これによって、GPO の影響を受けるユーザーやコンピュータのグループが定義されます。
  • GPO の管理の委任。グループ ポリシーの管理とその委任には、グループ ポリシーのリンク管理と、GPO の作成者と編集者の管理という 2 つの面があります。

グループ ポリシー設定の管理には、次のような管理ツールを使用できます。

  • グループ ポリシー オブジェクト エディタ Microsoft 管理コンソール (MMC) スナップイン
    • Windows Server 2003 に付属している既定の MMC スナップイン、およびこのステップバイステップ ガイドで使用する MMC スナップイン
  • グループ ポリシー管理コンソール (GPMC) SP1
    • GPMC は、グループ ポリシーの管理を簡略化することによって既定のグループ ポリシー オブジェクト エディタを拡張します。それにより、グループ ポリシー実装についての理解、展開、管理、トラブルシューティングなどの作業が容易になります。また、GPMC によって、グループ ポリシーの操作をスクリプト経由で自動化することが可能になります。詳細については、「ステップバイステップ ガイド : グループ ポリシー管理コンソールの使用」を参照してください。
  • サード パーティの拡張機能 (その他のポリシー設定をホストする機能)

グループ ポリシーには、ユーザーに関連のあるユーザー構成に対するポリシー設定と、コンピュータに関連のあるコンピュータ構成に対するポリシー設定が含まれます。

グループ ポリシーを使って、次のようなことができます。

  • 管理用テンプレートによるレジストリベースのポリシーの管理。グループ ポリシーにより、レジストリ データベースの User または Local Machine の部分に書き込まれているレジストリ設定を含むファイルが作成されます。
  • スクリプトの割り当て。コンピュータの起動、シャットダウン、ログオン、ログオフなどに関するスクリプトが含まれます。
  • フォルダのリダイレクト。マイ ドキュメントやマイ ピクチャなどのフォルダを、ローカル コンピュータ上の Documents and Settings フォルダからネットワーク上のコンピュータにリダイレクトすることができます。
  • アプリケーションの管理。グループ ポリシーのソフトウェア インストール機能を使って、アプリケーションの割り当て、公開、更新、修復を行うことができます。
  • セキュリティ オプションの設定。

このドキュメントでは、グループ ポリシーの概要と、グループ ポリシー スナップインを使ってユーザー グループやコンピュータ グループに対してポリシーを設定する方法について説明します。

前提条件

本ガイドでの要件

メモ このドキュメントは、考えられるすべてのグループ ポリシー シナリオを網羅しているわけではありません。グループ ポリシーの機能を理解し、組織がグループ ポリシーを使って IT 管理コストを削減する方法の検討を始める際の手引きとして使用してください。セキュリティ設定や、ソフトウェア インストールおよびメンテナンスなどのその他の Windows Server 2003 機能は、グループ ポリシーに基づいて構築されます。使用可能なドキュメントの一覧については、「Group Policy in Windows Server 2003」を参照してください。

ページのトップへ ページのトップへ

グループ ポリシーと Microsoft 管理コンソール

グループ ポリシーは、MMC スナップイン拡張メカニズムによって、Active Directory 管理ツールに直接統合されます。Active Directory スナップインによって、グループ ポリシー管理のスコープが設定されます。グループ ポリシーにアクセスする最も一般的な方法は、ドメインと組織単位に管理スコープを設定することを目的に、"Active Directory ユーザーとコンピュータ" スナップインを使用する方法です。また、Active Directory サイトとサービス スナップインを使って、サイトに管理スコープを設定することもできます。これらの 2 つのツールには、[管理ツール] プログラム グループからアクセスできます。グループ ポリシー スナップインの拡張機能は、どちらのツールでも使用可能です。または、カスタム MMC コンソールを作成することもできます。これについては、次の節で説明します。

カスタム コンソールの作成

このドキュメントでは、ここで作成するカスタム MMC コンソールを使用します。以降の手順を実行する前に、このカスタム コンソールを作成してください。

カスタム コンソールを構成するには

  1. HQ-CON-DC-01 に administrator@contoso.com としてログオンします。
  2. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。「mmc」と入力して [OK] をクリックします。
  3. [コンソール1] ウィンドウの [ファイル] メニューをクリックし、[スナップインの追加と削除] をクリックします。
  4. [スナップインの追加と削除] ダイアログ ボックスで、[追加] をクリックします。
  5. [スタンドアロン スナップインの追加] ダイアログ ボックスの [利用できるスタンドアロン スナップイン] ボックスの一覧で、[Active Directory ユーザーとコンピュータ] をクリックし、[追加] をクリックします。
  6. [利用できるスタンドアロン スナップイン] ボックスの一覧で、[Active Directory サイトとサービス] スナップインをダブルクリックします。
  7. 下へスクロールし、[グループ ポリシー オブジェクト エディタ] をダブルクリックします。
  8. [グループ ポリシー オブジェクトの選択] ダイアログ ボックスで、[グループ ポリシー オブジェクト] に [ローカル コンピュータ] が設定されていることを確認します。[完了] をクリックし、[閉じる] をクリックします。
  9. [スナップインの追加と削除] ダイアログ ボックスで、[拡張] タブをクリックします。MMC コンソールに追加されている各基本拡張に対して [すべての拡張を追加する] チェック ボックスがオンになっていることを確認します (これらは既定でオンになっています)。[OK] をクリックします。

コンソールの変更を保存するには

  1. MMC コンソールの [ファイル] メニューをクリックし、[名前を付けて保存] をクリックします。

  2. [名前を付けて保存] ダイアログ ボックスで、[ファイル名] に「GPWalkThrough」と入力し、[保存] をクリックします。図 1 に示すようなコンソールが表示されます。

    図 1.   グループ ポリシー MMC コンソール
    図 1. グループ ポリシー MMC コンソール
    拡大表示する

グループ ポリシーへのアクセス

適切な Active Directory ツールを使用し、サイト、ドメイン、組織単位のいずれかを対象としてグループ ポリシーにアクセスできます。

グループ ポリシーを開くには ([Active Directory サイトとサービス] を使用)

  1. GPWalkthrough MMC コンソールのツリーで、[Active Directory サイトとサービス] の隣にあるプラス記号 (+) をクリックします。
  2. コンソール ツリーで、[Sites] の隣にあるプラス記号 (+) をクリックし、[Default-First-Site-Name] を右クリックします。
  3. [プロパティ] をクリックし、次に [グループ ポリシー] タブをクリックします。
  4. [キャンセル] をクリックします。

グループ ポリシーを開くには ([Active Directory ユーザーとコンピュータ] を使用)

  1. GPWalkthrough MMC コンソールのツリーで、[Active Directory ユーザーとコンピュータ] の隣にあるプラス記号 (+) をクリックします。
  2. グループ ポリシーにアクセスするため、コンソール ツリーで [contoso.com] を右クリックします。
  3. [プロパティ] をクリックし、次に [グループ ポリシー] タブをクリックします。
  4. [キャンセル] をクリックします。

特定のコンピュータ (またはローカル コンピュータ) を対象とするグループ ポリシーにアクセスするには、そのコンピュータを対象とした MMC コンソールの名前空間に、グループ ポリシー スナップインを読み込む必要があります。特定のコンピュータのグループ ポリシーへのアクセスと、サイト、ドメイン、組織単位へのアクセスが異なる理由は主に 2 つあります。

