Windows Server 2016 Active Directory グループポリシーの概要

どうも、Miyaです。

今回は、Active Directoryの大きな恩恵の一つであるグループポリシーをご紹介します。
企業にお勤めの方で、Windowsコンンピュータをお使いの方は、大体がグループポリシーによって何かしらの制御を受けていると思います。

例えば、壁紙の変更禁止や、コントロールパネルを表示させないなどがあります。
これらは、管理者側から“ユーザにここは変更して欲しくない!”ユーザ側にコンピュータの設定をさせたくない!などの思いから制御されているのです( ´Д`)y━・~~

スポンサーリンク:

グループポリシーとは?

グループポリシーとは、管理者がドメインに参加したコンピュータに対して、コンピュータ固有及びユーザ固有のレジストリ設定を変更することによって、設定を強制することができる機能です。

[ファイル名を指定して実行]から”regedit”を実行すると、レジストリエディターが表示されます。
ここはWindowsコンピュータで用いられている設定情報のデータベースで、ここをグループポリシーで編集しましょうってわけです。
regedit

ADをインストールすると、自動的にグループポリシーの機能がインストールされます。
[サーバマネージャ]→[ツール]→[グループポリシーの管理]を起動しましょう。
グループポリシーの管理

[グループポリシーオブジェクト]というオブジェクトにポリシー設定が構成されており、これをOUにリンクすることで、OU配下のコンピュータやユーザオブジェクトにポリシーを適応することができます。
グループポリシーの管理

グループポリシー管理エディター

グループポリシーを構成するには、グループポリシー管理エディターを使って構成していきます。
先ほど開いた[グループポリシーの管理]の[グループポリシーオブジェクト]を開くと、二つのオブジェクトが見えます。
これらはデフォルトで定義されるグループポリシーオブジェクトです。

Default Domain Controllers Policy 規定のドメインコントローラポリシーで、ドメインコントローラにリンクされている
Default Domain Policy 規定のドメインポリシーで、ドメイン全体にリンクされている

グループポリシーの管理画面から見ると、Contosoドメインと、Domain ContorollersOUにリンクされていいますね。
なお、GPOのリンクは下位に継承されるため、ContosoドメインにリンクされているDefault Domain Policyは、Contosoドメイン配下のオブジェクト全てに適応されています。
この二つのグループポリシーオブジェクト(以下GPO)を編集すると、影響が大きいので、新規で作成してみましょう。
[グループポリシーオブジェクト]右クリック→[新規]をクリックします。
適当に名前をつけてあげて、[OK]をクリックします。
グループポリシーの管理
グループポリシーの管理

新しいグルーポリシーオブジェクトが作成されましたね。
ですが、今のままですと、ポリシーが一つも構成されていません。
右クリックから[編集]をクリックすると、グループポリシー管理エディター(以下GPME)起動します。
グルーポリシー管理エディタ

ポリシーの構成設定は以下のように分類されます。

  • コンピュータの構成
    • ポリシー
    • 基本設定
  • ユーザの構成
    • ポリシー
    • 基本設定

コンピュータとユーザは適応するオブジェクト先です。
ポリシーとは、管理者側から強制する設定です。
逆に基本設定とは、管理者側から強制できない設定です。
つまり、基本設定で確立された構成は、ユーザ側で設定変更することが可能ということです。
例えば、ユーザが初めてコンピュータを起動した時の壁紙は指定するけど、変更するならしてもいいよ〜みたいな感じです。

グループポリシーのデモ

では、実際にグループポリシーのデモストレーションをお見せしましょう。
今回は、CL01というコンピュータと、比較の為にUser01とUser02の二つユーザオブジェクトが登場します。
なお、構成するポリシーはInternet Explorerのインターネットオプションから[詳細設定]タブを表示させないという項目を構成します。
イメージ図を以下に載せておきます。
GPOの適応

ポリシーの構成

まずは、作成したManagerPolicyにポリシーを構成します。
[グループポリシーの管理]からManagerPolicyを右クリック→[編集]をクリックします。
グルーポリシー管理エディタ

[ユーザの構成]→[ポリシー]→[管理用テンプレート]→[Windowsコンポーネント]→[インターネットコントロールパネル]をクリックします。
GPME

【[詳細設定]タブの使用を許可しない】をダブルクリックします。
[有効]にチェックを入れ、[OK]クリックし、GPMEを閉じます。
GPOの構成

GPOのリンク

次に作成したManagerPolicyをManagerOUにリンクします。
[グループポリシーの管理]からManagerPolicyをManagerOUにドラッグアンドドロップします。
GPOのリンク

確認メッセージが表示されるので、[OK]をクリックします。GPO

ManagerOUを開くと、ManagerPolicyがリンクされているのが確認できますね。
GPOのリンク

デモストレーション

GPOの構成~リンクを実施したところで、User01とUser02の動きを確認しておきましょう。
User01はManagerOU配下のユーザオブジェクトなので、インターネットオプションの詳細設定タブが表示されないのに対し、User02はEngineerOU配下のユーザオブジェクトのため、詳細設定タブは表示されるのが正解ですね。

では、User01でCL01にログインして、インターネットオプションを開いてみましょう。
グループポリシーが適応され、[詳細設定]タブが表示されていないのが確認できましたね。
インターネットオプションの詳細設定
※詳細設定タブが表示されている場合は、グループポリシーが未だ適応されていない可能性があります。
 下記コマンドを実行して、ログアウト→ログインを実施してから、再確認して下さい。

次に、User02でCL01にログインして、インターネットオプションを開いてみましょう。
GPOの対象外ですので、詳細設定タブは表示されているのが確認できます。
インターネットオプションの詳細設定

どうでしたか?今回、インターネットオプションを制御しましたが、そのほかにも様々なポリシー設定が構成することができ、今じゃポリシーの数が数千にも上ります。うわお(´_ゝ`)
グループポリシーはレジストリを編集するため、大体の構成を強制および設定できるので、非常に便利な機能なんです。
それでは、良いWindows Server ライフをっ♪

スポンサーリンク