おさらいグループポリシー 120320
DESCRIPTION
Win.tech.qTRANSCRIPT
おさらい グループポリシー
アイティデザイン株式会社
知北直宏 Copyright 2012 ITdesign Corporation , All Rights Reserved
‘12/03/20 @ Win.tech.q
1
Copyright 2012 ITdesign Corporation , All Rights Reserved
知北直宏(ちきたなおひろ)の自己紹介 • 福岡でアイティデザイン株式会社という会社の代表取締役をやってます。
• 2010年1月には次の書籍を執筆、発売しました。
標準テキスト Windows Server 2008 R2 構築・運用・管理パーフェクトガイド
著者:知北直宏、出版社:ソフトバンク クリエイティブ
(2012年3月末に第七版を発行。総発行部数は13000部!!!) • 2011年1月に、マイクロソフトさんより
「Microsoft MVP (Directory Services Jan2011 - Dec2011) 」を受賞させていただきました。
• 2012年3月にマイクロソフト系ITProコミュニティ「Win.tech.q」を立ち上げました。
2
Copyright 2012 ITdesign Corporation , All Rights Reserved
アジェンダ
• グループポリシーの概要
• グループポリシーの簡単な例
• グループポリシーのポイントいろいろ
• グループポリシーのサンプルいろいろ
• Windows Server “8” Beta のグループポリシー
3
Copyright 2012 ITdesign Corporation , All Rights Reserved
グループポリシーの概要
4
Copyright 2012 ITdesign Corporation , All Rights Reserved
グループポリシーってナニ?
5
• 次のようなことができます。 • セキュリティ関連の設定を一括して行う • コントロールパネルなどOS環境を一括して制御する • IEやOfficeなどの環境を一括して制御する • レジストリーやiniファイルを一括して制御する • ソフトウェアの展開、配布を行う • その他いろいろ
• Active Directory 環境のコンピューターアカウントや ユーザーアカウントを集中管理、集中制御する仕組みです。
ドメインコントローラー Active Directory ドメイン
コンピューターアカウントや ユーザーアカウント
グループポリシーで集中管理、集中制御
Copyright 2012 ITdesign Corporation , All Rights Reserved
グループポリシーを構成するもの
• グループポリシーの実体は「GPO(グループポリシーオブジェクト)」と呼ばれるものです。
6
• GPOは多数の「ポリシー設定」によって構成されています。
• Windows Server 2008 R2/Windows 7 では、約3000個のポリシー設定が定義されています。
• ポリシー設定には、コンピューターに適用されるものと、 ユーザーに適用されるものの、2種類があります。
• グループポリシーの設定、つまり、GPOの編集などは、「GPMC(グループポリシー管理エディター)」を用います。
Copyright 2012 ITdesign Corporation , All Rights Reserved
おことわり
• 本セッションでは、Windows Server 2008 R2 と Windows 7を対象として説明しています。
7
• Active Directory に参加していないコンピューターにも 「ローカルグループポリシー」という仕組みがありますが、 本セッションでは Active Directory 環境におけるものを 「グループポリシー」として説明しています。
ローカルグループポリシーは、MMC(マイクロソフトマネージメントコンソール)に「グループポリシーオブジェクトエディター」プラグインを追加して利用します。
Copyright 2012 ITdesign Corporation , All Rights Reserved
グループポリシーの簡単な例
8
Copyright 2012 ITdesign Corporation , All Rights Reserved
よくある話
9
管理者がユーザーにPCを配布したときには
こんなにキレイなデスクトップだったのに。。。
数週間経つとこのありさま!
なんとかしたい!
☛ グループポリシーで解決!