  1. サイト、ドメイン、および組織単位は、複数の関連付けられた GPO を持つことができるため、これらの GPO を管理するプロパティ ページが必要になります。
  2. 特定のコンピュータの GPO は Active Directory ではなく、コンピュータ自体に保存されます。

グループ ポリシー オブジェクトの作成

グループ ポリシー設定は、グループ ポリシー オブジェクト (GPO) に保存されます。GPO はサイト、ドメイン、組織単位など、選択した Active Directory オブジェクトに関連付けられます。

GPO を新規作成して Headquarters 組織単位に関連付けるには

  1. GPWalkThrough MMC コンソールで、[Active Directory ユーザーとコンピュータ] の下にある [contoso.com] を展開します。

  2. [Accounts] の隣にあるプラス記号 (+) をクリックし、ツリーを展開します。

  3. [Headquarters] を右クリックし、[プロパティ] をクリックします。

  4. [Headquartersのプロパティ] ページで、[グループ ポリシー] タブをクリックします。

  5. [新規作成] をクリックし、「HQ Policy」と入力します。次に、Enter キーを押します。図 2 に示すように、[Headquartersのプロパティ] ページが表示されます。

          図 2.   Headquarters 組織単位に関連付けられた新しい GPO
    図 2. Headquarters 組織単位に関連付けられた新しい GPO

ここまでの手順では、GPO を作成し、Active Directory コンテナの Headquarters 組織単位に自動的に関連付ける方法について説明しました。しかし、値の設定を定義しなければ、GPO がユーザーやコンピュータに直接影響を及ぼすことはありません。次の節で、HQ Policy GPO 設定を編集する方法について説明します。

GPO は、複数作成して、任意の Active Directory コンテナに関連付けることができます。複数の GPO を 1 つの Active Directory コンテナに関連付けた場合は、それらの GPO の順序が正しいことを確認してください。一覧で上位にあるほど GPO の優先順位は高くなり、処理が後になります (GPO の優先順位は、一覧の上位に設定することにより高くなります)。

GPO はオブジェクトであるため、各 GPO のプロパティを表示するためコンテキスト メニューがあります。コンテキスト メニューを使って、GPO に関する一般的な情報を取得したり変更したりすることができます。この情報には、随意アクセス制御リスト (DACL) が含まれており、この GPO が関連付けられている他のサイト、ドメイン、組織単位を確認することができます。

ベスト プラクティス セキュリティ グループのユーザーまたはコンピュータのメンバシップに基づいて DALC を設定することによって、GPO をさらに調整することができます。DACL の使用の詳細については、「セキュリティ グループのフィルタ処理」を参照してください。

グループ ポリシーの管理

グループ ポリシーを管理するには

  • サイト、ドメイン、または組織単位のコンテキスト メニューを開きます。

  • [プロパティ] をクリックし、次に [グループ ポリシー] タブをクリックします。[グループ ポリシーのプロパティ] ページが表示されます。

    [グループ ポリシーのプロパティ] ページについては、次の点に注意してください。

    • このページには、現在選択されているサイト、ドメイン、または組織単位に関連付けられたすべての GPO が表示されます。リンクはオブジェクトであるため、右クリックしてコンテキスト メニューを利用できます (空白部分を右クリックすると、新しいリンクの作成、リンクの追加、リンクの更新などを行うためのコンテキスト メニューが表示されます)。

    • また、このページでは、優先順位が最も高い GPO が最上位に表示されます。GPO を選択して上方向キーまたは下方向キーを使用すると、順序を変更できます。

    • GPO を関連付ける (リンクする) には、[追加] をクリックします。

    • 一覧内の既存の GPO を編集するには、GPO を選択して [編集] をクリックするか、GPO をダブルクリックします。グループ ポリシー オブジェクト エディタが開き、GPO の編集が可能になります。GPO の編集の詳細については、「グループ ポリシー オブジェクトの編集」を参照してください。

    • 一覧にある GPO を完全に削除するには、GPO を選択して [削除] をクリックします。プロンプトが表示されたら、[リンクを削除し、グループポリシーオブジェクトを恒久的に削除する] をクリックします。GPO は他のサイト、ドメイン、または組織単位と関連付けられている場合があるため、削除するときは注意してください。GPO の現在のコンテナとのリンクだけを削除する場合は、リンク一覧から GPO を選択して [削除] をクリックします。プロンプトが表示されたら、[一覧からリンクを削除する] をオンにします。

    • 指定した GPO が他のどのサイト、ドメイン、組織単位に関連付けられているかを確認するには、GPO を右クリックしてコンテキスト メニューの [プロパティ] をクリックし、その GPO のプロパティ ページの [リンク] タブをクリックします。[検索開始] をクリックし、GPO の現在のリンク一覧を検索します。

    • GPO を右クリックし、[上書き禁止] を設定できます。このオプションにより、選択した GPO のポリシーは他の GPO によって上書きできないようになります。

      メモ [上書き禁止] は、複数の GPO に対して有効にできます。この場合、上書き禁止として設定された GPO は、上書き禁止として設定されていないその他の GPO より優先順位が高くなります。上書き禁止として設定された GPO の中で、最も優先順位の高い GPO が最終的に適用されます。

    • GPO を右クリックし、GPO を [無効] に設定できます。この設定は、GPO を一覧から削除するのではなく無効 (非アクティブ) にするだけです。

      メモ GPO のユーザーまたはコンピュータの部分だけを無効にすることもできます。GPO を右クリックし、[プロパティ] をクリックします。次に、[全般] タブで [コンピュータの構成の設定を無効にする] と [ユーザーの構成の設定を無効にする] のいずれかをオンにします。

    • Active Directory コンテナのグループ ポリシーのプロパティ ページで、[ポリシーを継承しない] を設定すると、階層の上位にあるすべての GPO を無効にすることができます。ただし、[上書き禁止] に設定されている GPO は無効にすることができません。このような GPO は常に適用されます。

      メモ ドメインベースのポリシー設定で上書きされないローカルの GPO に含まれているポリシー設定も、常に適用されます。[ポリシーを継承しない] をどのレベルで設定しても、ローカル ポリシーは削除されません。

グループ ポリシー オブジェクトの編集

前述の説明で作成した GPWalkThrough カスタム コンソールを使って、GPO を編集できます。

HQ Policy GPO を編集するには

  1. GPWalkThrough MMC コンソールで、[HQ Policy] GPO をダブルクリックします (または、選択し、[編集] をクリックします)。HQ Policy を編集するためのグループ ポリシー オブジェクト エディタが開きます。エディタは図 3 のように表示されます。

    図 3.   HQ Policy
    図 3. HQ Policy
    拡大表示する

  2. HQ Policy のグループ ポリシー オブジェクト エディタを閉じます。

グループ ポリシー オブジェクトの追加または参照

GPO を追加するには

  1. [Headquartersのプロパティ] ページの [グループ ポリシー] タブで、[追加] をクリックします。[グループ ポリシー オブジェクトのリンクを追加します] ダイアログ ボックスに、ドメイン、組織単位、またはサイトに現在関連付けられている GPO か、あるいは Active Directory にあるすべての GPO が一覧表示されます。図 4 に、このダイアログ ボックスを示します。

