GPOのコピーや移行が可能
 組織構成にもよるが,場合によってはGPOを,まず別のサーバーで作成して,その後で最終的なサーバーに格納することがあるかもしれない。例えば,まずはすべてのGPOをテスト・ドメイン(オンラインになっているが実稼働中のネットワークを信頼しているドメインや,完全にオフラインかつ孤立しているテスト環境など)で作成して試してみるような場合だ。そのときは,テスト・ドメインでGPOのテストが完了してから,稼働中のドメインに移行する。GPMCを使うと,このようなとき,GPOをテスト環境から実稼働環境へ移行できる。

 GPMCを使うと,GPOをドメイン内でもコピーできるし,ほかのドメインにもコピーできる。

 ドメイン内でGPOをコピーするには,まず[ドメイン]ノードを右クリックし,[ドメインの表示]メニューを選択する。次にGPOをコピーするために,そのGPOを右クリックして[コピー]メニューを選択する。そしてコピー先ドメインの[グループポリシーオブジェクト]ノードを右クリックし,[貼り付け]メニューを選択する。


△ 図をクリックすると拡大されます
図4 ●別のマシンのグループ・ポリシー・オブジェクトをインポートする
 オフラインになっているテスト環境からGPOを移行するのは,もう少し難しい。この作業はGPMCのインポート機能を使う。インポート機能による移行作業の手順は,バックアップと復元の手順と似ている。異なるフォレストにあるドメイン間でGPOを移行するには以下の順に操作する。

(1)コピー元ドメインでGPOをバックアップする
(2)コピー先ドメインに新たなGPOを作成する
(3)コピー対象のGPOを右クリックして[設定のインポート]メニューを選択する

 以上のような手順で,図4の[設定のインポート]ウィザードが起動する。

移行テーブルを使ってUNC参照を自動変換
 これが,[設定のインポート]メニューを使ったGPOのコピーと移行の基本的な手順である。しかし,設定をインポートしたいGPOがUNC(汎用名前付け規則)パスやセキュリティ・グループを含む場合はこの手順では対応できず,GPMC移行テーブルを使う必要がある。

 例えば,グループ・ポリシーのソフトウエア・インストールとフォルダ・リダイレクト設定の機能がUNCパス名を使う。割り当てるソフトウエアを正しく指定するのに,GPOは通常,UNCパスにあるWindowsインストーラ・ファイル(.msi)を起動する(例:\\Server1\share)。

 移行テーブルを使うことで,UNCの参照をコピー元ドメインからコピー先ドメインの有効な参照に変換できる。[設定のインポート]ウィザードは,コピー元ドメイン内のUNCパスを発見すると警告し,UNCパス名を処理する2つのオプションを表示する(図5)。最初のオプションである[ソースと同一になるようコピーする]は,通常は選択すべきではない。これは既に説明したように,コピー元ドメイン内のUNCやセキュリティ・グループへの参照がコピー先ドメインに存在しない可能性があるからで,このままコピー先ドメインにコピーしたとしてもGPOが機能しない可能性が高い。


△ 図をクリックすると拡大されます
図5●[設定のインポート]ウィザードの2つのオプションと[移行テーブル]エディタ
 通常は,もう1つのオプションである,[この移行テーブルを使用して宛先GPOにマップする]を選択する方がよい。これは別途対応付けを定義した移行テーブルの情報に基づいて自動変換する方法である。

 最初にウィザードを起動したときには,まだ移行テーブルは作っていないので存在しない。移行テーブルを作るには,図5の[新規]ボタンをクリックする。すると[移行テーブルエディタ]が起動する。既に分かっている情報は,直接入力可能だ。

 今は,バックアップからGPOをインポートしようとしているので,[ツール]−[バックアップから作成]メニューを選択する。続いてGPOを選択すると,[移行元(ソース)名]欄には指定したGPO内のUNCリファレンスが自動的に書き込まれる。そして,移行する必要のある各UNCパス(またはセキュリティ・グループ)の[移行先(宛先)名]欄に,新しいUNCパス(またはセキュリティ・グループ・リファレンス)を入力する。

 図5 では,指定したGPO に「\\OldServer\Software」というUNCパス名が含まれていた。コピー先ドメインにはこのサーバーは存在しない。従って[移行先(宛先)名]欄に,「\\NewServer\OurStuff」のような,コピー先ドメインで正しく参照できるパス名を入力する。

 移行先のUNCパス名を入力したら,[ツール]−[テーブルの検証]メニューを選択して,移行先の名前がすべて有効であることを確認する。有効性を確認したら,[ファイル]−[保存]メニューを選択して,移行テーブルを保存し,閉じる。

 その後,再度[設定のインポート]ウィザードの[参照の移行]画面が表示される。今度は,[この移行テーブルを使用して宛先GPOにマップする]オプションの下にあるコンボ・ボックスに,今作った移行テーブルが選択されている。通常は,作成した移行テーブルをそのまま選ぶ。

 例えば,同一のGPOを1つのドメインから複数の他のドメインに転送するように,同じ作業を繰り返す場合は,既存の移行テーブルをコンボ・ボックスから選択する。

 なお,GPOを確実に有効なあて先リファレンスで移行するには,常に[移行テーブルを排他的に使用し,GPOのバックアップのセキュリティプリンシパルまたはUNCパスが移行テーブルにない場合はインポート操作を実行しない]チェック・ボックスをチェックしておくことを勧める。

 以上のように,GPMC を使うとGPOを安全にバックアップ,修復,転送できる。GPOのバックアップは早ければ早いほどよい。バックアップするのを待ってはいけない。今すぐ実行しよう。