今から始めるWindows Server 2003(最終回) 続き

GPOを作成・設定してリンクする
 GPMCでは,GPOの作成・設定とそのGPOに対する配置(リンク)が区別されている。例えば,ドメインに対してGPOを適用するには,GPOを作成・設定したあとにドメインにリンクするという操作になる。

 まずは,GPOの作成だ。
(1)適切な権限を持つユーザーでログオンしてGPMCを起動する。GPOを作成するためには,Group Policy Creator Ownersグループの権利を持つユーザー(通常はDomain Adminsグループのメンバー)でGPMCを起動する。



△ 図をクリックすると拡大されます
図8●GPOを作成する


△ 図をクリックすると拡大されます
図9●GPMCでGPOを編集する

(2)左ペインの[フォレスト]-[ドメイン]-[ドメイン名]を展開して[グループポリシーオブジェクト]を右クリックし,[新規]を選択する(図8a)。

(3)[新しいGPO]ダイアログボックスでGPOに付ける名前を指定して[OK]をクリックする。GPOの名前は,そのGPOが何をするためのものかが容易に判断できるようにする(図8b)。

 次に,作成したGPO専用の設定を構成する。ここでは,あるユーザーに対して「[スタート]メニューから[ファイル名を指定して実行]を削除する」という機能制限を設定しよう。
(4)作成したGPOを右クリックして[編集]を選択する(図9a)。[グループポリシーオブジェクトエディタ]が開くので,左ペインの[ユーザーの構成]-[管理用テンプレート]-[タスクバーと[スタート]メニュー]を選択する。次に右ペインにある[[スタート]メニューから[ファイル名を指定して実行]を削除する]をダブル・クリックする(図9b)。プロパティが開くので,[有効]を選択して[OK]を押す(図9c)。

(5)ほかに設定したいポリシーがあれば,同様に操作してポリシーを追加する。

(6)すべての設定が完了したら,[グループポリシーオブジェクトエディタ]を閉じる(図9d)。

 最後にGPOをリンクする。今までの手順ではGPOを作成して編集しただけであるため,GPOの設定は適用されない。作成したGPOをサイト,ドメイン,OUなどにリンクすることによって,リンク先の対象に所属するコンピュータやユーザーに対してGPOの設定を有効にできる。今回は,このGPOをtestdom.localドメインにリンクしよう。手順は以下の通りだ。
(7)左ペインの[testdom.local]を右クリックして[既存のGPOのリンク]を選択する(図10a)。



△ 図をクリックすると拡大されます
図10●GPOをリンクする


△ 図をクリックすると拡大されます
図11●グループ・ポリシーのモデル作成

(8)[GPOの選択]の[グループポリシーオブジェクト]から,リンクするGPOを選択して[OK]をクリックする(図10b)。

GPOの適用結果を確認する
 GPOの作成・設定とリンクが完了したら,対象のコンピュータやユーザーに適切に適用されることを確認する必要がある。GPOを実際に適用する前に,適用結果をシミュレートする機能が「グループ・ポリシーのモデル作成」だ。手順は以下の通りである。
(1)GPMCの左ペインにある[グループポリシーのモデル作成]を右クリックして[グループポリシーのモデル作成ウィザード]を選択する(図11a)。

(2)ウィザードが開始されるので(図11b),シミュレーションの実行に使用するドメイン・コントローラ(DC)を選択する(図11c)。ここではWindows Server 2003を実行しているDCを選択しなければならない。
(3)シミュレートするユーザーとコンピュータが格納されているコンテナを選択する。今回はドメインのGPOをシミュレートするので,ドメインを選択した(図11d)。特定のコンピュータやユーザーに対するGPOの効果をシミュレートするためにOUを指定することも可能だ。

(4)[シミュレーションの詳細オプション]で,[低速ネットワーク接続]や[ループバック処理]などのオプションを指定する。今回はデフォルトのままにする(図11e)。

(5)[ユーザーセキュリティグループ]では,(3)で選択したユーザーが参加しているセキュリティ・グループが表示される。シミュレーションにほかのグループに対する結果を含めたい場合は,セキュリティ・グループを追加する(図11f)。

(6)[コンピュータセキュリティグループ]で,コンピュータに対しても同様の判断を行う(図11g)。

(7)[ユーザーのWMIフィルタ]で,GPOにリンクしているWMIフィルタをすべて適用するか,指定したWMIフィルタのみを適用するかを選択する。通常はデフォルトのままでよい(図11h)。

(8)[コンピュータのWMIフィルタ]でも,同様の判断を行う(図11i)。

(9)[選択の要約]でウィザードの設定内容を確認する(図11j)。今回は,ドメインの全コンピュータとユーザーに対して適用されるGPOをシミュレーションすることになる。[次へ]をクリックすると選択した内容に沿ってグループ・ポリシーのモデルが作成される(図11k)。

(10)[完了]をクリックしてウィザードを終了し,GPMCの左ペインで作成したグループ・ポリシーのモデルを選択して,右ペインの[設定]タブを選択すると,ウィザードで指定したコンピュータとユーザーに対して適用されるGPOの詳細内容を確認できる(図11l)。この結果をHTMLファイルとして保存することも可能だ。

まとめとして
 このようにしてGPOを作成してリンクしておけば,ADドメインに参加しているコンピュータを使うユーザーに対して強制力を持つ設定を一括して行うことができる。ただし,GPOで一元管理できるクライアント・コンピュータのOSはWindows 2000以降に限られる。Windows NT 4.0以前のOSはGPOを評価する能力がないため,これらのクライアントに関してはNTドメインの場合と同様にシステム・ポリシーを利用しなければならない。

 また,GPOの評価順序を変更する「上書き禁止」「継承のブロック」「フィルタ」やGPMCの機能であるGPOのバックアップ/復元やコピー/張り付け,それにハードディスクの空き容量などの条件でGPO適用対象コンピュータを絞り込めるWMIフィルタなどについては,前述のURLから技術文書をダウンロードして参照してほしい。

 OUを導入して管理権限を委任し,ドメインを分散管理する。GPOをドメインやOUに適用してコンピュータやユーザーを一元管理する。これらの機能はADドメインの大きなメリットだ。GPMCによってGPOの管理は飛躍的に楽になっている。
          *       *       *
 このようにWindows Server 2003は,数々の機能を追加・改良した最新のWindowsサーバーOSである。連載で触れた機能は一部に過ぎないが,十分に活用していただければ幸いだ。