     図 4.   グループ ポリシー オブジェクト リンクの追加

    図 4. グループ ポリシー オブジェクト リンクの追加

[グループ ポリシー オブジェクトのリンクを追加します] ダイアログ ボックスの次のコンポーネントを確認し、ダイアログ ボックスを閉じます。

  • [場所] ボックスで、Active Directory 構造全体を調べて GPO を探すことができます。このボックスの値を変更すると、GPO とすべての子オブジェクトが結果ペインに表示されます。
  • [ドメイン/OU] タブのボックスには、現在選択されているドメインまたは組織単位の、下位組織単位と GPO が表示されます。階層を移動するには、下位の組織単位をダブルクリックするか、[1 つ上のレベル] ツール バー ボタンを使用します。
  • 選択したサイトに関連付けられたすべての GPO が [サイト] タブに表示されます。他のサイトを選択するには、ボックスを使用します。サイトには階層はありません。
  • [すべて] タブには、選択したドメインに保存されているすべての GPO が一覧表示されます。このタブは、現在関連付けられている場所からではなく、名前で GPO を検索する場合に便利です。また、サイト、ドメイン、組織単位にリンクしていない GPO を作成することができるのは、このタブだけです。
  • [すべて] タブで、どこにもリンクしていない GPO を作成するには、[新しいグループ ポリシー オブジェクトの作成] ツール バー ボタンをクリックするか、空白部分を右クリックして [新規作成] をクリックします。新しい GPO に名前を付けて Enter をキーを押し、[キャンセル] をクリックします。[OK] はクリックしないようにしてください。ここで [OK] をクリックすると、新しい GPO は現在のサイト、ドメイン、または組織単位に関連付けられます。[キャンセル] をクリックすると、リンクのない GPO が作成されます。
  • GPO を、現在選択しているドメインまたは組織単位に関連付けるには、その GPO をダブルクリックします。

メモ 複数の GPO に同じ名前を付けることができます。これは、GPO が実際にはグローバル一意識別子 (GUID) として保存されるためです。画面には、Active Directory に格納されているフレンドリ名が表示されます。

レジストリベースのポリシー

レジストリベースのポリシー用のユーザー インターフェイスは、管理用テンプレート (.adm ファイル) によって提供されます。これらのファイルには、グループ ポリシー スナップインの管理用テンプレートに表示されるユーザー インターフェイスが定義されています。これらのファイルの形式は、Microsoft Windows NT® 4.0 のシステム ポリシー エディタ ツール (Poledit.exe) で使用される .adm ファイルと互換性があります。Windows Server 2003 では、レジストリベースのポリシーで利用できるオプションが拡張されています。

メモ どのような .adm ファイルでも GPO に追加することは可能です。ただし、以前のバージョンの Windows の .adm ファイルを使用すると、レジストリ キーが Windows Server 2003 では無効になる可能性があります。

既定では、承認されたグループ ポリシー ツリーにある .adm ファイルで定義されたポリシー設定だけが表示されます。これらの設定は、"トゥルー ポリシー" と呼ばれます。これは、グループ ポリシー スナップインが、グループ ポリシー ツリー以外のレジストリ キーを設定する .adm ファイルに記述されている項目は表示しないことを意味します。これらの項目は、グループ ポリシーの "基本設定" と呼ばれます。基本設定は赤色のアイコンで示され、青色のアイコンで示されるトゥルー ポリシーと区別されます。次に、承認されたグループ ポリシー ツリーを示します。

  • \Software\Policies
  • \Software\Microsoft\Windows\CurrentVersion\Policies

メモ 前述のとおり、レジストリ設定の永続性を保持するため、グループ ポリシーのインフラストラクチャ内でポリシー ツリー以外のレジストリは使用しないことを強くお勧めします。Windows NT 4.0、および Windows 95 クライアントと Windows 98 クライアントにレジストリ ポリシーを設定するには、Windows NT 4.0 のシステム ポリシー エディタ ツールである Poledit.exe を使用します。

既定では、図 5 に示すように、conf.adm、inetres.adm、system.adm、wmplayer.adm、wuau.adm の各ファイルが読み込まれ、構成されます。

図 5.   ユーザーの構成

図 5. ユーザーの構成

既定の .adm ファイルでは、次の構成オプションが提供されます。

  • Conf.adm : NetMeeting の設定
  • Inetres.adm : Internet Explorer の設定
  • System.adm : オペレーティング システムの設定
  • wmplayer.adm : Windows Media Player の設定
  • wuau.adm : Windows Update の設定

管理用テンプレートの追加

管理用テンプレート (.adm ファイル) は、グループ ポリシー ユーザー インターフェイスでのオプションの編成方法を定義するためのカテゴリとサブカテゴリの階層で構成されています。

管理用テンプレート (.adm ファイル) を追加するには

  1. [Headquartersのプロパティ] ページで、[HQ Policy] GPO をダブルクリックします。
  2. [ユーザーの構成] または [コンピュータの構成] で [管理用テンプレート] を右クリックし、[テンプレートの追加と削除] をクリックします。Active Directory コンテナで現在有効なテンプレート ファイルが一覧されます。
  3. [追加] をクリックします。グループ ポリシーが動作しているコンピュータの %systemroot%\inf ディレクトリで使用可能な .adm ファイルが一覧されます。他のディレクトリから .adm ファイルを選択することもできます。一度選択すると、.adm ファイルは、GPO で構成できるようになります。
  4. [キャンセル] をクリックし、[閉じる] をクリックします (ここでは、管理用テンプレートを追加しません)。
管理用テンプレートの構成

管理用テンプレートを使った簡単な手順を紹介します。例では、ユーザーのデスクトップから [ファイル名を指定して実行] コマンドを削除します。管理用テンプレートで提供されているすべての設定について理解している必要があります。管理用テンプレートで使用可能な設定については、このシリーズの他のステップバイステップ ガイドで取り上げます。

管理用テンプレートを使ってレジストリベースの設定を行うには

  1. HQ Policy のグループ ポリシー オブジェクト エディタで、[ユーザーの構成] ノードの [管理用テンプレート] の隣にあるプラス記号 (+) をクリックします。
  2. [タスクバーと [スタート] メニュー] をクリックします。詳細ペインには、すべてのポリシーが [未構成] として表示されます。
  3. 右側のペインで、[[スタート] メニューから [ファイル名を指定して実行] を削除する] ポリシーをダブルクリックします。
  4. [[スタート] メニューから [ファイル名を指定して実行] を削除するのプロパティ] ダイアログ ボックスで、[有効] をクリックします (図 6)。[OK] をクリックし、終了します。       図 6.   [スタート] メニューから [ファイル名を指定して実行] を削除する
    図 6. [スタート] メニューから [ファイル名を指定して実行] を削除する

ダイアログ ボックスには、[前の設定] と [次の設定] のボタンがあります。これらのボタンを使って、詳細ペインを移動し、他のポリシーの状態を設定できます。また、ダイアログ ボックスを開いたまま、グループ ポリシー スナップインの詳細ペインで他のポリシーをクリックすることができます。詳細ペインにフォーカスしている状態で、キーボードの上方向キーと下方向キーを使ってカーソルを移動し、Enter キーを押すと、選択したノード内の各ポリシーの設定 (または [説明] タブ) を参照することができます。

