△　図表をクリックすると拡大されます 図7●GPOの作成とリンク

△　図表をクリックすると拡大されます 図8●GPOの編集

△　図表をクリックすると拡大されます 図9●GPOの設定

△　図表をクリックすると拡大されます 図10●GPOとGPOリンクの違い

△　図表をクリックすると拡大されます 図11●GPO作成の権利の委任

△　図表をクリックすると拡大されます 図12●GPOリンクの権利の委任

GPO作成や設定確認をグラフィカルに操作
　実際に，GPMCを使用して管理作業を行ってみよう。大まかな管理作業の流れは，（1）GPOの作成，（2）GPO管理の委任，（3）GPOのコピー，（4）GPOのインポート，（5）スクリプトによる管理――といったものである。

　最初の管理作業は，GPOの作成だ。従来GPOの作成は，［Active Directoryのユーザーとコンピュータ］の［グループポリシー］タブで行っていた。ここではGPMCを使って作成する。

　GPMCを起動し，［フォレスト］と［ドメイン］のコンテナを展開して，GPOを作成したいOUをクリックして選択し（ここでは「Sales」というOU），右クリックで現れたメニューから［GPOの作成およびリンク］を選択する（図7）。するとダイアログ画面が現れるので，新しいGPOの名前を設定し，［OK］をクリックして閉じる。以上の手順でGPOを作成できる。

　GPMCのメイン画面の左枠でOUのアイコン（「Sales」）をクリックすると，右枠にこのOUにリンクしたGPOのショートカットのアイコンが一覧表示され，先ほど作成したものが追加されている。作成されたGPOの編集は，リストの中にあるGPOを右クリックして，現れたメニューから［編集］を選択する（図8）。すると従来方式と同様に，［グループポリシー オブジェクト エディタ］が起動するので，ここで編集作業を行う。

　GPOの設定を確認したければ，GPMCの左枠でGPOのアイコンをクリックする（ここでは「Office XP」）。右枠にGPOの設定画面が現れるので［設定］タブをクリックして切り替えると，図9のように，GPOの設定をグラフィカルに表示できる。

　なお，作成されたGPOは［グループポリシー オブジェクト］コンテナから編集することもできる。［グループポリシー オブジェクト］コンテナには，Active Directoryドメインに格納されているすべてのGPOが表示される。既に作成されているGPOを他のOUにリンクさせたい場合は，GPOを目的のOUにドラッグ＆ドロップするだけでよい。

GPOとGPOリンクを分けて認識できるのでGPO管理の委任もスムーズ
　このように左側でサイトやOUといった管理対象を確認しながら，右側でリンクするGPOを設定していけるので操作が簡単である。GPOで定義した設定は，サイト，ドメイン，OUにリンクされることで適用される。Windows 2000まではGPOとGPOリンクは，あまり明確に区別されていなかったが，GPMCでは明確に区別されている。例えば，GPMCでは，GPOは［グループ ポリシー オブジェクト］コンテナに表示され，GPOリンクはサイト，ドメイン，OUの子ノードとしてショートカット・アイコンで表示される（図10）。

　このようにGPOとGPOリンクを明確に区別することで，管理の委任作業も非常に分かりやすくなる。具体的な例を考えて，GPO管理の委任を設定してみよう。

　例えば，社内の情報システム部門がGPOを作成して，各部署のシステム管理者が必要なGPOを自分のOUにリンクして使用するケースを考える。当然，情報システム部門にはGPO作成の権利が，各部署の管理者にはGPOのリンクの権利が必要である。Windows 2000では，GPO作成の権利は［Group Policy Creator Owners］グループが持っており，GPOリンクの権利は，各OUで制御の委任ウィザードを実行することで与えていた。

　GPMCでは，［グループ ポリシー オブジェクト］コンテナの［委任］タブを利用して，GPOを作成するアクセス許可を明示的にグループまたはユーザーに与えられる。この機能を利用すれば，そのドメイン以外のユーザーやグループに対しても，GPO作成の権利を与えることが可能だ（図11）。また，各OUに対してのGPOのリンクのアクセス許可も，OUのプロパティの［委任］タブを使用して簡単に設定できる（図12）。