コース: システム管理の基礎知識 by Microsoft x LinkedIn
グループポリシーを適用する
グループポリシーと オンプレミスの Active Directory は、 ユーザーとその環境を 管理するための強力なツールです。 壁紙を変更したり、 パスワードを一定の長さにするよう 定めたり、 ドキュメントやフォルダを リダイレクトしたり、 ドライブをマッピングしたりと、 さまざまなことが可能です。 オンプレミスのアクティブディレクトリを 担当するシステム管理者は、 自社の環境でグループポリシーが どのように働くかを 完全に理解しておく必要があります。 画面は、Active Directroy の ドメインコントローラーにログインして、 サーバーマネージャーを開いたところです。 ツールをクリックし、 「グループポリシーの管理」を選択します。 フォレストを展開し、 さらにドメインを展開すると、 現在あるドメインが表示されます。 デフォルトのドメインポリシーがありますが ほとんど設定されていないことが わかります。 この状態から新しいポリシーを追加したり、 既存のポリシーを 編集したりすることができます。 これとは別に、 ドメインコントローラー ポリシーがあります。 デフォルトのポリシーとは別に、 ドメインコントローラーポリシーが ある理由は、 デフォルトのドメインポリシーを 編集する過程で、 ドメインコントローラーの ユーザーログイン機能が消えてしまっても、 デフォルトのドメインコントローラー ポリシーを優先的に適用できるからです。 では、ここにあるドメインを 右クリックして、 新しいグループポリシーオブジェクト、 略して、GPO を作成していきましょう。 これが、グループポリシーオブジェクトで 簡単に言うと、ユーザーが コンピューターを使えるようにするための 設定方法を記述したファイルです。 右クリックして、 このドメインに GPO を作成し、 「このコンテナにリンクする」を選択します。 Custom Settings と名前を付けて、 「OK」をクリックします。 すると、Custom Settings という名前のグループポリシー オブジェクトができました。 これを右クリックして、 「編集」を選択すると、 ユーザーやコンピューターに関係する 非常にさまざまな設定項目を 編集することができます。 上のほうにあるのは、 コンピューターの構成です。 これを適用するには、 コンピューターを再起動する 必要があります。 その下には、ユーザーの構成があります。 こちらは、コマンドプロンプトで gpupdate という コマンドを入力して、 実行するだけで、 新しいユーザー設定が適用されます。 ポリシーの中には、 コンピューターにも、 ユーザーにも共通であるものと 全く異なるものがあります。 では、ポリシーを展開し、 「Windows の設定」を 選びましょう。 そして、セキュリティの設定に進みます。 「アカウントポリシー」と 書かれた場所に行くと、 ここに、パスワードのポリシーがあります。 このように、パスワードに関する ポリシーが並んでいます。 これらを使って、 パスワードの長さ、 最小文字数や最大文字数、 パスワードの有効期間などを設定できます。 例えば、パスワードの最小文字数は 規定で7文字ですが、 「このポリシーの設定を定義する」を クリックすると、 8にすることができます。 Microsoft は現在、 15 推奨していますが、 デモにはちょっと長いので、 8にして「OK」をクリックしましょう。 もうひとつ注目したいのが、 複雑さの要件を満たす必要がある パスワードのポリシーです。 これを有効にすると、 説明のタブにもあるように、 特殊文字の使用が要件に加わります。 特殊文字とは、 ドル記号やポンド記号、 パーセント記号などです。 他にもいくつかの項目を 設定していきたいので、 Windows の設定を閉じましょう。 そして、管理用テンプレートと 書かれた場所に移動します。 ずらりと項目が並んでいますが、 例えば、下のほうにある 個人用設定では、 特定の規定のロック画面と ログオンイメージを強制する ロック画面とログオンイメージを 変更できないようにするといった 設定を行うことができます。 それでは、ユーザーの構成で 同じ場所を開いてみましょう。 ちなみに、こちらは コンピューターではなく、 ユーザーに影響する設定です。 つまり特定のユーザー名で、 コンピューターにログインすると、 これらの設定が適用されるわけです。 ここの管理用テンプレートを 開いてみましょう。 ほとんど同じような情報が 表示されます。 個人用設定も表示されています。 違いとしては、ここに表示される、 デスクトップという項目、 これは、コンピューターの 構成にはありません。 では、個人用設定を クリックしてみましょう。 一覧を見ると、 コンピューターの構成のほうには、 なかった項目がいろいろ表示されています。 左に戻って、画面を開いてみましょう。 ここには、コントロールパネルの 画面を無効にするなどの項目があります。 今度は、左から、 すべての設定を開いてみましょう。 ここには、デスクトップから ゴミ箱アイコンを削除するという 項目がありますね。 ここを開いて、 「有効」を選択します。 これで、ログインしたユーザーの デスクトップでは、 ゴミ箱が自動的に非表示になります。 それでは、これを閉じましょう。 画面の左を見るとわかるように、 今作成したグループポリシー オブジェクトは、 ドメイン直下に表示されています。 これを別の組織単位に作成したり、 移動したりすることもできます。 例えば、Accounting に 移動すると、 このポリシーは、 Accounting の組織単位に含まれる ユーザーまたはコンピューターにのみ 適用されます。 つまり今のように、 ドメイン内の全員に適用するのではなく、 特定の組織単位にだけ、 適用することができるのです。 今はこのまま、 ドメイン直下に残しておいて、 ユーザーとしてログインし、 ゴミ箱が表示されないことを 確認してみましょう。 ログインしてみました。 デスクトップには、 ゴミ箱がないことがわかりますね。 これで、グループポリシーが 機能したことがわかりました。 また、コマンドプロンプトからも 確認できます。 ここから、コマンドを実行すると、 適用されているグループポリシーが 確認できます。 すべての結果を見るには、 「管理者として実行」を 選択するのが一番です。 管理者以外として開くと、 一部の結果が表示されないので、 注意してください。 このユーザーは、管理者としての アクセス権を持っていないので、 管理者のユーザー名と パスワードを入力する必要があります。 コマンドプロンプトに、 gpresult /r と入力します。 実行すると、適用された グループポリシーが一気に表示されます。 Computer Settings と 書かれている所まで、 上にスクロールすると、 Applied Group Policy Objects の 所に、Custom Settings という 名前が表示されています。 変更は、ユーザーの構成の所でも 加えました。 こちらも、 Applied Group Policy Objects の所に Custom Settings が 表示されています。 どちらか一方だけに適用される GPO は、その場所にしか 表示されません。 グループポリシーの設定管理は、 オンプレミス、または ハイブリッド環境で アクティブディレクトリを管理するために 必要なスキルです。
コースをダウンロードして学習しましょう。
ラーニングコースをダウンロードしてオフラインで視聴しましょう。ダウンロードしたコースはLinkedInラーニングのモバイルアプリ (iOSまたはAndroid) で視聴できます。