詳細ペインの [設定] 列が [有効] になっていることに注意してください。この変更は即時に行われ、GPO に保存されています。複製されたドメイン コントローラ環境では、この動作によってレプリケーション サイクルをトリガするフラグがセットされます。

Headquarters 組織単位に属するユーザーを使って contoso.com ドメインのワークステーションにログオンすると、[ファイル名を指定して実行] メニューが削除されていることがわかります。

メモ この時点で、他の有効なポリシーを試してみることもできます。各ポリシーに関する情報は、[説明] タブの情報を参照してください。

グループ ポリシー オブジェクトを使ったスクリプトの展開

ユーザーのログオンやログオフ、システムの起動やシャットダウンの際にスクリプトが動作するように、GPO 設定を定義できます。すべてのスクリプトでは、WSH (Windows Scripting Host) が有効になっています。スクリプトには、.bat ファイルや .cmd ファイルだけでなく、Java スクリプトや Microsoft Visual Basic® スクリプトも使用できます。

ログオン スクリプトの作成

メモ この手順では、「付録」に記載している welcome.js スクリプトを使用します。Included Items フォルダを作成し、welcome.js ファイルを作成して、本ガイドの「付録」に記載のスクリプトをコピーしてください。

ログオン スクリプトのグループ ポリシー設定を定義するには

  1. HQ Policy のグループ ポリシー オブジェクト エディタを閉じます。

  2. [Headquartersのプロパティ] ダイアログ ボックスで、[閉じる] をクリックします。

  3. GPWalkthrough コンソールで [contoso.com] ドメインを右クリックし、[プロパティ] をクリックします。次に、[グループ ポリシー] タブをクリックします。

  4. [グループ ポリシー] のプロパティ ページの [グループ ポリシー オブジェクトのリンク] 一覧から、[Default Domain Policy] GPO を選択し、[編集] をクリックして、[グループ ポリシー オブジェクト エディタ] スナップインを開きます。

  5. グループ ポリシー スナップインの [ユーザーの構成] で、[Windows の設定] の隣にあるプラス記号 (+) をクリックし、[スクリプト (ログオン/ログオフ)] ノードをクリックします。

  6. 詳細ペインで、[ログオン] をダブルクリックします。

    [ログオンのプロパティ] ダイアログ ボックスに、指定したユーザーがログオンしたときに実行するスクリプトの一覧が表示されます。この一覧は、実行されるスクリプトの順番を示しており、リストの一番上のスクリプトが最初に実行されます。スクリプトを選択し、上方向キーまたは下方向キーを使用すると、順序を変更できます。

    新しいスクリプトを一覧に追加するには、[追加] をクリックします。[スクリプトの追加] ダイアログ ボックスが表示されます。このダイアログ ボックスから参照を行うことにより、現在の GPO のフォルダに配置されている既存のスクリプトの名前を指定するか、または別の場所を参照して、この GPO で使用するように選択することができます。スクリプト ファイルは、ログオン時にユーザーがアクセスできないと動作しません。現在の GPO のフォルダにあるスクリプトは、ユーザーが利用できるように自動で設定されます。新しいスクリプトを作成するには、空白部分を右クリックし、[新規作成] をクリックして、新しいファイルを選択します。

    リスト内にある既存のスクリプトの名前やパラメータを編集するには、スクリプトを選択して、[編集] をクリックします。このボタンで、スクリプトそのものを編集することはできません。スクリプトの編集には、[ファイルの表示] を使用します。スクリプトを一覧から削除するには、スクリプトを選択して [削除] をクリックします。

    [ファイルの表示] をクリックすると、GPO のスクリプトがエクスプローラに表示されます。これにより、ファイルやディレクトリへのアクセスが容易になります。また、スクリプト ファイルがサポート ファイルを必要とする場合、それをコピーする場所にも簡単にアクセスできます。ここでスクリプト ファイルの名前を変更する場合は、[編集] を使用してファイル名の変更も行わないと、スクリプトは実行できません。

    メモ このフォルダに対するフォルダ オプションの表示が [登録されている拡張子は表示しない] に設定されていると、ファイルに無効な拡張子が付いて実行できない場合があります。

  7. [スタート] ボタンをクリックし、[すべてのプログラム] をポイントします。次に、[アクセサリ] をポイントし、[エクスプローラ] をクリックします。Included Items ディレクトリの welcome2000.js ファイルまで移動し、ファイルを右クリックして、[コピー] をクリックします。

  8. エクスプローラを閉じます。

  9. [ログオンのプロパティ] ダイアログ ボックスで、[ファイルの表示] をクリックし、welcome.js スクリプトを既定の場所に貼り付けます。図 7 に示すように表示されます。

    図 7.   Default Domain Policy に追加された welcome.js スクリプト
    図 7. Default Domain Policy に追加された welcome.js スクリプト
    拡大表示する

  10. welcome.js が表示されているウィンドウを閉じます。

  11. [ログオンのプロパティ] ダイアログ ボックスで、[追加] をクリックします。

  12. [スクリプトの追加] ダイアログ ボックスで、[参照] をクリックします。[参照] ダイアログ ボックスで、welcome.js ファイルをダブルクリックします。

  13. [スクリプトの追加] ダイアログ ボックスで、[OK] をクリックします (スクリプト パラメータは必要ないため)。次に、もう一度 [OK] をクリックします。

  14. グループ ポリシー オブジェクト エディタを閉じます。

  15. [contoso.comのプロパティ] ページで、[キャンセル] をクリックします。

このスクリプトは、Default Domain Policy で定義されたため、contoso.com のすべてのメンバがすぐにアクセスできるようになります。クライアント ワークステーションにアクセスして、ユーザーがログオンしたときにスクリプトが実行されることを確認できます。

ログオフ スクリプト、コンピュータの起動/シャットダウン スクリプトの設定

「ログオン スクリプトの作成」と同じ手順を使って、ユーザーがログオフするときや、コンピュータが起動またはシャットダウンするときに実行されるスクリプトを設定することができます。ログオフ スクリプトの場合は、「ログオン スクリプトの作成」の手順 6 で [ログオフ] を選択します。コンピュータの起動またはシャットダウン スクリプトの場合は、グループ ポリシー オブジェクト エディタで [コンピュータの構成]、[Windows の設定]、[スクリプト (スタートアップ/シャットダウン)] を順に展開します。

スクリプトに関するその他の注意事項

既定では、コマンド ウィンドウで実行されるグループ ポリシー スクリプト (.bat または .cmd ファイル) は、バック グラウンドで実行されます。従来のスクリプト (ユーザー オブジェクトで定義されているスクリプト) は、既定では処理状態が表示されますが、この表示を変更できるグループ ポリシー設定も存在します。ユーザーのポリシーには、[実行中のログオン スクリプトを表示する] または [実行中のログオフ スクリプトを表示する] が設定されています。このポリシーは、[システム]、[スクリプト]、[ユーザーの構成] を順に展開し、[管理用テンプレート] ノードからアクセスできます。コンピュータのポリシーには、[実行中のスタートアップ スクリプトを表示する] および [実行中のシャットダウン スクリプトを表示する] が設定されています。このポリシーは、[コンピュータの構成] ノードの [管理用テンプレート]、[システム]、[スクリプト]を順に展開してアクセスできます。