Copyright 2012 ITdesign Corporation , All Rights Reserved
やること
10
GPMC(グループポリシー管理エディター)を使って、
ユーザーがコントロールパネルを開くことができないような
グループポリシー設定にしてみます。
Copyright 2012 ITdesign Corporation , All Rights Reserved
グループポリシーの設定1・GPOの作成
11
GPMCを使って、GPO(グループポリシーオブジェクト)を作成、編集します。 ①GPOを作成 ②編集、ポリシー設定を探す ③開く ④有効化
グループポリシーの設定2・GPOを割当てる GPMCを使って、GPOをOU(組織単位)に割り当てます。
Copyright 2012 ITdesign Corporation , All Rights Reserved
ドラッグ&ドロップでも割り当てることができます。
12
グループポリシーの設定3・GPOを利用する
クライアントコンピューターにGPOが
適用されるのを待ちます。
Copyright 2012 ITdesign Corporation , All Rights Reserved 13
結果の確認 デフォルト状態ではコントロールパネルを開くことができたのに。。。
開くことができなくなった!! Copyright 2012 ITdesign Corporation , All Rights Reserved 14
Copyright 2012 ITdesign Corporation , All Rights Reserved
グループポリシーの ポイントいろいろ
15
ポイント、注意点いろいろ(1/4)
• GPOはActive Directoryのサイト、ドメイン、OUに適用、リンクすることができます。
• 一般的にはOUに適用する機会が多いはずです。 (グループポリシーを意識したOUの設計が重要です。)
Copyright 2012 ITdesign Corporation , All Rights Reserved
• コンピューターアカウントがデフォルトで登録される「Computers」、ユーザーアカウントがデフォルトで登録される「Users」は「OU」ではないため、GPOを適用、リンクすることができません。
16
ポイント、注意点いろいろ(2/4)
• デフォルトでは、「Default Domain Policy」と、 「Default Domain Controllers Policy」という 2つのGPOが登録されています。
• 「Default Domain Policy」はデフォルト状態でドメインにリンクしています。
• これらデフォルトのGPOを編集する際には特に注意が必要。
Copyright 2012 ITdesign Corporation , All Rights Reserved
• 「Dcgpofix.exe」コマンドで、これらGPOをデフォルトの状態に戻すことが可能。 Dcgpofix.exe /Target:domain Dcgpofix.exe /Target:dc
• 「Default Domain Controllers Policy」はデフォルト状態で「Domain Controllers」OUにリンクしています。
17
ポイント、注意点いろいろ(3/4)
• ポリシー設定によって、 対応しているOSや、IEのバージョンが異なります。
Copyright 2012 ITdesign Corporation , All Rights Reserved 18
ポイント、注意点いろいろ(4/4)
• クライアントコンピューターにGPOが適用されるまでにタイムラグがあります。
• デフォルト状態では、90分~120分要します。
• このタイムラグの値も、グループポリシーによって定義されているため変更することは可能です。
「コンピューターの構成」
→「ポリシー」
→「管理用テンプレート」
→「システム」
→「グループポリシー」
→「コンピューターのグループポリシーの更新間隔」 など
• クライアントコンピューター側で「gpupdate /force」コマンドを実行することにより、すぐに更新させることができます。
Copyright 2012 ITdesign Corporation , All Rights Reserved 19
Copyright 2012 ITdesign Corporation , All Rights Reserved
グループポリシーの サンプルいろいろ
20
~ 定番編 ~
パスワードのポリシー
• パスワードの長さなどのポリシーを強制することができます。
• デフォルト状態で「Default Domain Policy」で定義されており、 ドメインにリンクしています。
「コンピューターの構成」
→「ポリシー」
→「Windowsの設定」
→「セキュリティの設定」
→「アカウントポリシー」
→「パスワードのポリシー」
Copyright 2012 ITdesign Corporation , All Rights Reserved 21
アカウントのロックアウト
• パスワード入力ミス時の、ロックアウト(ログオン禁止)期間などの ポリシーを強制することができます。
「コンピューターの構成」
→「ポリシー」
→「Windowsの設定」
→「セキュリティの設定」
→「アカウントポリシー」
→「パスワードのポリシー」
Copyright 2012 ITdesign Corporation , All Rights Reserved 22
リムーバブルディスクへの書き込みを禁止する • USBメモリーなどのリムーバブルディスクへの書き込みを禁止して、
読み取り専用にすることができます。
Copyright 2012 ITdesign Corporation , All Rights Reserved
「ユーザーの構成」
→「ポリシー」
→「管理用テンプレート」
→「システム」
→「リムーバブル記憶域へのアクセス」 など
