グループ・ポリシー管理コンソール(GPMC)の使い勝手を試す 続き

△ 図表をクリックすると拡大されます
図13●GPOのコピー


△ 図表をクリックすると拡大されます
図14●GPOの張り付け
△ 図表をクリックすると拡大されます
図15●GPOのドメインを超えたコピー・ウィザード(その1)
△ 図表をクリックすると拡大されます
図16●GPOのドメインを超えたコピー・ウィザード(その2)
△ 図表をクリックすると拡大されます
図17●GPOのバックアップ(GPOを右クリックしてバックアップを選択)
△ 図表をクリックすると拡大されます
図18●GPOのバックアップ(バックアップ先のフォルダを選択)
△ 図表をクリックすると拡大されます
図19●GPOの[設定のインポート]
△ 図表をクリックすると拡大されます
図20●GPOの設定のインポート・ウィザード(その1)
△ 図表をクリックすると拡大されます
図21●GPOの設定のインポート・ウィザード(その2)
△ 図表をクリックすると拡大されます
図22●GPOの設定のインポート・ウィザード(その3)

ドメイン間でGPOをコピーできる
移行テーブルがやや難易度高い

 次に,GPOを他のドメインにコピーしてみよう。GPOのリンクはドメインをまたいでも設定できる。しかし,異なるドメインは,地理的に離れていることが多いため,ドメインをまたいでリンクを設定すると,ユーザーのログオン時のレスポンスなどに影響を与える。なるべくなら自分のドメインのGPOをリンクさせたほうがいいのだ。

 ところが,別のドメインで同じGPOの設定を引き継ごうとしても,Windows 2000では管理者が新たに,一からGPOを作成する必要があった。GPMCでは,GPOをコピーできるので,簡単に設定できる。

 ここでは具体的に「Example.com」ドメインの「OfficeXP」というGPOを,「Sub.Example.com」にコピーする操作をやってみる。
1.コピーしたいGPOを右クリックして,現れたメニューから[コピー]を選択する(図13)。
2.コピー先のドメインの[グループ ポリシー オブジェクト]コンテナを右クリックして,現れたメニューから[貼り付け]を選択する(図14)。あるいは,GPOをドラッグ&ドロップしてもコピーできる。
3.[GPOのドメインを超えたコピーウィザード]が起動するので,[次へ]ボタンをクリックする(図15左)。
4.新しいGPOに対するアクセス許可を指定して[次へ]をクリックする(図15中)。
5.GPOがスキャンされる(図15右)。
6.[参照の移行]ページでセキュリティ・プリンシパルとUNCパスを変換する「移行テーブル」を指定する(図16左)。
7.設定を確認し,[完了]をクリックする(図16中)。
8.コピーの状態が表示される(図16右)。

 6番に出てきた移行テーブルとは,異なるドメインにGPOをコピーするときに,ドメイン固有のグループが使用されていたり,特定のファイル・サーバーが指定されていたりする場合に,それを適切な値に変換するファイルである。「移行テーブル・エディタ」は「%programfiles%\gpmc\mtedit.exe」に格納されている。これで新たに移行テーブルを作成したり,編集したりすることも可能だ。

 GPOのコピーで注意したいことが2つある。1つはWMIフィルタに関することだ。WMIフィルタは,GPOを適用する対象を選別するときに使うが,図16右の画面中の説明にもあるように,WMIフィルタは異なるドメインのGPOにリンクできない。従って,ドメインを超えたGPOのコピーでは,WMIフィルタへのリンクは保持されないのだ。もう1つは,フォレスト間をまたがるGPOのコピーに関することだ。フォレスト間が適切な信頼関係を結んでおり,GPMCを実行するユーザーが両方のフォレストのドメインを管理できるよう権限を設定しておけば,フォレストをまたがったGPOのコピーも同じように実行できる。

GPOのインポートはバックアップ経由で行う
 2つのドメイン間に信頼関係がある場合は,ドラッグ&ドロップ操作を実行するだけで,GPOをコピーできる。では,信頼関係がない場合はどうすればよいのだろうか。例えば,テスト環境のドメインと実稼働のドメインが分離されているような場合,テスト環境で作成したGPOを実稼働ドメインに簡単にコピーできるとありがたい。しかし,2つのドメイン間で信頼関係がない場合は,コピー機能ではなく,GPOのインポート機能を利用する。

 インポート作業は,いきなりあるGPOから別のGPOに行うことはできない。いったんバックアップを作成し,そこからインポートする。そのため最初は,既存のGPOをバックアップする作業を行う。
1.GPMCで[グループ ポリシー オブジェクト]コンテナに移動し,GPOを右クリックして[バックアップ]を選択する(図17)。
2.バックアップするフォルダを選択する(図18)。

 バックアップしたGPOは,一意なIDが付けられて保存される。信頼関係のないドメインにGPOの設定を転送するには,このバックアップ・データをインポートするという作業を行う。バックアップされたデータを,インポートしたいnikkeibp.co.jpドメインからアクセスできる場所にコピーしておく。続けて行うインポート作業は次のようになる。
1.GPOをインポートするには,まず,インポート先のドメインにGPOを作成する。
2.作成したGPOを右クリックして[設定のインポート]を選択する(図19)。
3.[設定のインポートウィザード]が開始されるので,[次へ]をクリックする(図20左)。
4.既存のGPOをバックアップするように指示される。[次へ]をクリックする(図20中)。ここで,既存のGPOをバックアップしておくこともできる。
5.インポート元のバックアップ・フォルダを指定する(図20右)。
6.設定をインポートするソースGPOを指定する(図21左)。
7.GPOがスキャンされる(図21中)。
8.[参照の移行]ページでセキュリティ・プリンシパルとUNCパスを変換する移行テーブルを指定する(図21右)。設定を確認し[完了]ボタンをクリックして終了だ。
9.終了すると,インポートの状態が表示される(図22)。

 インポートされたGPOをGPMCで確認してみると,きちんと設定が反映されていた。このように,バックアップとインポートの機能を使用すれば,どのような構成でも簡単に設定を移行できる。

 GPMCウィザードの途中で,セキュリティ・プリンシパルとUNCパスを聞かれたように,テスト環境から実務環境へとGPOを移行するような場合は,セキュリティ・グループやUNC(Universal Naming Convention)パスなどが異なることが多い。GPMCのウィザードでは,そのようなドメイン固有の設定を発見すると,移行テーブルを指定するページを表示してくれる。しかし,移行が必要な項目の詳細までは表示してくれないため,管理者がGPOを調査して移行テーブルを書く必要がある。移行テーブルの作成には,独自の編集ツールが用意されているため,それを使用する。このように移行テーブルを管理者が作成するようなケースは,手間がかかるところだ。

 なお,間違ってGPOを削除してしまったような場合は,GPOを復元できる。この場合は,以前のGPOのGUID(Global Unique ID)やアクセス許可,WMIフィルタのリンクなどを保持したままGPOを復元してくれる。