■グループ・ポリシーは適切な計画の下に実装すれば,クライアント管理に不可欠な存在になり得る。しかしグループ・ポリシーは仕組みが複雑で設定が多すぎるため,あまり活用されていないのが実態である。
■そこで今回は,グループ・ポリシーの仕組みを分かりやすく説明するとともに,クライアントを管理する上で役に立つテクニックを10個紹介する。
グループ・ポリシーは,適切な計画に従って実装すれば,Windowsクライアントの管理に不可欠なものとなり得る。ところが2つの障壁が,管理者による効果的なグループ・ポリシーの活用を阻んでいる。1つ目はグループ・ポリシーの仕組みやその割り当て方法などが,ユーザーに理解されていないことである。2つ目は,グループ・ポリシーでやりたいことが明確になっていないことである。
グループ・ポリシーは設定項目が多い上に設定方法も様々で,困惑するのも無理はない。しかしグループ・ポリシーを理解することは難しくはない。いったん感覚をつかんだら,アイデアさえあれば実行に移せる。このことを踏まえて,今回はグループ・ポリシーの基本と,グループ・ポリシーを使ってWindowsクライアントを管理する10個の方法を紹介する。
グループ・ポリシーの基本
 △ 図をクリックすると拡大されます |
| 図1●グループ・ポリシーで編集できる主要なノード |
(1)の[ソフトウエアインストール]ノードは,ユーザーへのソフトウエアの割り当てと発行,コンピュータへのソフトウエアの適用を行うものである。
(2)の[スクリプト]ノードでは,コンピュータの起動時と終了時,またはユーザーのログオン時とログオフ時に実行されるスクリプトを指定する。Windows Script Host(WSH)をサポートする言語であればスクリプト・オブジェクトに加えることができる。
(3)の[セキュリティの設定]ノードでは,コンピュータやネットワークのセキュリティ設定を指定する。
 △ 図をクリックすると拡大されます |
| 図2●[管理用テンプレート]ノードに読み込むテンプレートを選択する画面 |
(5)の[リモートインストールサービス]ノードでは,リモート・インストール・サービス(RIS)機能を利用するクライアントに表示されるウィザード画面の内容を設定できる。
(6)の[フォルダリダイレクト]ノードは,Windowsの特別なフォルダ(「マイ ドキュメント」「デスクトップ」「スタートメニュー」「Application Data(%userprofile%\Local Settings\Application Data)」)をネットワーク上の別の場所に移動するための設定である。
(7)の[Internet Explorerのメンテナンス]ノードでは,IEの振る舞いを管理し,カスタマイズする。
GPOはドメインやOUにリンクする
 △ 図をクリックすると拡大されます |
| 図3●組織単位(OU)にGPOをリンクするための手順 |
OUには,ユーザーまたはコンピュータ・オブジェクトを所属させることで,デスクトップ・システムやユーザーを管理する。また,WMI(Windows Management Instrumentation)フィルタリングを使って,特定のポリシーを適用する対象となるオブジェクトの範囲を絞り込める。
それではここから,グループ・ポリシーを使って実行できるクライアント管理の例を10個紹介しよう。
その1:起動時とログオン時に必ずネットワークに接続する
この設定は,Windows XPクライアントにGPOを確実に適用させる上で非常に重要である。なぜならWindows XPはWindows 2000と異なり,ログオン時に毎回GPOが同期されないようになった(これは起動とログオンを高速化するための仕様変更である)。そのためWindows XPでは,グループ・ポリシーが有効になるまでに,2~3回のログオンが必要になることがある。セキュリティ強化のためにグループ・ポリシーを活用するのであれば,クライアントのGPOは迅速にサーバーと同期される必要がある。その際はこの設定を有効にしておこう。
その2:RISを使ったOSの自動インストール
リモート・インストール・サービス(RIS)は,Windows 2000/XP/Server 2003のインストール・イメージを,クライアントに配布する機能である。[リモートインストールサービス]ノードは,RISによるイメージのインストール時にクライアント・マシンに表示するウィザード画面のオプションを制御するための設定だ。
例えば[自動セットアップ]のオプションを[有効]にしておけば,イメージのインストールは全自動で行われるようになる。[カスタムセットアップ]を[有効]にした場合,コンピュータの名前付け処理を手動で実行できる。
その3:ログオン/ログオフ・スクリプト
[ユーザーの構成]−[Windowsの設定]−[スクリプト(ログオン/ログオフ)]
 △ 図をクリックすると拡大されます |
| 図4●2つある「スクリプト」の違い |
その4:クライアントのセキュリティ強化
セキュア・デスクトップ・クライアントを実装するに当たっては,多面的な取り組みが必要である。グループ・ポリシーはセキュリティ戦略の構築に当たって,一貫性のある安定した基盤を確保してくれる。グループ・ポリシーは広範なセキュリティ設定を含んでおり,デスクトップ・コンピュータとユーザーに関連するポリシーの集中管理と実行を可能にする。
セキュリティを確保する上で,グループ・ポリシーで管理できる重要な分野が4つある。(1)セキュリティ設定,(2)IPsecポリシー,(3)ソフトウエア制限ポリシー,(4)ワイヤレス・ネットワーク・ポリシー——である。これらのポリシーを構成するに当たっては,その影響を徹底的に理解している必要がある。また実稼働させる前に,念入りなテストを行う必要もあることも忘れないでほしい。
(1)に対応するのが[コンピュータの構成]−[Windowsの設定]−[セキュリティの設定]にあるポリシー群だ。OSの詳細を構成できる。[ファイルシステム]と[レジストリ]では,ファイルやレジストリに対するアクセス許可を設定する。[ローカルポリシー]−[監査ポリシー]では監査に関する設定を,[アカウントポリシー]−[パスワードポリシー]ではパスワードに関する設定を,[イベントログ]ではイベント・ログに関する設定をそれぞれ施せる。
なお「セキュリティ・テンプレート」をGPOに読み込むことで,簡単にセキュリティ設定を整理できる。デフォルトのテンプレートは「%systemroot%\Security\Templates」フォルダに置かれていて.infという拡張子が付いている。
(2)の[IPセキュリティポリシー]は,IPsecに関するセキュリティ機能で,フィルタリング,認証,ネットワーク・トラフィックの暗号化のためにある。
(3)の[コンピュータの構成]−[セキュリティの設定]ならびに[ユーザーの構成]−[セキュリティの設定]にある[ソフトウエアの制限ポリシー]は,クライアントにおけるソフトウエアの実行を禁止するものである。ユーザーまたはコンピュータ単位で,ソフトウエア実行の許可の可否を指定できる。
(4)の[ワイヤレスネットワーク(IEEE802.11)]は,Windows XPの無線LAN設定を,Windows Server 2003を使って制御するものである。
