おさらいグループポリシー 120320

おさらいグループポリシー

アイティデザイン株式会社

知北直宏 Copyright 2012 ITdesign Corporation , All Rights Reserved

‘12/03/20 @ Win.tech.q

1

Copyright 2012 ITdesign Corporation , All Rights Reserved

知北直宏（ちきたなおひろ）の自己紹介 • 福岡でアイティデザイン株式会社という会社の代表取締役をやってます。

• 2010年1月には次の書籍を執筆、発売しました。

標準テキスト Windows Server 2008 R2 構築・運用・管理パーフェクトガイド

著者：知北直宏、出版社：ソフトバンククリエイティブ

（2012年3月末に第七版を発行。総発行部数は13000部！！！） • 2011年1月に、マイクロソフトさんより

「Microsoft MVP (Directory Services Jan2011 - Dec2011) 」を受賞させていただきました。

• 2012年3月にマイクロソフト系ITProコミュニティ「Win.tech.q」を立ち上げました。

2

http://www.amazon.co.jp/gp/product/images/4797358238/ref=dp_otherviews_z_1?ie=UTF8&s=books&img=1


アジェンダ

• グループポリシーの概要

• グループポリシーの簡単な例

• グループポリシーのポイントいろいろ

• グループポリシーのサンプルいろいろ

• Windows Server “8” Beta のグループポリシー

3


グループポリシーの概要

4


グループポリシーってナニ？

5

• 次のようなことができます。 • セキュリティ関連の設定を一括して行う • コントロールパネルなどOS環境を一括して制御する • IEやOfficeなどの環境を一括して制御する • レジストリーやiniファイルを一括して制御する • ソフトウェアの展開、配布を行う • その他いろいろ

• Active Directory 環境のコンピューターアカウントやユーザーアカウントを集中管理、集中制御する仕組みです。

ドメインコントローラー Active Directory ドメイン

コンピューターアカウントやユーザーアカウント

グループポリシーで集中管理、集中制御


グループポリシーを構成するもの

• グループポリシーの実体は「GPO（グループポリシーオブジェクト）」と呼ばれるものです。

6

• GPOは多数の「ポリシー設定」によって構成されています。

• Windows Server 2008 R2/Windows 7 では、約3000個のポリシー設定が定義されています。

• ポリシー設定には、コンピューターに適用されるものと、ユーザーに適用されるものの、2種類があります。

• グループポリシーの設定、つまり、GPOの編集などは、「GPMC（グループポリシー管理エディター）」を用います。


おことわり

• 本セッションでは、Windows Server 2008 R2 と Windows 7を対象として説明しています。

7

• Active Directory に参加していないコンピューターにも「ローカルグループポリシー」という仕組みがありますが、本セッションでは Active Directory 環境におけるものを「グループポリシー」として説明しています。

ローカルグループポリシーは、MMC（マイクロソフトマネージメントコンソール）に「グループポリシーオブジェクトエディター」プラグインを追加して利用します。


グループポリシーの簡単な例

8


よくある話

9

管理者がユーザーにPCを配布したときには

こんなにキレイなデスクトップだったのに。。。

数週間経つとこのありさま！

なんとかしたい！

☛ グループポリシーで解決！


やること

10

GPMC（グループポリシー管理エディター）を使って、

ユーザーがコントロールパネルを開くことができないような

グループポリシー設定にしてみます。


グループポリシーの設定１・GPOの作成

11

GPMCを使って、GPO（グループポリシーオブジェクト）を作成、編集します。 ①GPOを作成 ②編集、ポリシー設定を探す ③開く ④有効化

グループポリシーの設定２・GPOを割当てる GPMCを使って、GPOをOU（組織単位）に割り当てます。


ドラッグ＆ドロップでも割り当てることができます。

12

グループポリシーの設定３・GPOを利用する

クライアントコンピューターにGPOが

適用されるのを待ちます。

Copyright 2012 ITdesign Corporation , All Rights Reserved 13

結果の確認デフォルト状態ではコントロールパネルを開くことができたのに。。。

開くことができなくなった！！ Copyright 2012 ITdesign Corporation , All Rights Reserved 14


グループポリシーのポイントいろいろ

15

ポイント、注意点いろいろ（1/4）

• GPOはActive Directoryのサイト、ドメイン、OUに適用、リンクすることができます。

• 一般的にはOUに適用する機会が多いはずです。（グループポリシーを意識したOUの設計が重要です。）


• コンピューターアカウントがデフォルトで登録される「Computers」、ユーザーアカウントがデフォルトで登録される「Users」は「OU」ではないため、GPOを適用、リンクすることができません。

