Active Directorの設定が終わったら活用しよう
グループポリシーでクライアント管理
2010年05月11日 09時00分更新
グループポリシーの設定
Active Directoryを構築すると、2つのGPOが自動生成される。Default Domain PolicyとDefault Domain Controllers Policyである。
Default Domain Policyは、ドメイン単位で設定する項目が構成されている。実際には、パスワード関連のポリシーと、ごくわずかのセキュリティ設定が含まれる。
一方Default Domain Controllers Policyは、ドメインコントローラへのログオンの権利など、ドメインコントローラ自身に対する項目が構成されている。ここでは、権利関係(たとえばドメインコントローラへのローカルログオンの権利など)を中心に設定する。
すべてのドメインコントローラには、Active Directoryのデータベースの複製が含まれる。セキュリティ設定を行なうなら、すべてのドメインコントローラに対して同じ設定をしないと危険である。1台でも脆弱なドメインコントローラがあれば、そこから攻撃される可能性があるからだ。しかし、Default Domain Controllers Policyを利用すれば、すべてのドメインコントローラにもれなく一貫したポリシーを設定できるわけだ。
グループポリシーオブジェクトの作成
グループポリシーオブジェクトは以下の手順で作成する。
- ドメインコントローラのスタートメニューから「管理ツール」の「グループポリシーの管理」を起動。「サーバマネージャ」を使う場合は「機能」メニューの下から起動すればよい
- 「グループポリシーの管理」-「フォレスト」-「ドメイン」-「ドメイン名」-「グループポリシーオブジェクト」を展開
- 「グループポリシー」を右クリックして「新規」を選択(画面3)
- 「新しいGPO」というダイアログが開く。ここには「名前」として「新しいグループポリシーオブジェクト」が指定されている(画面4)
- 「新しいグループポリシーオブジェクト」という名前を登録するポリシーの名前に変更し、「OK」をクリック(画面5)。「ソーススターターGPO」は「(なし)」のままでよい
画面3●管理メニューの「グループポリシーの管理」を起動し、「新規」選択
画面4●名前が「新しいグループポリシーオブジェクト」となった「新しいGPO」ダイアログが開く
画面5●名前に登録するグループポリシーオブジェクトの名前に変更する。「ソーススターターGPO」は初期設定のままでよい
一般に、多数のGPOを作成するより、1つのGPOに多数のポリシーを含めるほうが高速に動作する。しかし、あまりにも無関係なポリシーを同じGPOにまとめてしまうと保守が面倒になる。
たとえば、Windows Updateの構成とWindows Media Playerの構成は無関係のため、異なるGPOにしたほうがよい。逆に、スクリーンセーバーの有効化とスクリーンセーバーのタイムアウトはセットで指定したほうがずっとわかりやすい。
(次ページ、「ポリシーの構成」に続く)
この連載の記事
-
最終回
ソフトウェア・仮想化
スナップショットとクイックマイグレーションを使ってみよう -
第34回
ソフトウェア・仮想化
Hyper-Vの仮想マシンに「統合サービス」を入れよう -
第33回
ソフトウェア・仮想化
Hyper-Vの仮想マシンのハードウェアを設定しよう -
第32回
ソフトウェア・仮想化
Hyper-Vのインストールはネットワークに注意しよう! -
第31回
ソフトウェア・仮想化
Windows Server 2008の仮想化機能「Hyper-V」を活用しよう -
第30回
ソフトウェア・仮想化
Windows Server Update Servicesの活用方法とは? -
第29回
ソフトウェア・仮想化
Windows ServerをWindows Updateサーバにしよう -
第28回
ソフトウェア・仮想化
Active Directoryと連携できるIISの認証機能を理解 -
第27回
ソフトウェア・仮想化
Windows Serverの標準Webサーバ「IIS」を活用しよう -
第26回
ソフトウェア・仮想化
Windows ServerのCAでメールを安全に -
第25回
ソフトウェア・仮想化
Windows Server証明書サービスを設定しよう - この連載の一覧へ