23
スクリプトを自動実行させる • コンピューターの起動時やシャットダウン時、
ユーザーのログオン時やログオフ時にスクリプトを実行させることができます。
Copyright 2012 ITdesign Corporation , All Rights Reserved
「コンピューターの構成」
→「ポリシー」
→「Windowsの設定」
→「スクリプト(スタートアップ/シャットダウン)」 など
24
ソフトウェアを自動インストールする • 「Windowsインストーラーパッケージ形式(msi)」のソフトウェア
をクライアントコンピューターや、ユーザーへ展開、公開することができます。
Copyright 2012 ITdesign Corporation , All Rights Reserved
「コンピューターの構成」
→「ポリシー」
→「ソフトウェアの設定」
→「ソフトウェアインストール」 など
25
ソフトウェアの実行を制限する(その1) • グループポリシーの「ソフトウェアの制限のポリシー」を使うことに
よって、コンピューターやユーザーが実行できるソフトウェアを制限することができます。
Copyright 2012 ITdesign Corporation , All Rights Reserved
「コンピューターの構成」
→「ポリシー」
→「Windowsの設定」
→「セキュリティの設定」
→「ソフトウェアの制限のポリシー」 など
26
ソフトウェアの実行を制限する(その2) • グループポリシーの「AppLocker」を使うことによって、「ソフト
ウェアの制限のポリシー」よりも細かなソフトウェア制限が可能です。
Copyright 2012 ITdesign Corporation , All Rights Reserved
「コンピューターの構成」
→「ポリシー」
→「Windowsの設定」
→「セキュリティの設定」
→「アプリケーション制御ポリシー」
→「AppLocker」
• 特定のユーザーやグループを対象にすることができます。
• サポートしているOS、エディションが限定されています。
27
自動更新の構成、WSUSサーバーの指定 • 自動更新(Windows Updateなど)の構成を強制することや、
WSUSサーバーの指定をすることができます。
Copyright 2012 ITdesign Corporation , All Rights Reserved
「コンピューターの構成」
→「ポリシー」
→「管理用テンプレート」
→「Windowsコンポーネント」
→「Windows Update」
「自動更新を構成する」 「イントラネットのMicrosoft更新サービスの
場所を指定する」
28
Copyright 2012 ITdesign Corporation , All Rights Reserved
グループポリシーの サンプルいろいろ
29
~ 知ってると便利編 ~
サービスの制御 • クライアントコンピューターのサービス(システムサービス・
Windowsサービス)のスタートアップを制御することができます。
Copyright 2012 ITdesign Corporation , All Rights Reserved
「コンピューターの構成」
→「ポリシー」
→「Windowsの設定」
→「セキュリティの設定」
→「システムサービス」
30
ログオン時のメッセージ表示 • クライアントコンピューターのログオン前に、
メッセージを表示させることができます。
Copyright 2012 ITdesign Corporation , All Rights Reserved
「コンピューターの構成」
→「ポリシー」
→「Windowsの設定」
→「セキュリティの設定」
→「ローカルポリシー」
→「セキュリティオプション」
→「対話型ログオン:ログオン時のユーザーへのメッセージのテキスト」
☛
31
Windows ファイアウォール の制御 • クライアントコンピューターのWindows ファイアウォールを
制御することができます。
Copyright 2012 ITdesign Corporation , All Rights Reserved
「コンピューターの構成」
→「ポリシー」
→「Windowsの設定」
→「セキュリティの設定」
→「セキュリティが強化されたWindowsファイアウォール」
32
リモートデスクトップの接続数の変更 • ローカルログオンしながら、
リモートデスクトップセッションを開くことができるようになります。
Copyright 2012 ITdesign Corporation , All Rights Reserved
「コンピューターの構成」
→「ポリシー」
→「管理用テンプレート」
→「Windowsコンポーネント」
→「リモートデスクトップサービス」
→「リモートデスクトップセッションホスト」
→「接続」 →「リモートデスクトップサービスユーザーに対してリモートデスクトップサービスセッションを1つに制限する」
33
リモートデスクトップのシャドウイング • 複数のリモートデスクトップセッションで、画面の共有が可能です。
Copyright 2012 ITdesign Corporation , All Rights Reserved
「コンピューターの構成」
→「ポリシー」
→「管理用テンプレート」
→「Windowsコンポーネント」
→「リモートデスクトップサービス」
→「リモートデスクトップセッションホスト」
→「接続」
→「リモートデスクトップサービスユーザーセッションのリモート制御のルールを設定する」
使うときは、一度リモートデスクトップ接続してから、タスクマネージャーの「ユーザー」で接続したいセッションを右クリックして「リモート制御」を実行。
☛
34
Copyright 2012 ITdesign Corporation , All Rights Reserved
グループポリシーの サンプルいろいろ
35
~ 場合によっては便利編 ~
