Windows Server 2012 R2でグループポリシーを設定する

2016/03/30 Windows

group-policy
ここ最近、Active Directoryを構築する案件が増えています。
Active Directoryはリソースの一括管理に強力な機能を備えていますが、それだけでなく、クライアントのセキュリティや情報漏えいを防ぎたい管理者向けの機能もあります。
グループポリシーと呼ばれるこの機能は、予め用意されたポリシー(主にセキュリティやPCの機能制限などが中心)をグループやOUに割り当てることでADに登録されたユーザーアカウント・コンピューターアカウントの制御を行います。
2008から、設定できる項目も非常に多岐に渡り、これをセールストークに、Active Directoryの導入を進める機会も多くなりました。
そんな強力な機能であるグループポリシー、意外と使っているところを見ません。
せっかく用意されているこの機能、使わないのはもったいない。
ということで、今回はグループポリシーをおさらいする意味で、設定手順を記載してみました。
本記事を参照して、グループポリシー導入検討のお役に立てば幸いです。

スポンサーリンク

1.グループポリシー設定の内容と前提条件

本環境では、Windows Server 2012 R2を利用していますが、Windows Server2008でもほぼ、同様の操作で設定が可能です。
制御機能の設定例として、本記事ではInternet Explorerから印刷メニューを無効にするグループポリシーを作成、適用してみます。
グループポリシーを設定する環境と前提条件は以下の通りです。

  • Windows Server 2012 R2によるActive Directory環境
  • ドメイン名はtestdom.local
  • 既存のDefault Domain Policyなどは変更せず、新規にポリシーを作成する
  • 作成したグループポリシーはドメイン全体にリンクする

まだActive Directoryドメインサービスを導入していない場合は、「Windows Server 2012 R2へActive Directoryをインストール・構成する」を参考に、Active Directoryドメインサービスの導入を完了してください。

2.グループポリシーの適用手順

2-1.グループポリシー管理ツールを起動する

グループポリシーは管理ツールの[グループポリシーの管理]から起動します。
選択すると、MMCの画面が開きます。
grouppolicy_setting1

2-2.グループポリシーの作成

左ペインから[フォレスト]-[ドメイン]-[ドメイン名]-[グループポリシー]までツリーを展開し、グループポリシーを右クリック、[新規]を選択します。
grouppolicy_setting2

2-3.グループポリシー名の指定

[新しいGPO]ダイアログが開くので、名前に任意の名前を入力します。
ここではInternet Explorerの設定を変更するので、[IE setting Policy]としました。
ソーススターターgpoはここでは(なし)としておきます。
grouppolicy_setting3

2-4.作成したグループポリシーの編集

2.の手順で作成したグループポリシーが、左ペインのグループポリシー以下に表示されます。
表示された [IE Setting Policy] を右クリックして、[編集]を選択します。
grouppolicy_setting5

2-5.Internet Explorer項目の設定変更

グループポリシー管理エディターが開きます。
ツリーを[コンピューターの構成]-[管理用テンプレート]-[Windowsコンポーネント]-[Internet Explorer]の順に開きます。
右ペインに、Internet Explorerの設定に関する項目が表示されていることを確認します。
grouppolicy_setting6

[ブラウザのメニュー]をクリックし、[印刷]メニューを無効にするを選択します。クリックすると、このポリシーを有効、無効が選択できるラジオボタンが表示されます。
ここでは有効にチェックを入れ、ポリシーを有効にします。
grouppolicy_setting7

3.グループポリシーのリンク

手順2.で作成したポリシーが、グループポリシーに表示されていますので、このポリシーをリンクしたい先にドラッグします。
ここではtestdom.localドメイン全体に適用するため、testdom.localへドラッグしています。
特定のOUにリンクしたい場合は、OUへドラッグします。
ドラッグすると、[選択したGPOをこのドメインにリンクしますか?]とダイアログが出ますので、[OK]をクリックして下さい。
grouppolicy_setting8