セキュリティ グループのフィルタ処理

選択した GPO をセキュリティ グループに適用する方法を指定することで、ユーザーまたはコンピュータに対する GPO の適用対象を調整できます。これを実現するには、GPO のプロパティ ページの [セキュリティ] タブを使って、随意アクセス制御リスト (DACL) を設定します。DALC は、主にパフォーマンス上の理由で使用されています。これは、GPO とそのポリシーのデザインおよび展開を柔軟にできる強力な機能です。

既定では、GPO は、関連付けられたサイト、ドメイン、組織単位に含まれるすべてのユーザーとコンピュータに影響を及ぼします。DALC を使用することにより、任意のセキュリティ グループのメンバを除外したり含めたりできるように GPO の適用対象を変更できます。

セキュリティ グループのメンバシップに基づいて GPO 適用をフィルタ処理するには

  1. GPWalkthrough コンソールの [Accounts] 組織単位の下位にある [Headquarters] 組織単位を右クリックし、[プロパティ] をクリックします。

  2. [Headquartersのプロパティ] ダイアログ ボックスで、[グループ ポリシー] タブをクリックします。

  3. [グループ ポリシー オブジェクトのリンク] 一覧で、[HQ Policy] GPO を右クリックし、コンテキスト メニューの [プロパティ] をクリックします。

  4. [プロパティ] ページで、[セキュリティ] タブをクリックします。

  5. [セキュリティのプロパティ] ページで、[追加] をクリックします。

  6. [ユーザー、コンピュータ、またはグループの選択] ダイアログ ボックスの [選択するオブジェクト名を入力してください] ボックスに「Management」と入力し、[OK] をクリックします。

  7. [HQ Policy のプロパティ] ページの [セキュリティ] タブで、[Management] グループを選択し、アクセス許可の設定内容を確認します。

    メモ 既定では、Management グループには、アクセス制御エントリ (ACE) の読み取りだけが許可されています。これは、[グループ ポリシーの適用] ACE が選択されている他のグループ (既定では、Authenticated Users) に属していない限り、Management グループのメンバにはこの GPO が適用されないことを意味します。

    図 8 に示すように、この時点では、Management セキュリティ グループのメンバを含めて Authenticated Users グループのすべてのメンバに GPO が適用されます。

     図 8.   Authenticated Users
    図 8. Authenticated Users

Management グループのメンバにだけ適用するように GPO を構成するには

  1. Management グループの [グループ ポリシーの適用] ACE に対して [許可] チェック ボックスをオンにします。

  2. Authenticated Users グループの [グループ ポリシーの適用] ACE に対して [許可] チェック ボックスをオフにします。

    メモ どのグループにどの ACE を適用するかを変更することによって、管理者は、GPO が関連付けられたユーザーまたはコンピュータへの GPO の影響をカスタマイズすることができます。GPO の修正を行うには、[書き込み] のアクセス許可が必要です。そのポリシーがグループに適用されるためには、[読み取り] と [グループ ポリシーの適用] ACE が必要となります。

Management グループのメンバに対する GPO 適用を拒否するには

メモ ACE の拒否を使用する場合は注意が必要です。グループに対して拒否の設定を行うと、そのグループのユーザーまたはコンピュータが、[許可] が設定された別のグループのメンバでもある場合でも、[拒否] が優先されます。この相互動作の詳細については、Windows 2000 Server のオンライン ヘルプでセキュリティ グループを検索して参照してください。

  1. Management グループの [グループ ポリシーの適用] ACE に対する [許可] チェック ボックスをオフにして、[拒否] チェック ボックスをオンにします。

  2. Authenticated Users グループの [グループ ポリシーの適用] ACE に対する [許可] チェック ボックスをオンにします。

    図 9 は、[グループ ポリシーの適用] が明示的に拒否されている Management グループのメンバを除く全員が、この GPO の影響を受けることを許可するセキュリティ設定を示しています。Management グループのメンバが、[グループ ポリシーの適用] ACE に対して明示的に許可が設定されているグループに所属する場合、拒否設定が優先し、このメンバは GPO の影響を受けません。

        図 9.   グループ メンバシップに基づく GPO 適用の拒否

    図 9. グループ メンバシップに基づく GPO 適用の拒否

  3. [OK] をクリックし、[はい] をクリックして、ACL の拒否設定についての警告を確認します。

  4. [OK] をクリックし、[Headquartersのプロパティ] ページを閉じます。

上記手順の応用として、次のような設定が考えられます。

  • 異なるポリシー セットを持った GPO を追加し、それを Management 以外のグループだけに適用する。
  • 既存グループのメンバを含むグループをもう 1 つ作成し、GPO のフィルタとして使用する。

メモ 前の節で設定したログオン スクリプトにも、同様のセキュリティ オプションを使用することができます。特定のグループ メンバに対して、または特定のグループのメンバを除く全員に対して実行されるようにログオン スクリプトを設定できます。

セキュリティ グループのフィルタ処理には 2 つの機能があります。1 つは、特定の GPO の影響を受けるグループを変更することです。もう 1 つは、フル コントロールの権利を限られたグループに制限することによって、GPO の内容を変更できる管理者のグループを任命することです。これによって複数の管理者が同時に変更を加えることが制限されるため、このフィルタリングを使用することをお勧めします。

ポリシーの継承

通常、グループ ポリシーは、ドメイン内の親コンテナから子コンテナに継承されます。グループ ポリシーは、親ドメインから子ドメインには継承されません。上位の親コンテナに特定のグループ ポリシー設定を適用している場合は、親コンテナの下位にある各コンテナ内のユーザー オブジェクトおよびコンピュータ オブジェクトを含むすべてのコンテナに適用されます。ただし、子コンテナに対して明示的にグループ ポリシー設定を指定すると、子コンテナのグループ ポリシー設定によって親コンテナの設定が上書きされます。

親の組織単位 (親 OU) のポリシー設定が構成されていない場合は、子の組織単位 (子 OU) はそれらの設定を継承しません。ポリシー設定が無効になっている場合は、無効として継承されます。同じように、あるポリシー設定が親 OU 用に構成 (有効または無効) されていて、同じポリシー設定が子 OU 用に構成されていない場合は、子は親の有効または無効なポリシー設定を継承します。

親 OU に適用されたポリシー設定と子 OU に適用されたポリシー設定に矛盾がない場合、子 OU は親 OU のポリシー設定を継承し、子 OU の設定も適用されます。

親 OU 用に構成されたポリシー設定が、子 OU 用に構成された同じポリシー設定と矛盾がある (一方の設定は有効でもう一方の設定は無効の場合) は、子 OU は親 OU からのポリシー設定を継承しません。子 OU に設定されたポリシーが適用されます。

継承のブロックと上書き禁止

ポリシー継承のブロック オプションにより、Active Directory 階層で上位にあるサイト、ドメイン、および組織単位に適用される GPO がブロックされます。ただし、上書き禁止に設定されている GPO はブロックされません。ポリシー継承のブロック オプションは、サイト、ドメイン、組織単位に設定されるもので、個々の GPO には設定されません。この設定によって、既定の継承ルールを完全に制御することができます。

