GPOを操作するツールとして、Active Directoryにはグループポリシーエディタが用意されています。 同じツールが実は各クライアントにもありますが、ADのグループポリシーを使った場合、各コンピュータで設定したGPOは上書きされてしまいます。
ADで設定したGPO > 各PCごとに設定したGPO
つまり、ADでGPOを管理するという事は各クライアントの環境を統一化できるという事になりうます。 グループポリシーエディタはADサーバまたはRSATツールにある「グループポリシーの管理」がそれになります。
起動すると次のような画面が表示されます。
この画面から、このADは”example.jp”というフォレストの中の”example.jp”というドメインである事がわかります。
コンピュータの構成/ユーザの構成
早速、グループポリシーの内容を見てみましょう。 example.jpドメインにある”Defaults Domain Policy”を右クリックして「編集」を選択します。
グループポリシー管理エディターが開き以下のような画面が表示されます。
これがグループポリシー設定画面で、”Default Domain Policy”はexample.jpドメインに所属するすべてのPCおよびユーザに関するグループポリシーとなります。
グループポリシー設定画面には大きく2つの構成があります。
1つはコンピュータのポリシー(コンピュータの構成)で、このポリシーが適用されるすべてのPCに反映されるポリシーとなります。
もう1つがユーザのポリシー(ユーザーの構成)で、このポリシーが適用されるすべてのユーザに反映されるポリシーとなります。
それぞれのポリシーは適用されるタイミングが違います。
コンピュータのポリシーは、PCの電源がONにされてネットワークでADと通信ができるようになったタイミングでポリシーが適用されます。
ユーザのポリシーは、ユーザがログインした時点でそのポリシーが反映されます。
よく、ポリシーが反映されないといって慌てる管理者がいますが、それがコンピュータポリシーなのかユーザポリシーなのか、そしてそれらは適用される条件がコンピュータが認識された時またはユーザが認識された時であるという違いを理解しておく必要があります。
”Default Domain Policy”はドメインに属するユーザ、コンピュータに適用されるので、すべてのユーザやコンピュータにポリシーを適用させたい場合にはこれを編集すると良いでしょう。(最低限の共通事項を設定します)
コンピュータの構成およびユーザの構成の下には、「ポリシー」と「基本設定」の2つのフォルダーがある事が判る。さらによく見ると、ポリシーにも基本設定にも「Windowsの設定」という名前が同じものが存在していることが判ります。
これらの違いは設定された内容が常に強制されるかどうかです。 基本設定で設定したものは、その設定が変更されない限り1度限りで反映され、変更された項目はユーザ自身で手動で設定し直す事が可能です。
ポリシーで設定したものは、変更されない限り1度限りの反映までは一緒ですが、変更されたポリシーをユーザ自身がその変更内容を修正することができません。
例えばスクリーンセーバーの設定で無操作時間が3分でスクリーンセーバーになる設定をポリシーで設定すると、そのポリシーの適用されたユーザは時間を変更したくても変更できなくなります。
(ポリシーと基本設定の違い)
「ポリシー」の配下 「基本設定」の配下 効果 永続的 非永続的 適用のタイミング GPO更新のたび GPO更新のたび、または1度だけ 対象の指定 リンクとアクセス許可設定に依存 ターゲットの指定が可能
GPOで操作できること
GPOを設定することでできる事は、環境変数の設定やアプリケーションの登録、レジストリの追加・変更、プリンタの登録、ファイルの登録、Windowsの挙動の変更など多岐に渡ります。