リンクが正常に設定されると、ドメイン名の下部に適用されたポリシー名が表示されます。
grouppolicy_setting9

4.グループポリシー設定の確認

ドメイン名の下部に表示されているグループポリシー名をクリックして、左ペインに表示される[設定]タブをクリックすると、有効になっているグループポリシーの内容が表示されます。
ここで設定内容が間違っていないかを確認します。
grouppolicy_setting10

5.グループポリシーを強制的に有効化する

グループポリシーは上記の手順で有効化されますが、クライアントへ反映されるまでに一定の時間が掛かります。
テストなどで、強制的に設定を反映したい場合は、クライアント側のコマンドプロンプトを開き以下のコマンドを実行します。

コマンド実行後、[ポリシーを最新の情報に更新しています…]
コンピューターポリシーの更新が正常に完了しました。
と表示されれば、ポリシーはクライアントで有効になります。
grouppolicy_setting11

6.グループポリシーの適用テスト

適用したグループポリシーが正常に適用されているかの確認をクライアントで確認してみます。
ここでは手順3.のポリシーを確認するために Internet Explorerを開き、メニューから「印刷」を実行してみます。
[このアクションは..(中略) …管理者に問い合わせてください]
と表示されれば、正常に設定が出来ています。
internetexplorer_action

ここではテストとしてInternet Explorerの制御を行いましたが、グループポリシーでは、ドメイン配下にあるクライアントの殆どの機能を制御できます。
是非、色々とテストをしてみて、使いこなして頂ければと思います。

システムでお困りのお客様

もし、貴社で、

  • サポート切れのサーバやネットワーク機器の入れ替えをしたいが、どうしたらよいかわからない
  • サーバやネットワークの管理を行う社員がいないため困っている
  • 業務に利用している機器のセキュリティが大丈夫か心配
  • 機器の障害で、業務への影響が発生している
  • 社内の要望に対して、どのようなシステムを導入したらよいか解らない

など、サーバーやネットワーク、セキュリティでお悩みの方、新規のシステム導入を検討中の方。
多くのシステム構築を行い、成功させてきた実績をもつ弊社が、その問題を解決します。
お気軽にお問い合わせ頂き、貴社の問題解決にお役立てください。

お問い合わせ・ご相談はこちらから

Facebookでのご購読が便利です。

Twitter・Feedlyでもご購読できます。

Twitterでフォローする Feedlyでフォローする

関連する情報

activedirectory-first

Windows Server 2012 R2へActive Directoryをインストール・構成する

以前の記事「Windows server 2012 R2を利用する前に始める10の作業」でWin

windows-wan-slow

Windowsを利用していてWAN越しのファイル共有が遅い場合の検討事項

先日、弊社のお客様より、インターネットVPN経由(WAN越し)でファイルサーバへアクセスした場合

win2008-sysprep-top

Windows Server 2008 R2で仮想マシンを初期化、sysprepの実行手順

仮想化環境(ここでは主にVMWare ESXiやマイクロソフトのHyper-Vなどのhyperv

ad-dsadd

CSVを利用してActive Directoryにユーザーを一括登録するコマンド

WindowsのActive Directoryに一括してユーザーを追加したい場合がありますよね

dns-reverse

Active Directoryをインストールした後に、必要なDNSの逆引きを設定する

「Windows Server 2012 R2へActive Directoryをインストール・

vm-2012-guest

VMware Workstation 8 で Windows Server 2012 R2をゲストOSとして動作させる

先日、リリースされたばかりのWindows Server 2012 R2ですが、Windows

win2003-tapi-warning

Windows Server 2003 AD降格中にTAPIに関する警告が出力される

先日、Windows Server 2003 R2で構成されたWindowsドメインをWindo

windows-42d-passloss

ActiveDirectory 42日間でパスワードの有効期限が切れる問題の回避方法

WindowsのActiveDirectory(以下AD)を利用していて、突然、パスワードの有効

vm-win2012-install

Windows Server 2012 R2をインストールする時の手順

前回の記事「VMware Workstation バージョン8 で Windows Server

2008-C-drive

Windows Server 2008 R2でCドライブの空き容量を確保する

ここ最近、サーバOSとしてWindows Server 2008 R2を使うことも少しずつ減って

Message

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

  • スポンサーリンク