【問題】
 あなたは,ある企業のシステム管理者として勤務している。ネットワークはActive Directoryで管理され,Windows Server 2003を実行するサーバーと,Windows VistaまたはWindows XPを実行するクライアントからなる。会社の方針として,グループ・ポリシー機能を利用して,すべてのユーザーが使用するコンピュータの設定を一元管理することが決まった。ただし,管理者グループは,グループ・ポリシーの適用対象外としたい。管理負荷を押さえて機能を実装するにはどのようにしたらよいか。適切なものを次の中から選びなさい。

1. [グループポリシーの管理]でグループ・ポリシーに対し,セキュリティ・フィルタを設定する。
2. [グループポリシーの管理]でグループ・ポリシーに対し,継承のブロックを設定する。
3. [Active Directoryユーザーとコンピュータ]でAdministratorsに対し,セキュリティ・フィルタを設定する。
4. [Active Directoryユーザーとコンピュータ]でAdministratorsに対し,継承のブロックを設定する。

正解:1
 Windows 2000以降,コンピュータの各種設定は,コントロール・パネルやレジストリ,Windowsアプリケーションの設定画面などをそれぞれ開いて設定するのではなく,「グループ・ポリシー」を使用して一元管理できるようになった。

 すべてのコンピュータにおいて,[ローカルコンピュータポリシー]の画面から,システムの設定ができる(図1)。さらにActive Directotyを使用している環境では,サイト,ドメイン,OU階層で,グループ・ポリシーを複数設定できる。その場合は,[グループポリシーの管理]ツールを使用するのが便利である。

図1●各コンピュータにある「ローカル・コンピュータ・ポリシー」の画面
図1●各コンピュータにある「ローカル・コンピュータ・ポリシー」の画面
これらのポリシーを全コンピュータ/ユーザーにまたがって一元的に適用できるのが,Active Directoryの「グループ・ポリシー」である。
[画像のクリックで拡大表示]

 同ツールでは,グループ・ポリシーの作成やリンク,編集といった管理のほか,適用の実績に関するレポートや,適用した場合の結果をシミュレーションした場合のレポートを作成したり,グループ・ポリシー設定のバックアップや復元ができる。Windows Server 2003には,同ツールはOSに含まれていないため,マイクロソフトのサイトから別途ダウンロードして使用する。Windows Vista以降では標準ツールとしてOSに含まれた形で提供されている。

 グループ・ポリシーの適用対象は,コンピュータとユーザーであり,グループではないことに注意してほしい。シナリオのように,特定のグループに対してグループ・ポリシーを適用させたり,適用させなかったりするためには,[グループポリシーの管理]ツールで,グループ・ポリシー・オブジェクト(GPO)に対して「セキュリティ・フィルタ」を設定する。

 セキュリティ・フィルタとは,GPOに対するアクセス許可である。既定では「Authenticated Users」に適用されるように構成されている(図2)。

図2●セキュリティ・フィルタ
図2●セキュリティ・フィルタ
[グループ・ポリシーの管理]ツールに実装されているセキュリティ・フィルタ機能
[画像のクリックで拡大表示]

 特定のグループに対してグループ・ポリシーを適用させないようにするには,[セキュリティフィルタ処理]の項目にそのグループを追加し,[委任]タブの[詳細設定]で「グループポリシーの適用」を「拒否」に設定する(図3)。逆に特定のグループに対してグループ・ポリシーを適用させるには,Authenticated Usersグループを削除して,[セキュリティフィルタ処理]の項目にそのグループを追加する。

図3●セキュリティ・フィルタの[委任]タブ
図3●セキュリティ・フィルタの[委任]タブ
セキュリティ・フィルタの[委任タブ]で「グループポリシーの適用」を「拒否」に設定すると,このグループにはグループ・ポリシーが適用されなくなる。
[画像のクリックで拡大表示]

 その他,グループ・ポリシーの適用を制限するには,以下の方法がある。

●強制:GPOに対して設定できる。
 グループ・ポリシーは,[ローカル・コンピュータ・ポリシー]→[サイト・ポリシー]→[ドメイン・ポリシー]→[OUポリシー]→[さらに下位のOUポリシー]の順に処理される。設定内容が競合した場合は,後から処理された内容で上書きされる。ただしGPOに対して「強制」を設定をすることで,上書きがされなくなる。

●ブロック:OUに対して設定できる。
 グループ・ポリシーは,上位の階層のGPOが下位の階層に「継承」されるようになっている。例えば,ドメイン・レベルにリンクされたGPOは,ドメイン内のすべてのコンピュータやユーザーに適用される。ただしOUに対し,「ブロック」することでGPOは継承されなくなる。

●セキュリティ・フィルタ:グループに対して設定できる。
 詳細は既述の通りである。

●WMIフィルタ:GPOに対して設定できる。
 GPOを適用される条件を動的に判断させたい場合に使う。例えば,ソフトウエア・インストールのポリシーを,OSのバージョンやディスクの空き領域で判断させたい場合などに使用する。ただし,WMIの構文を書く必要がある。

 このように,制限をかけることは可能であるが,多用しすぎると追加のポリシー計画やトラブルシュートが煩雑になる。できればOU設計で対応するとよい。

 継承のブロックは,OUに対して上位階層にリンクされたGPOを適用されないようにする設定である。従って選択肢2と4は誤りである。

  [Active Directoryユーザーとコンピュータ]でセキュリティ・フィルタを設定することはできない。従って選択肢3は誤りである。