今から始めるWindows Server 2003(最終回) 続き
図1は,ドメインに対するGPOの設定手順である。ドメインには「Default Domain Policy」というGPOが,Domain ControllersというOUには「Default Domain Controllers Policy」というGPOがデフォルトで設定されている。これ以外のサイトやOUには,デフォルトでGPOは設定されていない。 GPOとは別に,コンピュータ個別のセキュリティ設定を行うこともできる。それが「ローカル・セキュリティ・ポリシー」である。スタート・メニューの[管理ツール]-[ローカルセキュリティポリシー]で設定することができる(図2)。 このように,管理者がGPOを設定する場合には,適用対象となるコンピュータ/ユーザーが所属するサイト,ドメイン,OU,それにローカル・セキュリティ・ポリシーという複数の設定個所を使うことができる。それぞれで同じ項目が用意されていても,あえて異なる設定をすることも可能だ。その場合はどのような設定が実際に有効になるのだろうか? 具体例を基に説明しよう。図3のような構造のActive Directoryがあったとしよう。対象となるコンピュータ/ユーザーは,「Default-First-Site-Name」というサイトにあるjp.testdom.localドメインの販売1課OUに所属している。この場合のGPOの評価順序は次の通りだ。その結果として後に評価されるポリシーが実際に有効になる。 ドメインがツリー構造でも,ドメインのGPOは該当するドメインに対して設定されたものしか評価されないことに注意してほしい。これに対して,OUのGPOはOUの階層構造を継承して親OUから子OUの順に評価される。結果として1~5の各GPOで同じ項目に異なる設定がされている場合,最も後に評価される販売1課OUのGPOが最優先で有効になる。 ただ1つの例外は,ドメイン・ユーザーに対するアカウント・ポリシーだ(図4)。これが評価されるのはドメインに対して設定したGPOだけで,サイトやOUに対して設定したアカウント・ポリシーはそれぞれのコンピュータのローカル・ユーザーに対するアカウント・ポリシーとして評価されるようになっている。 サイト,ドメイン,OUというGPOの優先順位を一部変更することも可能だ。GPOそのものを無効にしたり,GPOの継承を無効(継承のブロック)にしたり,後に評価されるGPOによる上書きを禁止したり,特定のコンピュータやユーザーを適用対象から除外したりする設定がある(図5)。 ポリシー管理を楽にするGPMCが登場 ●使いやすく一覧性のよいUI Windows Server 2003にはGPMCは標準ではインストールされていない。利用する場合はマイクロソフト社のWebサイト(該当サイト)からダウンロードしてインストールする必要がある。GPMCをインストールできるOSはWindows Server 2003,またはWindows XP ProfessionalにSP1とMicrosoft .NET Frameworkを適用したものに限られ,Windows 2000以前のOSにはインストールできない。GPMCでWindows 2000 ADドメインのGPOも管理できるが,使用許諾条件にはWindows Server 2003のライセンスを1つ以上所有することが記されているので注意してほしい。 GPMCのインストールは簡単である。前述のURLにアクセスしてインストール・パッケージ(gpmc.msi)をダウンロードし,ダブル・クリックする。セットアップ・ウィザードが開始されるので,使用許諾契約書に同意すれば完了だ。インストールが完了すると,[管理ツール]の中に[グループポリシーの管理]が登録される。起動するとフォレスト内の全GPOが管理可能になる(図7)。 |
