グループ・ポリシー

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る

目次 †

概要 †

• GPOなどと略記される。

• Active Directory 環境内での
  コンピュータ群やリモートユーザ群の
  集中管理とコンフィギュレーションの機能

• グループ・ポリシーによってできること。
  • デスクトップ環境の一元管理
  • アプリ配布の効率化（セキュリティパッチ）
  • 一貫したセキュリティ・ポリシー
  • .etc

• これにより、ウィルス・アタックによる
  情報漏えいを未然に回避するなどが可能。

• プロダクトによっては、
  ローカル・ポリシーもサポートする。

作成 †

グループ・ポリシー定義

適用 †

リンクさせてフィルタを設定

運用 †

グループポリシーのクライアントは「プル型」モデルで運用する。
（90分から120分のランダムな間隔、ただし変更可能）

GPOの作成 †

OU階層の設計ガイドライン †

管理構造の実現 †

• 管理方針、ビジネス構造に合わせる。
• 組織構造に合わせた階層で設計しない。
  （組織構造はビジネス構造に関係なく頻繁に変わるため）

OU構造の例 †

• 第一階層・・・地理的要素

• 第二階層以下・・・ビジネス役割

• 役割の例

• ユーザ
  管理職、一般職、技術職、ITスタッフ.etc

• コンピュータ
  ファイル、プリントサーバ、Webサーバ、Exchangeサーバ、デスクトップ、ノート

• ドメイン・コントローラ
  Domain Controllers OUの子

GPOを適用するOU階層の例 †

役割 †

• 一般PC、ユーザ
• キオスク用PC、ユーザ
• 特定アプリケーション用PC、ユーザ
• 複数ユーザ共有用PC、ユーザ
• モバイル用PC、ユーザ

Common Scenarios †

├[Computers]
││
│├[Highly Managed]
││├[AppStation]
││├[Kiosk]
││├[Multi-User]
││├[TaskStation]
││
│├[Lightly Managed]
││├[Mobile]
│
├[Users]
││
│├[Highly Managed]
││├[AppStation]
││├[Kiosk]
││├[Multi-User]
││├[TaskStation]
││
│├[Lightly Managed]
││├[Mobile]

グループ・ポリシー定義方法 †

• GPOを作成する。
  グループポリシー管理コンソール (GPMC)

• GPOを編集する。
  グループポリシー・オブジェクトエディタ (GPEdit)

GPOの適用 †

GPOは、ドメイン、サイト、OUにリンクさせて使用する。

GPOの適用先 †

ディレクトリなので...。

ノード †

• サイト
• ドメイン
• OU

リーフ・ノード †

• コンピュータの構成（コンピュータに適用）
• ユーザの構成（ユーザに適用）

適用ルール †

適用順 †

サイト → ドメイン → OUの順に適用
（ただし、パスワード・ポリシーはドメイン・レベルで設定）

優先順 †

後勝ち方式。

• 競合する場合は、後から適用される設定が優先される（上書き）。
• 強制を設定していると、上書きされなくなるように制御可能。

ディレクトリのノードの作成 †

サイト、ドメイン †

以下のツールを使用して作成できる。

• Active Directoryユーザーとコンピューター（DSA）

OU †

以下のツールを使用して作成できる。

• Active Directoryユーザーとコンピューター（DSA）
• グループポリシー管理コンソール (GPMC)

対象が含まれるか確認する。 †

「Active Directoryユーザーとコンピューター」を使用して確認する。

サイト、ドメイン †

サイトや、ドメイン全体のコンピュータ、ユーザに適用される。

OU †

OUに含まれるコンピュータ、ユーザに適用される。

ディレクトリのノードにGPOをリンク †

• GPOをリンクする。
  グループポリシー管理コンソール (GPMC)

リンク †

• GPOをOUにD&Dすればイイ。

セキュリティ・フィルタ †

セキュリティ・フィルタ設定を行う。

• アカウントを追加
  • コンピューターならDomain Computerを追加
  • ユーザならAuthenticated Userを追加

• 権限を追加する。
  • 読み取り　許可
  • グループポリシーの適用　許可

GPOの設定を反映して確認 †

プル †

クライアントからプルする。

gpupdate /force

確認 †

• サーバーの設定値を確認する。
  グループポリシー管理コンソール (GPMC) を使用する。

• 参考
  • グループ ポリシー オブジェクト設定のレポートの表示、印刷、および保存
    https://forsenergy.com/ja-jp/gpmc/html/2cad7b34-30a0-491f-bbc8-e7e3b6046a18.htm

