Windows Server 2008/Vistaでグループポリシーはこう変わった

Windows エンタープライズ管理部門、グループポリシー、リードプログラムマネージャ

2007.11.20

Windows Server 2008 およびWindows Vista には、グループポリシーのための新しい機能が，次のものを含めて数多く導入された。管理のための新しい機能と、管理の対象となる約700 の新しい設定によって、グループポリシーの使いやすさが向上し、ポリシーで管理できる領域の数が増えたことがわかるだろう。

電源管理の構成、デバイスのインストールのブロック、場所に基づいたプリンタの割り当てなどのいくつかの新しいポリシー管理領域ができた。
ADMX という管理用テンプレートファイルの新しいフォーマットができた。ADMXはXML ベースであり、以前のバージョンのWindows で使用されていた専用構文のADM ファイルに代わるものである。
Network Location Awareness ができた。これによって、グループポリシーがネットワークの状態の変更に適切に対応できるようになり、ポリシー処理のためにICMP に依存する必要性がなくなる。
ローカルグループポリシーオブジェクトを使用する機能、ADMX ファイルをセントラルストアに置くことによってSYSVOL の肥大化を抑える機能、これ以外のいくつかの新しい機能および機能強化が行われた。

サーバーマネージャの統合

　Windows Server 2008 における最初に注目すべき変更は、グループポリシーツールの提供方法である。Windows Vista を除く過去のOS では、管理者はマイクロソフトのWeb サイトへ行ってグループポリシー管理コンソール（GPMC：Group Policy Management Console）をダウンロードし、そのコンソールをグループポリシー管理が行われるすべての管理用ワークステーションにインストールする必要があった。Windows Server 2008 では、インストールデータはOS で配布されるので、ダウンロードする必要はなく、インストールメディアがどこにあるかを考えることもない。

　この新しい環境で異なる点は、オプションのWindows コンポーネントをインストールする方法だ。Windows Server 2008 には、「サーバーマネージャ」というサーバー用管理コンソールが新しく導入された。これは、サーバーの役割、およびオプションのWindows コンポーネントのインストールに使用されるツールである。従来のようにコントロールパネルの追加と削除でWindows コンポーネントを追加しようとすると、サーバーマネージャが表示される。

　サーバーマネージャは、オプションコンポーネントのインストールに使用されるだけではない。サーバーマネージャコンソール内では、GPMC コンソールそのものがホストされている。したがって、管理ツールはすべて1 か所に集められ、簡単に見つけることができる。もちろん、今までどおり共通の場所で管理ツールなどを探すこともできる。

検索／フィルタ、コメント、Starter GPO

　これらの機能によって、ポリシーの管理および作成に関する管理エクスペリエンスが大幅に向上する。これらは技術的には複数の機能だが、そのすべてがポリシーの作成におけるビジネス上の同じ問題に対処するため、「機能セット」と呼ぶのが適切だろう。Windows Vista およびWindows Server 2008 では、管理の対象となる新しい設定が何百もある。したがって、設定の総数は3,000 近くになる。これでは管理すべき設定が多すぎる。IT プロフェッショナルに大きなメリットを与えるとしても、管理する設定やポリシー項目を実際に指定するとなると、その複雑さは膨大である。

　マイクロソフトでは、比較的使いやすい1 つのドキュメントにすべてのグループポリシー設定を収めたスプレッドシートを提供しているが、実のところ、それでは問題は解決しなかった。マイクロソフトは、適切な設定を簡単に見つけられる方法がグループポリシーツール内に必要である、というフィードバックを多くのIT プロフェッショナルから受け取った。

　その結果、エディタでポリシーを作成する際、必要な設定を見つけるための素晴らしいメカニズムである「検索」と「フィルタ」が利用できるようになった。ツールバーには新しく［フィルタ］ボタンが表示される。また、エディタの［管理用テンプレート］ノードを右クリックすると、フィルタオプションと呼ばれるメニュー項目が表示される。このフィルタオプションでは、検索条件を設定できる。たとえば、表示範囲を「構成済み」の項目、特定のキーワード、またはシステム要件に制限することができる（Internet Explorer 6.0 の設定など）。

　フィルタオプションのインターフェイスは非常に直感的だ。また、フィルタオプションは、必要な設定を見つけるための十分な柔軟性も備えている。フィルタオプションを設定してフィルタ（グローバル設定）をオンにすると、対象となる設定のみがエディタに表示される。グループポリシーチームは、このような機能を組み込むことができて本当に喜んでいる。というのは、このテクノロジの管理に伴う大きな負担が、これによっていくらか軽減されるからである。

　コメントのある設定をフィルタすることもできる。これもWindows Server 2008 で導入された新しい機能である。コメントは、どのような設定にも付けることができる。したがって、管理者はポリシーの作成時にその意図を記入することができる。また、他の管理者は、そのコメントを検索条件として使用できる。この機能は、グループポリシーの管理者が自分自身または他の管理者に、特定の設定を管理する理由やその設定の影響を伝えるのに役立つ。

　この機能セットの最後の機能は、Starter GPO と呼ばれるものだ。Starter GPO は管理の開始点である。GPO（グループポリシーオブジェクト）を作成する場合は、今までどおり空白のGPO を作成できる。また、既存のStarter GPO のいずれかに基づいてGPO が作成されるように選択することもできる。Starter GPO は、事前に構成されてコメントが付けられた管理用テンプレート設定のコレクションである。Starter GPO というグループポリシー管理コンソール（GPMC）には、ノードが1 つ表示される。単純にこのノードを右クリックし、［新規］を選択すると、編集可能なStarter GPO が作成される。Starter GPO コンテナには委任機能があり、特定の管理者だけがStarter GPO コンテナを変更するようにできる。

　この機能セット、すなわち検索／フィルタ、コメント、Starter GPO は、グループポリシーに関する作成および管理エクスペリエンスが大幅に向上するように同時に実現された。この機能セットにより、設定の作成や発見が容易になり、グループポリシー設定のインライン記述や、処理を開始するための基本構成が可能になった。