Windows Server 2003のグループ・ポリシー新機能(後編) 続き
グループ・ポリシーの結果セット(RSoP)で グループ・ポリシーの適用条件をチェック グループ・ポリシーは(1)サイト,(2)ドメイン,(3)上位OU,(4)下位OUの順に適用される。さらにセキュリティ・グループやWMIによるフィルタリングも行われるので,適用結果が予測しにくい場合がある。 Windows 2000では,リソース・キットにGPResult.exe(現在のコンピュータとユーザーに対するグループ・ポリシーの適用結果を表示),GPOTool.exe(ドメイン・コントローラにあるGPOの状態を確認)というコマンド・ライン・ツールが収録されていたが,グループ・ポリシーを管理するのに十分とは言えない状況であった。 Windows Server 2003では「グループ・ポリシーの結果セット(RSoP:Resultant Set of Policy)」機能を使うことで,特定のユーザーやコンピュータに適用されるグループ・ポリシーを表示できる。グループ・ポリシーを管理する上で,RSoPは非常に便利な機能である。この機能はWindows Server 2003のグループ・ポリシーの改善点の中でも,管理者にとって一番メリットのある機能ではないだろうか。ここでは,RSoPを使ってどのような情報が得られるのか検証してみたい。 RSoPには「計画モード」と「ログモード」という2つのモードが用意されている。「計画モード」(グループ・ポリシーのモデル作成)は,ドメインの管理者が実施するモードで,設定したグループ・ポリシーがどのように適用されるかを事前にチェックできる。これにより,間違った構成のGPOを適用しトラブルが発生するのを未然に防ぐことができる。もう1つの「ログモード」(グループ・ポリシーの結果)は,ドメインの管理者またはユーザー側で実行するモードで,現状のグループ・ポリシーの適用状況を確認し,グループ・ポリシーのトラブルシューティングに必要な情報を収集できる。 計画モードで適用結果をシミュレーション では,実際にGPMCを使用してグループ・ポリシーがどのように適用されるかを確認してみよう。ここでは,「TempStaff」OU内の「Temp1」ユーザーが,「Tokyo」OU内のWindows Server XPコンピュータにログオンした場合をシミュレートするようにした。 最後にTemp1にはどのようなポリシーが適用されるのか確認してみよう。[設定]タブを表示すると,適用される予定のポリシーの詳細を確認できる(図17)。 ログモード(グループ・ポリシーの結果)で適用状況を確認 GPMCを使う場合,ポリシーの結果セット(ログモード)は[グループポリシーの結果]を実行する。その他,[Active Directoryユーザーとコンピュータ]で特定のコンテナ/ユーザー/コンピュータを右クリックし,[すべてのタスク]-[ポリシーの結果セット(ログ作成中)]を実行する。MMCのスナップインで[ポリシーの結果セット]を追加し,[RSoPデータの生成]で実行する方法もある。また[ヘルプとサポート]からも実行可能だ。 管理者はこの機能により,指定されたコンピュータおよびそのコンピュータにログオンしたユーザーに適用されたポリシーの結果セットを判断できる。ただし,クライアントは Windows XP,Windows Server 2003以降を実行している必要がある。 では,実際のグループ・ポリシーの適用状況を確認してみよう。 結果を見ると,どのようなポリシーが適用されているかが表示される(図24)。また,[ポリシーのイベント]タブでは,対象のコンピュータからすべてのポリシーに関連するイベントを表示できる(図25)。このように,グループ・ポリシー関連のトラブルシューティングを行うには非常に役に立つ機能である。 * * * 2回にわたって,Windows Server 2003で改善されたグループ・ポリシーの機能のうち主要なものを実際に検証してみた。これ以外にもいくつかの機能が拡張されており,Windows 2000と比べると格段に使い勝手がよくなっている。ぜひ,Active Directoryを導入し,グループ・ポリシーを使いこなしてほしい。
|