セキュアチャネルの有効期間を変更する • 検証環境などで、長期停止していたメンバーサーバーなどコンピュー
ターアカウントのパスワード(セキュアチャネル)の有効期間を伸ばしたり、無効化したり。。。
Copyright 2012 ITdesign Corporation , All Rights Reserved
「コンピューターの構成」
→「ポリシー」
→「Windowsの設定」
→「セキュリティの設定」
→「ローカルポリシー」
→「セキュリティオプション」
「ドメイン メンバ: 最大コンピュータ アカウントのパスワードの有効期間」
「ドメイン メンバ: コンピュータ アカウント パスワード: 定期的な変更を無効にする」
36
Microsoft Office を制御する • 「管理用テンプレートファイル」を登録することにより、
Microsoft Office 2007 や 2010 の制御を行うことができます。
Copyright 2012 ITdesign Corporation , All Rights Reserved
Office 2007 管理用テンプレートファイル http://www.microsoft.com/downloads/ja-jp/details.aspx?familyid=92d8519a-e143-4aee-8f7a-e4bbaeba13e7&displaylang=ja-nec
Office 2010 管理用テンプレートファイルhttp://www.microsoft.com/download/en/details.aspx?displaylang=en&id=18968
37
Google Chrome を制御する • 「管理用テンプレートファイル」を登録することにより、
Google Chrome の制御を行うことができるようです。
Copyright 2012 ITdesign Corporation , All Rights Reserved
Google Chrome 管理用テンプレートファイル
http://www.chromium.org/administrators/policy-templates
38
Copyright 2012 ITdesign Corporation , All Rights Reserved
グループポリシーの サンプルいろいろ
39
~ 「基本設定」 ~
Copyright 2012 ITdesign Corporation , All Rights Reserved
グループポリシーの基本設定ってナニ?
• Windows Server 2008以降で利用可能になった、 新しいタイプのグループポリシー。
40
• 以前はコマンドやバッチファイル、スクリプトを使って実現していた設定を、直感的なGUIで設定可能に。
• 古いOSで利用する場合は、「グループポリシーの基本設定クライアント側拡張機能」更新プログラムを適用する必要アリ。
Copyright 2012 ITdesign Corporation , All Rights Reserved
電源オプションの制御
• 電源プランなどの制御を行うことができます。
41
「コンピューターの構成」
→「基本設定」
→「コントロールパネルの設定」
→「電源オプション」 など
• 「Windows XP」と「Windows Vista 以降」で異なる設定ができます。
Copyright 2012 ITdesign Corporation , All Rights Reserved
iniファイルの制御
• 「iniファイル」の作成や更新を行うことができます。
42
「コンピューターの構成」
→「基本設定」
→「コントロールパネルの設定」
→「iniファイル」 など
Copyright 2012 ITdesign Corporation , All Rights Reserved
レジストリーの制御
• レジストリーのキーや値の作成や更新を行うことができます。
43
「コンピューターの構成」
→「基本設定」
→「コントロールパネルの設定」
→「レジストリー」 など
Copyright 2012 ITdesign Corporation , All Rights Reserved
Windows Server “8” Beta の グループポリシー
44
Windows Server “8” Beta のグループポリシー関連の変更
• Remote Group Policy Update 【New!!】
Copyright 2012 ITdesign Corporation , All Rights Reserved
• Group Policy Results report improvements (グループポリシーの結果レポートの改善)
• Group Policy Infrastructure Status 【New!!】
ソース http://technet.microsoft.com/library/hh831791.aspx
おそらくは、Windows 8 (サーバー、クライアント)用に、 数百のポリシー設定が追加されると予測されます。
45
Remote Group Policy Update 【New!!】
• Gpupdate.exe をリモートから実行できるようです。
Copyright 2012 ITdesign Corporation , All Rights Reserved
Invoke-GPUpdate コマンドレットで スケジューリング実行もできるみたい。
46
Group Policy Results report improvements 【New!!】
• Active Directory と SYSVOL のレプリケーションの監視がGPMCから実行可能になるようです。
Copyright 2012 ITdesign Corporation , All Rights Reserved 47
おしまい
Copyright 2011 ITdesign Corporation , All Rights Reserved
48