Windows Server 2012 R2でグループポリシーを設定する

2018/09/27 Windows

group-policy
ここ最近、Active Directoryを構築する案件が増えています。Active Directoryはリソースの一括管理に強力な機能を備えていますが、それだけでなく、クライアントのセキュリティや情報漏えいを防ぎたい管理者向けの機能もあります。
グループポリシーと呼ばれるこの機能は、予め用意されたポリシー(主にセキュリティやPCの機能制限など)をOU(組織単位:Active Directoryを構成する単位の一つ)に割り当てることでActive Directoryに登録されたユーザーアカウントやコンピューターアカウントの制御を行います。

スポンサーリンク

Windows Server 2008から、設定できる項目も非常に多岐に渡り、これをセールストークにActive Directoryの導入を進める機会も多くなりました。そんな強力な機能であるグループポリシー、意外と使っているところを見ません。
せっかく用意されているこの機能、使わないのはもったいない。ということで、今回はグループポリシーをおさらいする意味で、設定手順を記載してみました。本記事を参照して、グループポリシー導入検討のお役に立てば幸いです。
※2018年6月追記 ドメインのパスワード管理についてはグループポリシーでは細かい制御を行うことができません。パスワードポリシーの柔軟な適用については別の記事
>「Windows Server 2016 で柔軟なパスワードポリシーの作成、PSOによるパスワードポリシーの設定」
を参照してください。バージョンは2016になりますが、2012でも同じ手順で設定が可能です。

1.グループポリシー設定の内容と前提条件

本環境では、Windows Server 2012 R2を利用していますが、Windows Server2008でもほぼ、同様の操作で設定が可能です。
制御機能の設定例として、本記事ではInternet Explorerから印刷メニューを無効にするグループポリシーを作成、適用してみます。
グループポリシーを設定する環境と前提条件は以下の通りです。

  • Windows Server 2012 R2によるActive Directory環境
  • ドメイン名はtestdom.local
  • 既存のDefault Domain Policyなどは変更せず、新規にポリシーを作成する
  • 作成したグループポリシーはドメイン全体にリンクする
  • グループポリシーはコンピュータ-アカウント向けに設定する

まだActive Directoryドメインサービスを導入していない場合は、「Windows Server 2012 R2へActive Directoryをインストール・構成する」を参考に、Active Directoryドメインサービスの導入を完了してください。

2.グループポリシーの適用手順

2-1.グループポリシー管理ツールを起動する

グループポリシーは管理ツールの[グループポリシーの管理]から起動します。
選択すると、MMCの画面が開きます。
grouppolicy_setting1

2-2.グループポリシーの作成

左ペインから[フォレスト]-[ドメイン]-[ドメイン名]-[グループポリシー]までツリーを展開し、グループポリシーを右クリック、[新規]を選択します。
grouppolicy_setting2

2-3.グループポリシー名の指定

[新しいGPO]ダイアログが開くので、名前に任意の名前を入力します。
ここではInternet Explorerの設定を変更するので、[IE setting Policy]としました。
ソーススターターgpoはここでは(なし)としておきます。
grouppolicy_setting3

2-4.作成したグループポリシーの編集

2.の手順で作成したグループポリシーが、左ペインのグループポリシー以下に表示されます。
表示された [IE Setting Policy] を右クリックして、[編集]を選択します。
grouppolicy_setting5

スポンサーリンク

2-5.Internet Explorer項目の設定変更

グループポリシー管理エディターが開きます。
ツリーを[コンピューターの構成]-[管理用テンプレート]-[Windowsコンポーネント]-[Internet Explorer]の順に開きます。
右ペインに、Internet Explorerの設定に関する項目が表示されていることを確認します。
grouppolicy_setting6

[ブラウザのメニュー]をクリックし、[印刷]メニューを無効にするを選択します。クリックすると、このポリシーを有効、無効が選択できるラジオボタンが表示されます。
ここでは有効にチェックを入れ、ポリシーを有効にします。
grouppolicy_setting7

3.グループポリシーのリンク

手順2.で作成したポリシーが、グループポリシーに表示されていますので、このポリシーをリンクしたい先にドラッグします。
ここではtestdom.localドメイン全体に適用するため、testdom.localへドラッグしています。
特定のOUにリンクしたい場合は、OUへドラッグします。
ドラッグすると、[選択したGPOをこのドメインにリンクしますか?]とダイアログが出ますので、[OK]をクリックして下さい。
grouppolicy_setting8

リンクが正常に設定されると、ドメイン名の下部に適用されたポリシー名が表示されます。
grouppolicy_setting9

4.グループポリシー設定の確認

ドメイン名の下部に表示されているグループポリシー名をクリックして、左ペインに表示される[設定]タブをクリックすると、有効になっているグループポリシーの内容が表示されます。
ここで設定内容が間違っていないかを確認します。
grouppolicy_setting10

5.グループポリシーを強制的に有効化する

グループポリシーは上記の手順で有効化されますが、クライアントへ反映されるまでに一定の時間が掛かります。
テストなどで、強制的に設定を反映したい場合は、クライアント側のコマンドプロンプトを開き以下のコマンドを実行します。

コマンド実行後、[ポリシーを最新の情報に更新しています…]
コンピューターポリシーの更新が正常に完了しました。
と表示されれば、ポリシーはクライアントで有効になります。
grouppolicy_setting11

6.グループポリシーの適用テスト

適用したグループポリシーが正常に適用されているかの確認をクライアントで確認してみます。
ここでは手順3.のポリシーを確認するために Internet Explorerを開き、メニューから「印刷」を実行してみます。
[このアクションは..(中略) …管理者に問い合わせてください]
と表示されれば、正常に設定が出来ています。
internetexplorer_action

ここではテストとしてInternet Explorerの制御を行いましたが、グループポリシーでは、ドメイン配下にあるクライアントの殆どの機能を制御できます。
是非、色々とテストをしてみて、使いこなして頂ければと思います。

関連する記事


Facebookでのご購読が便利です。

Twitter・Feedlyでもご購読できます。

Twitterでフォローする Feedlyでフォローする

Message

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

  • スポンサーリンク