次の節で説明する手順では、[Accounts] 組織単位に GPO を設定し、さらに、既定で [Accounts] 組織単位内のすべての子オブジェクトに属するユーザー (およびコンピュータ) に適用されるようにします。次に、[Accounts] 組織単位に別の GPO を作成し、それを [上書き禁止] に設定します。これらの設定は、GPO をとおして適用される他の設定と矛盾していたとしても、すべての子オブジェクトに適用されます。さらに、継承のブロック機能を使用して、親サイト、親ドメイン、または親の組織単位 (この場合は、[Accounts] 組織単位) に設定されたグループ ポリシーが [Production] 組織単位に適用されるのを防ぎます。

新しい GPO を作成するには

  1. GPWalkthrough MMC で、[contoso.com] の下にある [Accounts] 組織単位を右クリックします。

  2. [プロパティ] をクリックし、次に [グループ ポリシー] タブをクリックします。

  3. [新規] をクリックし、GPO 名に「Default User Policies」と入力して、Enter キーを押します。

  4. [新規] をもう一度クリックし、GPO 名に「Enforced User Policies」と入力して、Enter キーを押します。

  5. [Enforced User Policies] GPO をクリックし、[上へ] をクリックして、GPO を一覧の一番上に移動します。

  6. メモ Enforced User Policies GPO は、優先順位を最上位に設定する必要があります。この手順は、[上へ] の機能を説明するために取り上げています。強制的に適用させるように設定した GPO は、それ以外のものよりも常に優先されます。

  7. [上書き禁止] 列をダブルクリックするか、[オプション] ボタンを使って、Enforced User Policies GPO に対して [上書き禁止] を設定します。図 10 に示すように、[Accountsのプロパティ] ページが表示されます。

     図 10.   上書き禁止に設定された Enforced User Policies
    図 10. 上書き禁止に設定された Enforced User Policies

Enforced User Policies GPO と Default User Policies GPO の設定を有効にするには

  1. [Accountsのプロパティ] ページで [Enforced User Policies] GPO をダブルクリックします。

  2. グループ ポリシー オブジェクト エディタで、[ユーザーの構成] の下にある [管理用テンプレート] を展開します。

  3. [システム] を展開して、[Ctrl+Alt+Del オプション] をクリックします。

  4. 詳細ペインで、[タスク マネージャを削除する] をダブルクリックし、[タスク マネージャを削除する] ダイアログ ボックスの [有効] をクリックして、[OK] をクリックします。ポリシーの詳細情報については、[説明] タブの説明を参照してください。図 11 に示すように、この設定が有効になります。

     図 11.   タスク マネージャを無効にする
    図 11. タスク マネージャを無効にする
    拡大表示する

  5. [ファイル] をクリックし、[終了] をクリックして、グループ ポリシー オブジェクト エディタを閉じます。

  6. [Accountsのプロパティ] ダイアログ ボックスの [グループ ポリシー] タブで、[グループ ポリシー オブジェクトのリンク] 一覧の [Default User Policies] GPO をダブルクリックします。

  7. グループ ポリシー オブジェクト エディタで、[ユーザーの構成]、[管理用テンプレート]、[デスクトップ] を順に展開し、[Active Desktop] をクリックします。

  8. 詳細ペインで、[Active Desktop を無効にする] をダブルクリックします。

  9. [有効] をクリックし、[OK] を 2 回クリックします。

  10. [ファイル] をクリックし、[終了] をクリックして、グループ ポリシー オブジェクト エディタを閉じます。

[Accounts] 組織単位 (子の組織単位も含みます) で、任意のユーザーとしてクライアント ワークステーションにログオンすると、Default User Policies と Enforced User Policies の両方の GPO が適用されます。タスク マネージャと Active Desktop の両方が無効になります。

GPO のパフォーマンスの向上

これらの GPO はユーザーの構成にだけ使用するため、GPO のコンピュータ部分は無効にすることができます。コンピュータの構成設定を無効にすると、コンピュータ GPO を評価する必要がなくなるため、対象コンピュータの起動時間が短くなります。

[Accounts] 組織単位または子の組織単位にコンピュータが存在しない場合は、GPO のコンピュータ部分を無効しても直接的なメリットはありません。ただし、これらの GPO は後でコンピュータを含む別のコンテナに関連付けられる可能性があるため、これらの GPO のコンピュータ部分を無効にする意義はあります。

GPO のコンピュータ部分を無効にするには

  1. [Accountsのプロパティ] ダイアログ ボックスで、[Enforced User Policies] GPO を右クリックし、[プロパティ] をクリックします。

  2. [Enforced User Policiesのプロパティ] ダイアログ ボックスで、[全般] タブ (既定) をクリックし、[コンピュータの構成の設定を無効にする] チェック ボックスをオンにします。[無効の確認] ダイアログ ボックスで、[はい] をクリックし、[OK] をクリックして終了します。

    [全般] プロパティ ページには、GPO の部分を無効にする 2 つのチェック ボックスがあります。

  3. 手順 1 と 2 を Default User Policies GPO に対しても繰り返します。

継承のブロック

ある GPO が、階層内の他の GPO からポリシーを継承しないようにブロックすることができます。次の例では、組織単位のユーザーに Enforced User Policies の設定だけが影響するように継承をブロックする方法を説明します。

[Production] 組織単位用のグループ ポリシーの継承をブロックするには

  1. [Accountsのプロパティ] ダイアログ ボックスで、[閉じる] をクリックします。
  2. GPWalkThrough コンソールで、[Accounts] 組織単位の下にある [Production] 組織単位を右クリックし、コンテキスト メニューの [プロパティ] をクリックします。次に、[グループ ポリシー] タブをクリックします。
  3. [ポリシーを継承しない] チェック ボックスをオンにし、[OK] をクリックします。

継承設定がブロックされていることを確認するには、[Production] 組織単位のユーザーとしてログオンします。親の組織単位の GPO が上書き禁止に設定されているため、Active Desktop は有効ですが、タスク マネージャは無効のままになっていることに注意してください。

複数のサイト、ドメイン、および組織単位への GPO の関連付け

ここでは、GPO を Active Directory 内の複数のコンテナ (サイト、ドメイン、または組織単位) に関連付ける方法について説明します。組織単位を適切に構成すれば、グループ ポリシーと同様の効果を発揮する別の方法を採用できます。たとえば、セキュリティ グループのフィルタ処理を使用したり、継承をブロックしたりすることができます。ただし、これらの方法が期待どおりの効果を示さない場合もあります。同じポリシー セットを必要とするサイト、ドメイン、または組織単位を明示的に示す必要がある場合は、次の手順を実行してください。