16


• デフォルトでは、「Default Domain Policy」と、「Default Domain Controllers Policy」という 2つのGPOが登録されています。

• 「Default Domain Policy」はデフォルト状態でドメインにリンクしています。

• これらデフォルトのGPOを編集する際には特に注意が必要。


• 「Dcgpofix.exe」コマンドで、これらGPOをデフォルトの状態に戻すことが可能。 Dcgpofix.exe /Target:domain Dcgpofix.exe /Target:dc

• 「Default Domain Controllers Policy」はデフォルト状態で「Domain Controllers」OUにリンクしています。

17


• ポリシー設定によって、対応しているOSや、IEのバージョンが異なります。



• クライアントコンピューターにGPOが適用されるまでにタイムラグがあります。

• デフォルト状態では、90分～120分要します。

• このタイムラグの値も、グループポリシーによって定義されているため変更することは可能です。

「コンピューターの構成」

→「ポリシー」

→「管理用テンプレート」

→「システム」

→「グループポリシー」

→「コンピューターのグループポリシーの更新間隔」など

• クライアントコンピューター側で「gpupdate /force」コマンドを実行することにより、すぐに更新させることができます。



グループポリシーのサンプルいろいろ

20

～定番編～

パスワードのポリシー

• パスワードの長さなどのポリシーを強制することができます。

• デフォルト状態で「Default Domain Policy」で定義されており、ドメインにリンクしています。



→「Windowsの設定」

→「セキュリティの設定」

→「アカウントポリシー」

→「パスワードのポリシー」


アカウントのロックアウト

• パスワード入力ミス時の、ロックアウト（ログオン禁止）期間などのポリシーを強制することができます。





→「アカウントポリシー」

→「パスワードのポリシー」


リムーバブルディスクへの書き込みを禁止する • USBメモリーなどのリムーバブルディスクへの書き込みを禁止して、

読み取り専用にすることができます。


「ユーザーの構成」



→「システム」

→「リムーバブル記憶域へのアクセス」など

23

スクリプトを自動実行させる • コンピューターの起動時やシャットダウン時、

ユーザーのログオン時やログオフ時にスクリプトを実行させることができます。





→「スクリプト（スタートアップ/シャットダウン）」など

24

ソフトウェアを自動インストールする • 「Windowsインストーラーパッケージ形式（msi）」のソフトウェア

をクライアントコンピューターや、ユーザーへ展開、公開することができます。




→「ソフトウェアの設定」

→「ソフトウェアインストール」など

25

ソフトウェアの実行を制限する（その１） • グループポリシーの「ソフトウェアの制限のポリシー」を使うことに

よって、コンピューターやユーザーが実行できるソフトウェアを制限することができます。






→「ソフトウェアの制限のポリシー」など

26

ソフトウェアの実行を制限する（その２） • グループポリシーの「AppLocker」を使うことによって、「ソフト

ウェアの制限のポリシー」よりも細かなソフトウェア制限が可能です。






→「アプリケーション制御ポリシー」

→「AppLocker」

• 特定のユーザーやグループを対象にすることができます。

• サポートしているOS、エディションが限定されています。

27

自動更新の構成、WSUSサーバーの指定 • 自動更新（Windows Updateなど）の構成を強制することや、

WSUSサーバーの指定をすることができます。





→「Windowsコンポーネント」

→「Windows Update」

「自動更新を構成する」「イントラネットのMicrosoft更新サービスの

場所を指定する」

28



29

～知ってると便利編～

サービスの制御 • クライアントコンピューターのサービス（システムサービス・

Windowsサービス）のスタートアップを制御することができます。






→「システムサービス」

30

ログオン時のメッセージ表示 • クライアントコンピューターのログオン前に、

メッセージを表示させることができます。






→「ローカルポリシー」

→「セキュリティオプション」

→「対話型ログオン：ログオン時のユーザーへのメッセージのテキスト」

☛

31

Windows ファイアウォールの制御 • クライアントコンピューターのWindows ファイアウォールを

制御することができます。






→「セキュリティが強化されたWindowsファイアウォール」

32

リモートデスクトップの接続数の変更 • ローカルログオンしながら、

