Active DirectoryでPCを管理する上で重要なのがグループポリシーですが、ネットで検索しても意外と情報がまとまっていないと感じたのでまとめてみました。
私の認識も正しくない部分もある可能性があるので、その場合はご指摘いただけると助かります。
前提条件
- 検証環境
- Windows Server 2019
- 単一フォレスト、単一ドメインのActive Directory
- 本記事の読者想定
- 今までグループポリシーを触ったことがないが、新たに触れる必要が出てきた人
管理ツール:グループポリシーの管理
グループポリシーを管理するためのツールは、その名の通り「グループポリシーの管理」という名前になっています。
Active Directoryをインストールすると(デフォルトでは)自動で管理ツールもインストールされ、Windows Server 2019の場合は、スタートメニュー → Windows管理ツール → グループポリシーの管理から開くことができます。
左側のカラムに表示されている中で、グループポリシーオブジェクトの中に入っているものが、ドメインに存在するグループポリシーの一覧です。
それとは別に、同じ名前のポリシーがドメインの直下等にも記載されていますが、これはグループポリシーがどのOUに適用されているかを示すものとなっています。
既存のグループポリシーで設定されている内容を確認する
既存のグループポリシーで設定されている内容を確認するには、該当のポリシーを右クリックし、レポートの保存を選択します。
HTMLファイルが生成され、現在グループポリシーで設定されている内容を閲覧できます。グループポリシーの設定変更前には、変更点が分かるように事前にレポートの保存をしておくことをお勧めします。
既存のグループポリシーを編集する
既存のグループポリシーを編集するには、該当のポリシーを右クリックし、編集を選択します。すると、グループポリシー管理エディターが起動します。グループポリシー管理エディターの使用方法は後述します。
新規でグループポリシーを作成する
新規でグループポリシーオブジェクトを作成するには、グループポリシーオブジェクトで右クリックし、新規を選択します。表示されたウィンドウにグループポリシーの名前を入力し、OKを選択します。
あとは、既存のグループポリシーの編集と同様の手順で操作します。
グループポリシーをOUに適用する
グループポリシーをOUに適用するには、適用したいOUを右クリックし、既存のGPOのリンクを選択します。表示されたウィンドウから、適用したいグループポリシーを選択し、OKを選択します。
OUの下に適用したGPOが表示されていれば完了です。
グループポリシーの適用を外す
グループポリシーの適用を外す場合は、OUの下に表示されているGPOを右クリックし、削除をクリックします。警告画面で、リンクを削除すること、GPO自身は削除されないことを確認し、OKを選択します。
グループポリシー管理エディター
グループポリシー管理エディターは、グループポリシーを設定するためのGUIです。実は、似たようなインターフェースを持つものとして、ローカルグループポリシーエディターというものもあります。この2つには以下のような違いがあります。
- グループポリシー管理エディター:複数のパソコンを制御したいときに使う
- ローカルグループポリシーエディター:自身のパソコンを制御したいときに使う
編集の前には、ローカルと表示されていないことを確認するようにすると良いと思います。(自分はそうしてます)
コンピューターの構成とユーザーの構成について
グループポリシーを利用する上で重要なのが、コンピューターアカウントとユーザーアカウントを分けて考えることです。
Active Directoryでは、1つのOUにコンピューターアカウントとユーザーアカウントの両方を所属させることができます。(画像中の例では、TEST-PCというコンピューターアカウントとTEST-USERというユーザーアカウントが同じOUに同居しています)
このようなOUに対してグループポリシーを適用した場合、コンピューターの構成で設定しているポリシーはコンピューターアカウント(例ではTEST-PC)のみに、ユーザーの構成で設定しているポリシーはユーザーアカウント(例ではTEST-USER)のみに適用されます。
ポリシーの中にはユーザーの構成にしかない設定項目などもあり、このような項目をコンピュータに対して適用しようとしてうまくいかない、といった事例が過去の自分にもありましたので要注意です。
グループポリシーの編集方法
グループポリシーの編集は、左側のカラムから編集したい項目が入っているフォルダを見つけ出し、右側のカラムで現在の設定状況を確認します。右側のカラムで状態が未構成となっているものについては、グループポリシーでの設定が行われていないことを指します。未構成となっているものは、先述したレポートの保存を行っても項目として出てきません。
項目をダブルクリックすると、以下のような画面が表示されるため、有効もしくは無効にしてOKを選択すると設定を変更できます。
未構成以外に設定した場合は、グループポリシーの管理から出力したレポートで設定結果を確認できます。
グループポリシーをクライアントに適用
グループポリシーは、設定後一定時間経過で自動でクライアントに反映されます。
急いで結果を確認したい場合はクライアントコンピュータ側で以下のコマンドを実行します。
gpupdate /force