グループ ポリシー管理

グループ ポリシーは、構成設定の一元管理を提供する Windows 用の Active Directory 管理技術です。 PowerShell Desired State Configuration (DSC) や Mobile Device Management (MDM) も使用できますが、グループ ポリシーは他のソリューションよりも詳細な制御を提供するため、ドメイン結合クライアント デバイスに推奨されるテクノロジーです。 GPOは、ドメイン、サイト、および組織単位（OU）にリンクさせることができます。

グループポリシー管理コンソール（GPMC）は、管理者がActive Directoryフォレストでグループポリシーを管理し、グループポリシーのトラブルシューティングのためのデータを取得できるWindowsの組み込み管理ツールです。 グループポリシー管理コンソールは、Microsoft Windows Server Managerの[ツール]メニューで見つけることができます。 日常の管理作業にドメインコントローラーを使用することはベストプラクティスではないので、お使いのWindowsのバージョンに対応したリモートサーバー管理ツール（RSAT）をインストールする必要があります。

グループポリシー管理コンソールのインストール

Windows10のバージョン1809以降を使用している場合、設定アプリを使用してGPMCをインストールできます：

1. WIN+Iキーを押して、設定アプリを開きます。
2. ［Windowsの設定］の［アプリ］をクリックします。
3. ［オプション機能の管理］をクリックします。
4. ［+機能を追加］をクリックします。
5. ［RSAT］をクリックします。 Group Policy Management Tools」をクリックし、「Install」をクリックします。

図1. 設定アプリのインターフェイスを使用したGroup Policy Management Consoleのインストール

古いバージョンのWindowsを使用している場合、MicrosoftのWebサイトから正しいバージョンのRSATをダウンロードする必要があります。

便宜上、サーバーマネージャーもインストールしておくとよいでしょう。 しかし、そうしないことを選択した場合、GPMC を Microsoft 管理コンソール (MMC) に追加し、コンソールを保存することができます。

グループ ポリシー管理コンソールを使用する

すべてのADドメインには2つのデフォルトGPOがあります。

• デフォルト ドメイン ポリシーは、ドメインにリンクされています
• デフォルト ドメイン コントローラー ポリシーは、ドメインコントローラーのOU

ドメイン内のすべてのGPOはGPMCの左ペインのグループポリシー オブジェクト コンテナをクリックして見ることができます。

Figure 2. Group Policy Management Consoleのインターフェイス

Create a New Group Policy Object

デフォルトドメインコントローラーポリシーとデフォルトドメインポリシーの両方を変更しないでください。 独自の設定を追加するには、新しいGPOを作成するのが最も良い方法です。 新しいGPOを作成する方法は2つあります。

• 新しいGPOをリンクさせたいドメイン、サイト、またはOUを右クリックして、「このドメインにGPOを作成し、ここにリンクする…」を選択します。新しいGPOを保存すると、すぐにリンクされて有効になります
• Group Policy Objects containerを右クリックしてメニューからNewを選択します。 ドメイン、サイト、またはOUを右クリックし、[既存のGPOをリンクする]を選択して、新しいGPOを手動でリンクする必要があります。

新しいGPOを作成する方法にかかわらず、［新規GPO］ダイアログではGPOに名前を付ける必要があり、既存のGPOを基にすることを選択できます。

グループ ポリシー オブジェクトの編集

GPO を編集するには、GPMC で GPO を右クリックし、メニューから [編集] を選択します。 Active Directoryグループポリシー管理エディタが別ウィンドウで開きます。

図3. Group Policy Management Editorのインターフェイス

GPO はコンピュータの設定とユーザーの設定に分けられます。 コンピュータの設定はWindowsの起動時に、ユーザの設定はユーザがログインした時に適用されます。

Policies vs Preferences

ユーザーおよびコンピュータの設定は、さらにポリシーとプリファレンスに分けられます。 ポリシー設定は常にアプリケーションの構成設定より優先され、ユーザーが変更できないように灰色表示されます。

ポリシーまたは環境設定を展開して、それらの設定を構成することができます。 これらの設定は、その後、GPOの範囲に該当するコンピュータおよびユーザーオブジェクトに適用されます。 たとえば、新しいGPOをドメインコントローラのOUにリンクすると、そのOUと任意の子OUにあるコンピュータおよびユーザーオブジェクトに設定が適用されます。 サイト、ドメイン、OUの［継承をブロック］設定を使用すると、親オブジェクトにリンクされているGPOが子オブジェクトに適用されないようにすることができます。 また、個々のGPOに強制フラグを設定すると、ブロック継承の設定や優先順位の高いGPOの構成項目よりも優先されます。

GPO Precedence

複数のGPOをドメイン、サイト、OUにリンクすることが可能です。 GPMCでこれらのオブジェクトの1つをクリックすると、右側の[リンクされたグループ ポリシー オブジェクト]タブにリンクされたGPOのリストが表示されます。 リンクされたGPOが複数ある場合、リンク順番号の高いGPOが番号の低いGPOで設定された設定よりも優先されます。

GPOをクリックして左側の矢印を使用して上下に移動すると、リンク順番号を変更することができます。 グループ ポリシーの継承] タブには、親オブジェクトから継承されたものを含め、適用されたすべての GPO が表示されます。

図 4. GPMC

Advanced Group Policy Management

Advanced Group Policy Management (AGPM) は、Microsoft Desktop Optimization Pack (MDOP) の一部として Software Assurance 顧客向けに提供されています。 GPMCとは異なり、AGPMはクライアント/サーバーアプリケーションであり、サーバーコンポーネントは各GPOの履歴を含め、GPOをオフラインで保存します。 AGPM によって管理される GPO は、GitHub や文書管理システムでファイルやコードをチェックイン/アウトするのと同じように、AGPM サービスによって管理され、管理者はそれらをチェックイン/アウトできるので、管理された GPO と呼ばれます。 バージョン管理を提供するだけでなく、グループ ポリシー管理者にレビューア、エディター、および承認者などの役割を割り当てることができるため、GPO のライフサイクル全体を通じて厳格な変更管理を実施することができます。 また、AGPMの監査により、グループポリシーの変更をより深く理解することができます。