リモートデスクトップセッションを開くことができるようになります。






→「リモートデスクトップサービス」

→「リモートデスクトップセッションホスト」

→「接続」 →「リモートデスクトップサービスユーザーに対してリモートデスクトップサービスセッションを1つに制限する」

33

リモートデスクトップのシャドウイング • 複数のリモートデスクトップセッションで、画面の共有が可能です。






→「リモートデスクトップサービス」

→「リモートデスクトップセッションホスト」

→「接続」

→「リモートデスクトップサービスユーザーセッションのリモート制御のルールを設定する」

使うときは、一度リモートデスクトップ接続してから、タスクマネージャーの「ユーザー」で接続したいセッションを右クリックして「リモート制御」を実行。

☛

34



35

～場合によっては便利編～

セキュアチャネルの有効期間を変更する • 検証環境などで、長期停止していたメンバーサーバーなどコンピュー

ターアカウントのパスワード（セキュアチャネル）の有効期間を伸ばしたり、無効化したり。。。






→「ローカルポリシー」

→「セキュリティオプション」

「ドメインメンバ: 最大コンピュータアカウントのパスワードの有効期間」

「ドメインメンバ: コンピュータアカウントパスワード: 定期的な変更を無効にする」

36

Microsoft Office を制御する • 「管理用テンプレートファイル」を登録することにより、

Microsoft Office 2007 や 2010 の制御を行うことができます。


Office 2007 管理用テンプレートファイル http://www.microsoft.com/downloads/ja-jp/details.aspx?familyid=92d8519a-e143-4aee-8f7a-e4bbaeba13e7&displaylang=ja-nec

Office 2010 管理用テンプレートファイルhttp://www.microsoft.com/download/en/details.aspx?displaylang=en&id=18968

37

Google Chrome を制御する • 「管理用テンプレートファイル」を登録することにより、

Google Chrome の制御を行うことができるようです。


Google Chrome 管理用テンプレートファイル

http://www.chromium.org/administrators/policy-templates

38



39

～「基本設定」～


グループポリシーの基本設定ってナニ？

• Windows Server 2008以降で利用可能になった、新しいタイプのグループポリシー。

40

• 以前はコマンドやバッチファイル、スクリプトを使って実現していた設定を、直感的なGUIで設定可能に。

• 古いOSで利用する場合は、「グループポリシーの基本設定クライアント側拡張機能」更新プログラムを適用する必要アリ。


電源オプションの制御

• 電源プランなどの制御を行うことができます。

41


→「基本設定」

→「コントロールパネルの設定」

→「電源オプション」など

• 「Windows XP」と「Windows Vista 以降」で異なる設定ができます。


iniファイルの制御

• 「iniファイル」の作成や更新を行うことができます。

42




→「iniファイル」など


レジストリーの制御

• レジストリーのキーや値の作成や更新を行うことができます。

43




→「レジストリー」など


Windows Server “8” Beta のグループポリシー

44

Windows Server “8” Beta のグループポリシー関連の変更

• Remote Group Policy Update 【New!!】


• Group Policy Results report improvements （グループポリシーの結果レポートの改善）

• Group Policy Infrastructure Status 【New!!】

ソース http://technet.microsoft.com/library/hh831791.aspx

おそらくは、Windows 8 （サーバー、クライアント）用に、数百のポリシー設定が追加されると予測されます。

45

Remote Group Policy Update 【New!!】

• Gpupdate.exe をリモートから実行できるようです。


Invoke-GPUpdate コマンドレットでスケジューリング実行もできるみたい。

46

Group Policy Results report improvements 【New!!】

• Active Directory と SYSVOL のレプリケーションの監視がGPMCから実行可能になるようです。


おしまい


48

おさらいグループポリシー 120320

Technology