• クライアント毎の適用結果を確認する。

• ユーザのGPO

  gpresult /v

• コンピュータのGPO

  gpresult /v /scope computer

• 参考
  • グループポリシーの一覧エクスポート方法について
    http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/57bd34f0-e5d7-471a-a9ef-dccaa99a63f1/

管理テンプレート †

ソフトウェア毎 †

管理テンプレートはアプリケーション・ベンダーからも提供されており、
「テンプレートファイル」（拡張子.admxファイルとその関連ファイル / フォルダ群）を
DCの「PolicyDefinitions?」フォルダに配置することで、GPOの設定項目を拡張できる。

Internet Explorer †

• 管理用テンプレートと Internet Explorer 11 (IT 担当者向け Internet Explorer 11) | Microsoft Docs
  https://docs.microsoft.com/ja-jp/internet-explorer/ie11-deploy-guide/administrative-templates-and-ie11

• Download Administrative Templates for Internet Explorer from Official Microsoft Download Center
  https://www.microsoft.com/en-us/download/details.aspx?id=40905

Office †

• Download Administrative Template files (ADMX/ADML)
  and Office Customization Tool for Office 365 ProPlus?,
  Office 2019, and Office 2016 from Official Microsoft Download Center
  https://www.microsoft.com/en-us/download/details.aspx?id=49030

Google Chrome †

• How to Install Google Chrome Using Group Policy - OSRadar
  https://www.osradar.com/how-to-install-google-chrome-using-group-policy/

Adobe Reader †

• Create Adobe GPO templates
  https://p0w3rsh3ll.wordpress.com/2017/08/21/create-adobe-gpo-templates/

その他 †

「SoftwareName Administrative Template」でググるとイイ。

管理 †

管理テンプレートの管理

• Windows でグループ ポリシー管理用テンプレート用のセントラル ストアを作成および管理する方法
  https://support.microsoft.com/ja-jp/help/3087759/how-to-create-and-manage-the-central-store-for-group-policy-administra

• グループ ポリシー管理用テンプレート (.adm)ファイルの管理に関する推奨事項
  https://support.microsoft.com/ja-jp/help/816662/recommendations-for-managing-group-policy-administrative-template-adm

参考 †

• 基礎から分かるグループポリシー再入門（19） - ＠IT
  「管理用テンプレート」を拡張してアプリケーションの設定をカスタマイズする
  https://www.atmarkit.co.jp/ait/articles/1605/12/news025.html

参考 †

• グループポリシー - Wikipedia
  https://ja.wikipedia.org/wiki/%E3%82%B0%E3%83%AB%E3%83%BC%E3%83%97%E3%83%9D%E3%83%AA%E3%82%B7%E3%83%BC

• ＠IT
  • 強化されたグループ・ポリシー機能
    http://www.atmarkit.co.jp/fwin2k/winsv2008r2/07gpr2/gpr2_01.html
  • システム設定とシステム・ポリシー
    http://www.atmarkit.co.jp/fwin2k/tutor/gpolicy01/gpolicy01_01.html
    • 第1回 システム設定とシステム・ポリシー
    • 第2回 グループ・ポリシーとは何か
    • 第3回 グループ・ポリシーの設定ファイル
    • 第4回 グループ・ポリシーの適用
    • 第5回 Active Directoryにおけるグループ・ポリシー
    • 第6回 リンクの継承と優先度およびフィルタ機能
    • 第7回 グループ・ポリシー管理コンソール（GPMC）

ローカル・ポリシー †

グループポリシー設定リスト †

応用 †

GPOによるプログラムの配付 †

更新プログラムの配信の最適化の構成 †

• グループ ポリシーを使用して Windows 10 で Windows Update の配信の最適化を構成する方法
  https://support.microsoft.com/ja-jp/help/3088114/how-to-use-group-policy-to-configure-windows-update-delivery-optimizat

• Windows 10 更新プログラムの配信の最適化の構成 (Windows 10) | Microsoft Docs
  https://docs.microsoft.com/ja-jp/windows/deployment/update/waas-delivery-optimization

• 配信の最適化について #2 グループポリシー篇 – Japan WSUS Support Team Blog
  https://blogs.technet.microsoft.com/jpwsus/2018/11/02/aboutdo_2/

• グループポリシーに「配信の最適化」の項目がない
  https://social.technet.microsoft.com/Forums/ja-JP/60f09e97-f5b6-4f81-a19f-6c0ed4fd9bf3?forum=winserver10TP

---

Tags: :セキュリティ, :Active Directory