■Active Directoryの管理を効率的に行うには,グループ・ポリシーが不可欠である。特に大規模になるほど,必須になってくる。
■グループ・ポリシーを使うと,クライアントPCの設定を一括して行ったり,操作に制限を加えたりできる。Windows Server 2003になって「グループ・ポリシ管理コンソール(GPMC)」「ポリシーの結果セット(RSoP)」「WMI(ウインドウズ・マネージメント・インストゥルメンテーション)フィルタ」など新しい機能が追加された。

(横山哲也=グローバル ナレッジ ネットワーク)


 今回で「初歩から理解するActive Directory」は最終回である。最終回にふさわしいテーマとして,Active Directoryの中でも,どちらかというと難易度の高い「グループ・ポリシー」について,その概要をまとめることにしよう。前半で基本的な考え方と設定方法を解説し,後半でWindows Server 2003で登場したグループ・ポリシーに関する管理ツールを紹介する。

クライアントの操作を制限し,設定を自動化する
 Active Directoryの「グループ・ポリシー」は,クライアントの管理業務を軽減するためにある。グループ・ポリシーを使えば,大規模なシステムほど管理コストを大幅に削減できる。

 例えば,Windowsに標準で組み込まれているInternet Explorerには,ホームページにするサイトのURLやプロキシの接続環境など,様々な設定項目がある。これらは,クライアントPCごとに設定できるものの,システム部が個別のユーザーに対して指導したり,出向いていってPCを直接設定したりするとなると,数が多いほど大変な作業になる。グループ・ポリシーを使えば,クライアントPCを一つひとつ設定する手間を省き,一括して自動設定できる。

 グループ・ポリシーには,"一括設定"という観点とは別に"強制設定"といった側面もある。例えば,Windowsのコントロール・パネルをユーザーが勝手に操作して誤った設定にすると,マシンの性能が低下したり起動できなくなったりする。これを防止するには,ユーザーがコントロール・パネルを開けないようにすればよい。グループ・ポリシーを使うと,クライアントPC上でスタート・メニューからコントロール・パネルを開こうとしても,メニューに表示されない。他にも,ゲーム・ソフトを使わせないようにするなど,クライアントPCでローカルに行う設定のほとんどが,グループ・ポリシーの管理対象になると思っていいだろう。

デスクトップやセキュリティを管理し
ソフトのインストールをまで行う

ここで,グループ・ポリシーで実現できることの代表的な例をいくつか挙げておこう。

●デスクトップの設定
 前述したように,デスクトップ環境を制限し,利用可能なアプリケーションを限定する。また,[マイドキュメント]フォルダやデスクトップの実体のフォルダを,サーバー上の共有フォルダに変更できる。

●セキュリティの設定
 ユーザーの権利やパスワード・ポリシーなど,セキュリティに関する設定を一括管理する。すべてのワークステーション(メンバー・サーバーを含む)のローカルのAdministratorsグループに,Domain Adminsグローバル・グループを登録したり,Administratorのユーザー名を強制的に変更したりといった作業が簡単にできる。

●ソフトウエアの自動インストール
 OSやアプリケーションを,ネットワーク経由でインストールできる。Windows Installer形式であるMSIファイルを,ログオン時やコンピュータ起動時に,スクリプトを使って自動的にインストールする。インストールは,Windows 2000以降に備わったWindows Installerサービスの権限で行われるため,ユーザーの管理権限は不要である。

 他にも,ログオン/ログオフ,スタートアップ/シャットダウンなどに,任意のスクリプトを設定したり,TCP/IPやDNS,プロキシなどネットワークに関する設定を一括管理したりできる。