マイクロソフトのグループポリシーオブジェクト(GPO)は、システムの外観と、定義されたユーザーグループの動作を定義するグルー
マイクロソフトには、グループポリシー管理コンソール(GPMC)を使用できるプログラムスナップインが用意されています。 選択すると、グループポリシーオブジェクトが作成されます。 GPOは、サイト、ドメイン、組織単位(OU)など、選択したActive Directoryコンテナーに関連付けられています。 GPMCを使用すると、レジストリベースのポリシー、セキュリティオプション、ソフトウェアのインストールと保守オプション、スクリプトオプション、フォルダリダイレクトオプションを定義するGPOを作成することができます。
Gpoの種類
Gpoには、ローカル、非ローカル、スターターの三つのタイプがあります。
- ローカルグループポリシーオブジェクト。 ローカルグループポリシーオブジェクトは、ローカルコンピューターとそのコンピューターにログオンするユーザーにのみ適用されるグループポリシー設定のコレクシ ローカルGpoは、ポリシー設定を単一のWindowsコンピューターまたはユーザーに適用する必要がある場合に使用されます。 ローカルGpoは、既定ですべてのWindowsコンピューターに存在します。
- 非ローカルグループポリシーオブジェクト。 非ローカルグループポリシーオブジェクトは、ポリシー設定を1つ以上のWindowsコンピューターまたはユーザーに適用する必要がある場合に使用されます。 ローカル以外のGpoは、サイト、ドメイン、組織単位などのActive Directoryオブジェクトにリンクされると、Windowsコンピューターまたはユーザーに適用されます。
- スターターグループポリシーオブジェクト。 Windows Server2008で導入されたstarter Gpoは、グループポリシー設定用のテンプレートです。 これらのオブジェクトを使用すると、管理者は、将来作成されるポリシーのベースラインを表す設定の事前構成されたグループを作成して保持できます。
データセキュリティとグループポリシーオブジェクト
会社のネットワークを保護するのに役立つグループポリシー設定がいくつかあります。 たとえば、グループポリシーを使用して、組織はスクリプトを実行し、ユーザーが特定のリソースにアクセスできないようにしたり、特定のホームページをすべてのネ
これらのセキュリティ対策には次のものがあります:
- コントロールパネルへのアクセスを制限する–コントロールパネルを通じて、企業はコンピュータのすべての側面を制御できます。 誰がコンピュータにアクセスできるかを制限することで、組織はデータやその他のリソースを安全に保つことができます。
- コマンドプロンプトの無効化–会社は、コマンドプロンプトを使用して、ユーザーに高レベルのアクセス権を与え、他のシステム制限をバイパスす そのため、システムリソースのセキュリティを確保するためにコマンドプロンプトを無効にすることが賢明です。 コマンドプロンプトを無効にした後にユーザーがコマンドウィンドウを開こうとすると、一部の設定でこれが防止されていることを示すメッセージが表示されます。
- ソフトウェアのインストールを防ぐ-ユーザーがソフトウェアのインストールを許可されている場合、会社のシステムを侵害する可能性のある不要なアプ そのため、グループポリシーを使用してソフトウェアのインストールを防ぐことをお勧めします。
グループポリシーオブジェクトの利点
セキュリティに加えてGpoを実装するには、次のような:
- より効率的な管理–既に導入されているGpoは、組織のドメインに参加するすべての新規ユーザーとコンピュータに標準化された環境を適用し、セットアップ時
- 管理の容易さ–システム管理者はGPOを介してソフトウェア、パッチ、およびその他の更新プログラムを展開できます。
- より良いパスワードポリシーの施行–Gpoは、パスワードの長さを決定し、ルールを再利用し、会社のネットワークを安全に保つためのパスワードの他の要件を確
- フォルダリダイレクトの設定–Gpoを使用すると、企業は重要な会社ファイルを集中管理された監視ストレージシステムに確実に保管できます。 たとえば、組織は、通常はローカルドライブに保存されているユーザーのドキュメントフォルダをネットワークの場所にリダイレクトできます。
Gpoの制限
グループポリシーオブジェクトの制限は次のとおりです:
- それらは順番に実行されます–GPOsはアクションを次々に処理します。 そのため、多くのGpoを構成する必要がある場合、ユーザーがログオンするまでに長い時間がかかることがあります。
- 柔軟性は制限されています–Gpoはユーザーまたはコンピュータにのみ適用できます。 そのため、コンテキストに基づいて設定を適用することになると制限されます。
- 制限付きトリガー–Gpoは、コンピュータの起動時、ユーザーがログオンしたとき、または設定された間隔でのみ適用できます。 GPOは、ネットワークの切断や再接続など、環境の変化に対応できません。
- 保守が困難–GPO内の特定の設定を検索するための組み込みの検索オプションやフィルターオプションがないため、既存の設定の問題を見つけたり修正したりすることが困難になります。
- バージョン管理なし–GPO設定に加えられた変更は監査されません。 したがって、誤った変更が行われた場合、変更が何であったか、誰が変更したかを伝えることは不可能です。
Gpoの処理順序
グループポリシーの処理順序は、コンピュータまたはエンドユーザーに適用される設定に影響します。 この処理順序はLSDOUとして知られています: ローカル、サイト、ドメイン、組織単位。 まず、ローカルコンピュータポリシーが処理され、次にサイトレベルからドメインへのActive Directoryポリシーが処理され、次にOUに入ります(ネストされた組織単位のGpo 競合がある場合は、最後に適用されたポリシーが有効になります。
Gpoの例
グループポリシーオブジェクトの例を次に示します:
- GPOは、ユーザーがInternet Explorerを起動したときに最初に表示されるホームページを指定する場合があります。 ユーザーがドメインにログオンすると、そのグループポリシーオブジェクトが取得され、ユーザーのInternet Explorerの構成に適用されます。
- 組織は、グループポリシーを使用して、Active Directoryの特定のOUからユーザーに共有ネットワークプリンター接続を展開できます。 そのため、ユーザーがWindowsにログインすると、割り当てられたネットワークプリンタが使用可能なプリンタの一覧に自動的に表示されます。
- 管理者は、グループポリシーを使用して、コンピュータの表示を一定期間オフにしたり、デフォルトのプログラムを選択したり、ユーザーがインターネット接続オプ
ベストプラクティス
Gpoのベストプラクティスには、次のようなものがあります:
- Active Directoryで適切に設計された組織単位構造を作成して、グループポリシーの適用とトラブルシューティングを簡素化します。
- 管理者が各GPOが何をするかをすばやく識別できるように、Gpoに説明的な名前を付けます。
- 各GPOに、作成された理由、目的、設定を説明するコメントを追加します。
- Gpoはすべてのコンピューターオブジェクトとユーザーオブジェクトに適用されるため、ドメインレベルでは設定しません。 これにより、一部の設定が不必要に一部のオブジェクトに適用される可能性があります。
- Active Directoryのルートコンピューターまたはユーザーフォルダーは組織単位ではなく、Gpoをそれらにリンクすることができないため、使用しないでください。 新しいユーザーまたはコンピューターオブジェクトがこれらのフォルダーに表示されたら、すぐに適切なOUに移動する必要があります。
- GPOを無効にしないでください。 GPOを適用したくない場合は、無効にするのではなく、OUからリンクを削除してください。 GPOを無効にすると、ドメインにGPOが完全に適用されなくなります。 その特定のグループポリシーが別のOUで使用されている場合、それはもはやそこでは機能しないため、これは問題になる可能性があります。