複数のサイト、ドメイン、および組織単位に GPO を関連付けるには

  1. GPWalkThrough コンソールで、[Accounts] 組織単位の下にある [Headquarters] 組織単位を右クリックし、コンテキスト メニューの [プロパティ] をクリックします。次に、[グループ ポリシー] タブをクリックします。
  2. [Headquartersのプロパティ] ダイアログ ボックスの [グループ ポリシー] タブで、[新規] をクリックし、「Linked Policies」という名前の新しい GPO を作成します。
  3. [Linked Policies] GPO を選択し、[編集] をクリックします。
  4. グループ ポリシー オブジェクト エディタで、[ユーザーの構成]、[管理用テンプレート] を順に展開します。次に、[コントロール パネル] をクリックし、[画面] をクリックします。
  5. 詳細ペインで、[壁紙を変更できないようにする] ポリシーをダブルクリックし、[有効] をクリックします。[OK] をクリックして次に進みます。
  6. [ファイル] をクリックし、[終了] をクリックして、グループ ポリシー オブジェクト エディタを閉じます。
  7. [Headquartersのプロパティ] ページで、[閉じる] をクリックします。
  8. GPWalkThrough コンソールで、[Accounts] 組織単位の下にある [Production] 組織単位を右クリックし、コンテキスト メニューの [プロパティ] をクリックします。次に、[Production のプロパティ] ダイアログ ボックスの [グループ ポリシー] タブをクリックします。
  9. [追加] をクリックするか、[グループ ポリシー オブジェクトのリンク] 一覧の空白部分を右クリックし、コンテキスト メニューの [追加] をクリックします。
  10. [グループ ポリシー オブジェクトのリンクを追加します] ダイアログ ボックスで、[場所] ボックスの下矢印をクリックし、[Accounts.contoso.com] 組織単位をクリックします。
  11. [ドメイン、OU、およびリンクされたグループ ポリシー オブジェクト] 一覧の [Headquarters.Accounts.contoso.com] 組織単位をダブルクリックします。
  12. [Linked Policies] GPO をクリックし、[OK] をクリックします。
  13. [OK] をクリックし、終了します。

これで、1 つの GPO が 2 つの組織単位に関連付けられました。いずれかの組織単位の GPO を変更すると、両方の組織単位に反映されます。

ループバック処理

GPO の [ユーザーの構成] 設定はユーザーに影響を及ぼします。ループバックは、この GPO の順位リストを取得する既定の方法に代わる方法を提供します。既定では、ユーザーの設定は Active Directory 内のユーザーの位置に依存する GPO リストによって決定します。順位リストは、Active Directory 内のユーザーの位置または管理者が各レベルに設定した順番で決定する継承により、サイトに関連付けられた GPO、ドメインに関連付けられた GPO、組織単位に関連付けられた GPO の順になっています。

ループバックは、他のグループ ポリシー設定と同様に、[未構成]、[有効]、または [無効] に設定することができます。[有効] な状態では、ループバックを [結合] または [置換] に設定できます。

  • 置換によるループバック ユーザー用の GPO リストが、コンピュータのスタートアップ時にコンピュータ用に取得されていた GPO リストに完全に置き換えられます。このリストの [ユーザーの構成] の設定が、ユーザーに適用されます。
  • 結合によるループバック GPO リストが連結されます。コンピュータの既定 GPO がユーザーの既定 GPO に追加され、ユーザーは連結されたリストで [ユーザーの構成] 設定を取得します。コンピュータ用に取得された GPO リストは後から適用されるため、ユーザーのリストの設定と矛盾する場合は、コンピュータ用の GPO リストが優先されます。

ループバック処理を有効にするには

  1. GPWalkThrough コンソールで、[Resources] 組織単位を展開し、[Desktop] 組織単位を右クリックして、コンテキスト メニューの [プロパティ] をクリックします。次に、[Desktopのプロパティ] ダイアログ ボックスで、[グループ ポリシー] タブをクリックします。
  2. [新規] をクリックし、「Loopback Policies」という名前の新しい GPO を作成します。
  3. [Loopback Policies] GPO を選択し、[編集] をクリックします。
  4. グループ ポリシー オブジェクト エディタの [コンピュータの構成] ノードで、[管理用テンプレート]、[システム] を順に展開し、[グループ ポリシー] をクリックします。
  5. 詳細ペインで、[ユーザー グループ ポリシー ループバック処理モード] ポリシーをダブルクリックします。
  6. [ユーザー グループ ポリシー ループバック処理モード] ダイアログ ボックスで、[有効] をクリックし、[モード] ボックスで [置換] (既定) を選択して、[OK] をクリックします。

次の節では、Kiosk シナリオに適用されたようなユーザーの "タスクバーと [スタート] メニュー" およびデスクトップに、制限された設定を定義します。ポリシーのダイアログ ボックスの [次の設定] ナビゲーション ボタンを使用すると、ポリシーを効率的に見つけることができます。

制限されたタスクバーと [スタート] メニュー環境を定義するには

  1. グループ ポリシー オブジェクト エディタで、[ユーザーの構成]、[管理用テンプレート] を順に展開して、[タスクバーと [スタート] メニュー] をクリックします。
  2. 次の各ポリシーのダイアログ ボックスで、次の表に示されているようにポリシーの状態を設定します。
    コンテナ ポリシー 設定

