Active Directorの設定が終わったら活用しよう

グループポリシーでクライアント管理

2010年05月11日 09時00分更新

文● 横山哲也／グローバルナレッジネットワーク株式会社

前回までで、Active Directoryを利用するための環境が整った。続いては実用編として、Active Directoryを使った効果的なクライアント管理手法を紹介する。

クライアント管理は難しい

　そもそもActive Directoryは、登場当初は「ユーザーアカウントの集中管理」がもっとも重視された。ただし、この機能は部分的にはWindows NTの「ドメイン」でも実現できており、それほど魅力的には響かなかった。次に「クライアントセキュリティの集中管理」が強調されるようになった。これは、相次ぐセキュリティ侵害や個人情報保護法、日本版SOX法などが追い風となって、広く受け入れられた。現在でも、Active Directoryの導入目的の1つとして必ず挙げられる項目だ。そして、この「クライアントセキュリティの集中管理」の中核となるのがグループポリシーである。

　グループポリシーは、PCの持つ自由度を最大限に活かしつつ、最小限のセキュリティ基準を満たすように強制する技術である。適切に設定されたグループポリシーを使うことで、ユーザーの利便性を損なわずに、安全なネットワーク環境を提供できる。多数のクライアントを簡単かつ確実に、しかもユーザーに意識させることなく、一貫したセキュリティ構成を実現することも可能なのだ。

グループポリシーの原理

　グループポリシーは、サーバの設定情報を読み取ったクライアントが、その設定通りに自分を構成する機能である。たとえば、グループポリシーを使ってスクリーンセーバーの設定を強制できる（画面1）。本来なら変更可能な項目が、グレーになり構成できなくなっていることがわかる。実際に構成したのは、表1の4つのパラメータだ。

表1●スクリーンセーバーについて設定したパラメータ

画面1●グループポリシーの構成例

　一方、Windows Updateの構成を強制した場合、管理者により構成されている旨が通知される（画面2）。ユーザーが設定値を変更できなくなることには違いないが、理由が示されているぶんだけ親切だ。ただし、一部のポリシーは「ユーザーは一時的に設定を変更できるが、しばらくすると自動的に管理者が設定した値に戻る」という形態もある。Internet Explorerのパラメータなどがその例だ。各ポリシーがどのようなふるまいをするのかは、管理ツールではわからない。

画面2●グループポリシーでWindows Updateを強制する

　なお、「サーバがクライアントの設定を強制する」というと、サーバがクライアントに対して何らかの働きかけをする「プッシュ型」と思いがちだが、実際にはクライアントが自分で自分の設定を行なう。そのため、クライアントが対応しない内容についてグループポリシーで強制することはできない。たとえば、USBメモリの利用禁止は、Windows Vistaのグループポリシーから追加された機能であり、Windows XPに対しては利用できない機能なので注意が必要だ。

グループポリシーの構成単位

　グループポリシーは「グループポリシーオブジェクト（GPO）」単位で管理する。1つのGPOに含まれる個々の設定を「ポリシー」と呼ぶ（図1）。GPOには多数のポリシーが含まれるが、すべてを設定する必要はない。不要なものは「未定義」として設定を省略できる。

図1●グループポリシー

　なお、管理ツールではGPOを1つの単位として扱うが、内部では2つの部品にわかれている。そのポリシーがどこに適用されるのかを示した「グループポリシーコンテナ（GPC）」と、実際の設定項目である「グループポリシーテンプレート（GPT）」である。グループポリシーコンテナはActive Directory上に構築され、グループポリシーテンプレートはドメインコントローラのファイル共有SYSVOLに格納される。このことは普段意識する必要はない。しかし、グループポリシーの設定直後はいずれか一方だけに変更が反映される場合もある。これは、グループポリシーの設定がクライアントに広まるまでに時間がかかるためだ（対策は後述する）。

　GPOは、①GPOの作成、②ポリシーの構成、③GPOの適用先の設定という順番で構成する。いずれも「グループポリシーの管理」コンソールを使うのが便利である。次のページからこの順番に手順を見ていこう。

（次ページ、「グループポリシーの設定」に続く）

前へ 1 2 3 4 次へ

ツイートする

カテゴリートップへ