この連載では，Windows Server 2003を導入・構築・運用するための基礎知識を紹介してきた。前回はADドメインにユーザーを作成し，ユーザーをグループによって分類して管理する手順と，OU（組織単位）で管理権限を委任してドメインの分散管理を行う手順に関して解説した。最終回はOUのもう1つの利用目的であるグループ・ポリシー・オブジェクト（GPO：Group Policy Object）について解説する。

　情報システムを運用する際に発生するコストのほとんどは，クライアント・コンピュータの管理コストである。台数が多く，その利用者にコンピュータやネットワークの専門知識のない人がほとんどである場合，管理者の負担は膨大になる。

　その管理負担を低減させる機能として，NTドメインでは「システム・ポリシー」があった。この機能は，特定のコンピュータやユーザー/グループに対してWindowsの設定を強制したり，機能制限を一括で有効にしたりするものである。クライアント・コンピュータを1台ずつ設定する必要がなくなるため，管理工数が削減できる。

　Windows 2000のADドメインでは，このシステム・ポリシーを大幅に機能強化したGPOが採用された。システム・ポリシーはドメインにしか設定できなかったが，GPOはドメイン以外に組織全体やOUに対して設定できる。Windows Server 2003のADドメインでは，このGPOがさらに強化され，新しい管理ツールである「グループ・ポリシー管理コンソール」（GPMC：Group Policy Management Console）が利用可能になった。

ユーザーやコンピュータの構成を管理者が指定
　GPOは大別すると「コンピュータの構成」と「ユーザーの構成」がある。それぞれについて，どのような設定ができるかを以下に示す。
(1)コンピュータの構成
　特定のコンピュータを利用するユーザー全員のデスクトップ環境をカスタマイズしたり，セキュリティ設定を強制的に適用したりできる。具体的には以下のものがある。

（a）ソフトウエアの設定：該当するコンピュータにログオンする全ユーザーに適用されるソフトウエアの設定を行う。また，ポリシー適用対象コンピュータに，指定したソフトウエアを自動的にインストールできる。

（b）Windowsの設定：該当するコンピュータにログオンする全ユーザーにWindowsの設定を強制する。フォルダ・リダイレクト，セキュリティの設定，スタートアップ/シャットダウン・スクリプトなどを設定できる。

（c）管理用テンプレート：該当コンピュータにログオンする全ユーザーに適用されるWindowsの機能制限を決める。設定項目の表示を無効にしたり，設定変更を不可能にしたりできる。

(2)ユーザーの構成
　ユーザーごとにOSの特定の動作，デスクトップの設定，セキュリティ設定，アプリケーションの自動構成，ログオン/ログオフ・スクリプトを設定できる。具体的には以下がある。

（a）ソフトウエアの設定：ログオンするコンピュータとは無関係に特定のユーザーに対するソフトウエアの設定を行う。また，指定したソフトウエアをポリシー適用対象ユーザーが使用するコンピュータへ自動インストールできる。

（b）Windowsの設定：ログオンするコンピュータとは無関係にユーザーに対して適用するWindowsの設定を決める。フォルダ・リダイレクト，セキュリティの設定，ログオン/ログオフ・スクリプトなどを指定できる。

（c）管理用テンプレート：ログオンするコンピュータとは無関係にユーザーに対して適用するWindowsの機能制限を決める。標準で表示される項目の表示を無効にしたり，設定変更を不可能にしたりできる。

GPOの設定個所と適用範囲を理解しよう
　GPOはサイト，ドメイン，OUに対して個別に設定できる。使用するツールは，サイトに対しては「Active Directoryサイトとサービス」，ドメインとOUに対しては「Active Directoryユーザーとコンピュータ」（以降，ADユーザーとコンピュータ）である。GPOを作成するには，該当する管理ツールを開き，目的のサイト，ドメイン，またはOUのプロパティを開いて［グループポリシー］タブを選択すればよい。