初歩から理解するActive Directory (第8回=最終回) 続き
|
グループ・ポリシーはOUにGPOを適用することで反映される グループ・ポリシーでどのような管理を行うかは,「グループ・ポリシー・オブジェクト(GPO)」の中に定義される。GPOの実体は,GPC(グループ・ポリシー・コンテナ)というActive Directoryオブジェクトと,GPT(グループ・ポリシー・テンプレート)というSYSVOL共有に格納されたファイルが,セットになったものだ。実用上はほとんど気にならないが,GPCとGPTで,複製のタイミングが微妙に異なる場合があるので注意する必要がある。
グループ・ポリシーを機能させるには,管理内容を定義したGPOを,サイト/ドメイン/組織単位(OU)に対して適用するという形をとる(リンクと呼ぶこともある)。すると,その適用範囲にあるユーザーやコンピュータに,GPOの管理内容が反映されるという仕組みだ(図1)。 もし,OUの中にあるユーザーを,別のOUに移動させると,適用されているGPOが異なれば管理内容に自動的に変わる。また,GPOの適用は,設定を済ませると即座に反映されるのではなく,決まった時間間隔で更新を行っており,そのタイミングで設定が反映される。
GPOの作成・編集・削除のツールは
いったん作成したGPOを削除する場合は,[削除]ボタンをクリックする。ダイアログ画面が手前に現れるので,このとき[一覧からリンクを削除する]にチェックを入れて[OK]ボタンをクリックする(図3)。この操作では,リストからなくなるだけで,GPO自体は削除されないで保存される。保存されたGPOは,図2-1で[追加]ボタンを押せば,あとからGPOのリンク機能を使って適用できる。また,図3で[リンクを削除し,グループポリシーオブジェクトを恒久的に削除する]にチェックを入れて[OK]にすると,リンクだけでなくGPOの実体も削除される。 GPOには,リンク機能のほか,継承機能があって自動的に複数のOUに適用できる。継承機能は,禁止したり強制したりと細かい制御ができる。 ポリシーの適用には時間間隔がある グループ・ポリシーは,必要に応じてGPUPDATEコマンドを実行すれば,即時に更新できる。GPUPDATEコマンドを実行すると,ユーザーとコンピュータのポリシー情報の変更の有無を検査し,変更されていれば適用する。また,再起動やログオフが必要と判断すれば,その旨を通知する。ポリシーが変更されていなくても,強制的に設定したければ,/FORCEオプションを併用する。このような,コマンドを使ったグループ・ポリシーの手動更新は,Windows 2000では,SECEDIT/REFRESHPOLICYコマンドを使っていたが,Windows XPからGPUPDATEコマンドに変わっている。 |
