ここ最近、Active Directoryを構築する案件が増えています。Active Directoryはリソースの一括管理に強力な機能を備えていますが、それだけでなく、クライアントのセキュリティや情報漏えいを防ぎたい管理者向けの機能もあります。グループポリシーと呼ばれるこの機能は、予め用意されたポリシー(主にセキュリティやPCの機能制限など)をOUに割り当てることでActive Directoryに登録されたユーザーアカウントやコンピューターアカウントの制御を行います。
OU(Organizational Unit)は「組織単位」とも呼ばれます。「Active Directoryユーザーとコンピューター」管理ツールの中でオブジェクトをまとめる役割として利用します。
Windows Server 2008から、設定できる項目も非常に多岐に渡り、グループポリシーをセールストークにActive Directoryの導入を進める機会も多くなりました。そんな強力な機能であるグループポリシーですが意外と使っているところを見ません。
せっかく用意されているこの機能、使わないのはもったいない。ということで、今回はグループポリシーをおさらいする意味で、設定手順を記載してみました。本記事でグループポリシー導入のお役に立てば幸いです。
パスワードポリシーについて
ドメインのパスワード管理についてはグループポリシーでは細かい制御を行うことができません。パスワードの制御についてはグループポリシーではなくPSOという機能で行います。PSOについては別の記事
-
Windows Server 2016をインストールしてサーバー構築手順を習得する
こんにちは、ITエンジニアの小村(@system_kom)です。 Windowsサーバー製品のメインストームは徐々に次バージョンのWindows Server 2019に移りつつありますが、まだまだWindows Server 2016を利 ...
を参照してください。OSは2016になりますが、2012でも同じ手順で設定が可能です。
目次
1. グループポリシー設定の内容と前提条件
本環境ではOSとしてWindows Server 2012 R2を利用していますが、Windows Server2016でも画面構成が一部異なるだけで、同様の操作で設定が可能です。制御機能の設定例として、本記事ではInternet Explorerから印刷メニューを無効にするグループポリシーを作成、適用してみます。
グループポリシーを設定する環境と前提条件は以下の通りです。
- Windows Server 2012 R2によるActive Directory環境
- ドメイン名はtestdom.local
- 既存のDefault Domain Policyは変更せず、新規にポリシーを作成する
- 作成したグループポリシーはドメイン全体にリンクする
- グループポリシーはコンピュータ-アカウント向けに設定する
参考 Active Directoryドメイン環境を設定していない場合は
-
Windows Server 2012 R2へのActive Directoryインストールと基本設定
Windows Server 2012に関する以前の記事でWindows Server 2012 R2の基本セットアップまで完了しましたので、この環境を利用して、2012サーバーでActive Directoryの構築をしてみたいと思います ...
を参考に、Active Directoryドメインサービスの導入を完了してください。
2. 適用するグループポリシーの作成
本章から具体的なグループポリシーの適用手順を説明していきます。先ずは適用するグループポリシーの作成から行います。Windows Server 2012へ管理者権限でログオンします。
2-1. "グループポリシーの管理"ツールを起動する
グループポリシーの作成は「管理ツール」の「グループポリシーの管理」から行います。
ダブルクリックして「グループポリシーの管理」ツールを起動します。
2-2. グループポリシーの作成
「グループポリシーの管理」ツール、左画面のツリーから[フォレスト]-[ドメイン]-[ドメイン名]-[グループポリシー]までツリーを展開し、グループポリシーを右クリックして「新規」を選択します。
2-3. グループポリシー名の指定
「新しいGPO」ダイアログが開くので、"名前"に任意のグループポリシー名を入力します。ここではInternet Explorerの設定を変更するので"IE setting Policy"としました。"ソーススターター GPO"はここでは(なし)のままにしておきます。
2-4. 作成したグループポリシーの編集
項目2.の手順で作成したグループポリシーが、「グループポリシーの管理」ツール左画面のグループポリシー以下に表示されます。
表示された "IE Setting Policy"を右クリックして、「編集」を選択します。
2-5. Internet Explorer項目の設定変更
「グループポリシー管理エディター」が開きます。左画面に表示されているディレクトリツリーを[コンピューターの構成]-[管理用テンプレート]-[Windowsコンポーネント]-[Internet Explorer]の順に開きます。
右画面に、Internet Explorerの設定に関する項目が表示されていることを確認します。
[ブラウザのメニュー]をクリックし[印刷]メニューを無効にするを選択します。クリックするとこのポリシーを有効、無効が選択できるラジオボタンが表示されます。ここでは有効にチェックを入れ、ポリシーを有効にします。
3. 作成したグループポリシーの適用と確認
作成したグループポリシーは適用したいオブジェクトにリンクすることで適用されます。本章では作成したグループポリシーを適用する手順を説明します。
3-1.グループポリシーのリンク
手順2. で作成したグループポリシーが、「グループポリシーの管理」ツールの「グループポリシー」に表示されていますので、このポリシーをリンクしたい先にドラッグします。ここではtestdom.localドメイン全体に適用するため、testdom.localへドラッグしています。特定のOUにリンクしたい場合は、OUへドラッグします。
ドラッグすると「選択したGPOをこのドメインにリンクしますか?」とダイアログが出ますので、[OK]をクリックして下さい。
リンクが正常に設定されると、ドメイン名の下部に適用されたポリシー名が表示されます。
3-2. グループポリシー適用の確認
ドメイン名の下部に表示されているグループポリシー名をクリックして、左ペインに表示される[設定]タブをクリックすると、有効になっているグループポリシーの内容が表示されます。表示された内容で設定内容が間違っていないかを確認します。
3-3. グループポリシーを強制的に有効化する
グループポリシーは上記の手順で有効化されますが、クライアントへ反映されるまでに一定の時間が掛かります。テストなどで、強制的に設定を反映したい場合は、クライアント側のコマンドプロンプトを開き以下のコマンドを実行します。
gpupdate /force
コマンド実行後、[ポリシーを最新の情報に更新しています...]
コンピューターポリシーの更新が正常に完了しました。
と表示されれば、ポリシーはクライアントで有効になります。
3-4. グループポリシー適用後のテスト
リンクしたグループポリシーが正常に適用されているかの確認をクライアントで確認してみます。ここでは手順3-1. で適用したグループポリシーを確認するために Internet Explorerを開き、メニューから「印刷」を実行してみます。
[このアクションは..(中略) ...管理者に問い合わせてください]
と表示されれば、正常に設定が出来ています。
4. まとめ
本記事ではテストとしてInternet Explorerの制御を行いましたが、グループポリシーでは、ドメイン配下にあるクライアントの殆どの機能を制御できます。
是非、色々とテストをしてみて、使いこなして頂ければと思います。