    タスクバーと [スタート] メニュー

    [スタート] メニューからユーザーのフォルダを削除する

    有効

    タスクバーと [スタート] メニュー

    Windows Update へのリンクとアクセスを削除する

    有効

    タスクバーと [スタート] メニュー

    [スタート] メニューから共通プログラム グループを削除する

    有効

    タスクバーと [スタート] メニュー

    [スタート] メニューから [マイ ドキュメント] を削除する

    有効

    タスクバーと [スタート] メニュー

    [スタート] メニューから [最近使ったファイル] を削除する

    有効

    タスクバーと [スタート] メニュー

    [設定] メニューのプログラムを削除する

    有効

    タスクバーと [スタート] メニュー

    [スタート] メニューから [ネットワーク接続] を削除する

    有効

    タスクバーと [スタート] メニュー

    [スタート] メニューから [お気に入り] を削除する

    有効

    タスクバーと [スタート] メニュー

    [スタート] メニューから [検索] を削除する

    有効

    タスクバーと [スタート] メニュー

    [スタート] メニューから [ヘルプ] を削除する

    有効

    タスクバーと [スタート] メニュー

    [スタート] メニューから [ファイル名を指定して実行] を削除する

    有効

    タスクバーと [スタート] メニュー

    [スタート] メニューから [マイ ピクチャ] を削除する

    有効

    タスクバーと [スタート] メニュー

    [スタート] メニューから [マイ ミュージック] を削除する

    有効

    タスクバーと [スタート] メニュー

    [スタート] メニューから [マイ ネットワーク] を削除する

    有効

    タスクバーと [スタート] メニュー

    [スタート] メニューに [ログオフ] を追加する

    有効

    タスクバーと [スタート] メニュー

    [スタート] メニューの [ログオフ] を削除する

    未構成

    タスクバーと [スタート] メニュー

    シャットダウン コマンドを削除してアクセスできないようにする

    有効

    タスクバーと [スタート] メニュー

    [スタート] メニューでコンテキスト メニューのドラッグ アンド ドロップを禁止にする

    有効

    タスクバーと [スタート] メニュー

    タスクバーと [スタート] メニューの設定を変更できないようにする

    有効

    タスクバーと [スタート] メニュー

    タスクバーのコンテキスト メニューへのアクセスを削除する

    有効

    タスクバーと [スタート] メニュー

    最近使ったファイルの履歴を保存しない

    有効

    タスクバーと [スタート] メニュー

    終了時に最近使ったファイルの履歴を消去する

    有効

    タスクバーと [スタート] メニュー

    カスタマイズ メニューをオフにする

    有効

    タスクバーと [スタート] メニュー

    ユーザーの追跡をオフにする 

    有効

    タスクバーと [スタート] メニュー

    [別のメモリ領域で実行する] チェック ボックスを [ファイル名を指定して実行] ダイアログ ボックスに追加する

    未構成

    タスクバーと [スタート] メニュー

    シェルのショートカットの解決に検索ベースのメソッドを使用しない

    未構成

    タスクバーと [スタート] メニュー

    シェルのショートカットの解決に追跡ベースのメソッドを使用しない

    未構成

    タスクバーと [スタート] メニュー

    利用できない Windows インストーラ プログラムの [スタート] メニューのショートカットを灰色表示する

    未構成

    タスクバーと [スタート] メニュー

    タスク バー項目のグループ化を禁止する

    有効

    タスクバーと [スタート] メニュー

    通知領域のクリーンアップをオフにする

    未構成

    タスクバーと [スタート] メニュー

    タスクバーをロックする

    有効

    タスクバーと [スタート] メニュー

    強制的に従来の [スタート] メニューを使用します

    未構成

    タスクバーと [スタート] メニュー

    [スタート] メニュー項目のバルーン ヒントを削除する

    有効

    タスクバーと [スタート] メニュー

    [スタート] メニューからピンされたプログラムを削除する

    有効

    タスクバーと [スタート] メニュー

    [スタート] メニューから頻繁に利用するプログラムの一覧を削除する

    未構成

    タスクバーと [スタート] メニュー

    [スタート] メニューから [すべてのプログラム] を削除する

    未構成

    タスクバーと [スタート] メニュー

    [スタート] メニューから [コンピュータの装着解除] ボタンを削除する

    有効

    タスクバーと [スタート] メニュー

    [スタート] メニューからユーザー名を削除する

    有効

    タスクバーと [スタート] メニュー

    システム通知領域に時刻を表示しない

    未構成

    タスクバーと [スタート] メニュー

    通知領域を隠す

    未構成

    タスクバーと [スタート] メニュー

    タスク バーにカスタム ツール バーを表示しない

    有効

    タスクバーと [スタート] メニュー

    [プログラムのアクセスと既定の設定] を [スタート] メニューから削除する

    有効

制限されたデスクトップ環境を定義するには

  1. グループ ポリシー オブジェクト エディタで、[ユーザーの構成]、[管理用テンプレート] を順に展開して、[デスクトップ] をクリックします。

  2. 次の各ポリシーのダイアログ ボックスで、次の表に示されているようにポリシーの状態を設定します。

    コンテナ ポリシー 設定

    デスクトップ

    デスクトップ上のすべてのアイコンを非表示にして無効にする

    未構成

    デスクトップ

    デスクトップの [マイ ドキュメント] を削除する

    有効

    デスクトップ

    デスクトップから [マイ コンピュータ] アイコンを削除する

    有効

    デスクトップ

    デスクトップから [ごみ箱] アイコンを削除する

    有効

    デスクトップ

    [マイ ドキュメント] のコンテキスト メニューから [プロパティ] を削除する

    有効

    デスクトップ

    [マイ コンピュータ] のコンテキスト メニューから [プロパティ] を削除する

    有効

    デスクトップ

    [ごみ箱] のコンテキスト メニューから [プロパティ] を削除する

    有効

    デスクトップ

    デスクトップ上の [マイ ネットワーク] アイコンを非表示にする

    有効

    デスクトップ

    デスクトップ上の [Internet Explorer] アイコンを非表示にする

    未構成

    デスクトップ

    [マイ ネットワーク] に最近使ったファイルの共有を追加しない

    有効

    デスクトップ

    My Documents フォルダへのパスの変更を禁止する

    有効

    デスクトップ

    タスクバーのツール バーの追加、ドラッグ アンド ドロップおよび終了を禁止する

    未構成

    デスクトップ

    デスクトップのツール バーの調整を禁止する

    有効

    デスクトップ

    終了時に設定を保存しない

    有効

    デスクトップ

    デスクトップ クリーンアップ ウィザードを削除する

    有効

  3. すべてのポリシーの設定が完了したら、[OK] をクリックします。

  4. グループ ポリシー オブジェクト エディタで、[ユーザーの構成]、[管理用テンプレート]、[デスクトップ] を順に展開して [Active Desktop] ノードに移動し、[Active Desktop を無効にする] ポリシーを [有効] に設定します。次に、[OK] をクリックします。

  5. グループ ポリシー オブジェクト エディタで、[ユーザーの構成]、[管理用テンプレート] を順に展開して [コントロール パネル] ノードに移動し、[プログラムの追加と削除] ノードをクリックします。[[プログラムの追加と削除] を削除する] ポリシーをダブルクリックし、[有効] に設定して、[OK] をクリックします。

  6. グループ ポリシー オブジェクト エディタで、[ユーザーの構成]、[管理用テンプレート] を順に展開して [コントロール パネル] ノードに移動し、[画面] ノードをクリックします。[コントロール パネルの [画面] を削除する] ポリシーをダブルクリックし、[有効] に設定して、[OK] をクリックします。

  7. グループ ポリシー オブジェクト エディタの [ファイル] をクリックし、[終了] をクリックします。

  8. [デスクトップのプロパティ] ダイアログ ボックスで、[OK] をクリックします。

[Desktop] 組織単位のコンピュータにログオンしたユーザーには、通常適用されるポリシーが適用されません。その代わり、Loopback Policies GPO に定義されたユーザー ポリシーが適用されます。「セキュリティ グループのフィルタ処理」で説明した手順に従って、セキュリティ グループを作成し、そのセキュリティ グループに対する GPO 適用を拒否することによって、この動作をコンピュータの特定のグループに限定することができます。

ページのトップへ ページのトップへ

付録

welcome.js サンプル スクリプト

// Script Sample for Windows Scripting Host
//
// Define constant values.
//
var MB_ICONINFORMATION = 0x40;
var MB_ICONQUESTION  = 0x20;
var MB_ICONYESNO = 0x04
var IDYES  = 6;
var IDTIMEOUT  = -1;

var POPUP_WAIT = 5;  // close popup after 5 seconds.

//
// Create ActiveX Controls
//
var Shell = WScript.CreateObject("WScript.Shell")
var Env = Shell.Environment("PROCESS")

//
// Set greeting message.
//
var strTitle = "Sample Login Script";

var strMsg = "Welcome \" + Env("UserName")
strMsg += "\" to the \" + Env("UserDomain") + "\" domain\r\n\r\n"


Shell.Popup(strMsg, POPUP_WAIT, strTitle, MB_ICONINFORMATION);

//
// Launch Internet Explorer if user wants.
//
strMsg = "Do you want to visit the Windows Server 2003 web site?";
var strURL;

strURL = "http://www.microsoft.com/windowsserversystem/default.mspx";

var intAnswer = Shell.Popup(strMsg,
                POPUP_WAIT,
                strTitle,
                MB_ICONQUESTION | MB_ICONYESNO );

if (intAnswer == IDYES) {
Shell.Run(strURL);

}

ページのトップへ ページのトップへ

関連資料

詳細については、次の資料を参照してください。

ページのトップへ ページのトップへ