今回はよく聞くけどよく分からんActive Directory(以下AD)の設定(というかグループポリシー【以下GPO】)について、こんな設定便利ですよ的な紹介と自分の備忘録もかねて記事にします。本当にADは奥が深いので、一般的な設定の紹介程度になると思いますのであしからず。誰かもっと詳しく教えてほしい...
ADとは
いきなりADって言われてもよく分からんという方は以前に下記ADの説明記事を書きましたのでご参考までに
【初心者向け】ActiveDirectory とは?
GPOとは
GPOですが用語の意味としては
GPOとは、Active Directoryの設定で、利用者やコンピュータのグループに適用したい設定項目と設定値の組み合わせを雛形として定義したもの。
ということになります。要するにPCやユーザに適用する設定ルールのことです。具体的にはWindowsPCのレジストリ設定コンフィグの集まりです。少しややこしいのですがヒト(ユーザA、営業担当A、総務部Aなど)のユーザオブジェクトへ適用するGPOとコンピュータ(ログインIDなど関係なく、そのPCに全体)に適用されるGPOの2種類があります。
GPOをOU(OUについては後述)に適用することで、OU内のユーザオブジェクトやコンピュータオブジェクトにGPOで設定されたルールが適用されることになります。
ユーザオブジェクト向けのGPOをコンピュータが所属するOUに適用しても、ルールは適用されないのでご注意ください。
※ただしDefaultGroupPolicyなどドメイン全体に適用されるものもある
OUとは
OUですが用語の意味としては
OUとは、組織単位という意味の英語表現で、組織を何らかの基準に基づいて分割した部門や部署、グループ、チームなどのこと。ITの分野では、アカウント管理システムやアクセス管理システムなどで、権限や設定の管理単位となるアカウントやリソースの集合のことをこのように呼ぶことが多い。
ということになります。こちらは要するにADで管理する組織(グループ)の単位です。上記のGPOを適用する単位でもあります。OUはフォルダのようにツリー上に階層化することもできます。
OUに対してGPOを適用(設定画面上ではリンク)させることで、OU内のオブジェクトに設定ルールを適用します。
上記図の4つのOUにはそれぞれ別のGPOを適用することも可能です。
AD上によく似た用語で「コンテナ」というものもありますがOUとコンテナは別物ですのでご注意ください。
参考 Active Directoryオブジェクトの種類と効果的な活用方法
【事前準備および前提環境】
実際の設定の紹介に移る前に設定の前提となる環境については記載しておきます。
・ AD環境はWindows Server 2019上に構築する
・ Active Directory ドメインサービスをインストール済み
・ 少なくとも1台以上のドメインコントローラーを構築済みで、クライアントPCが1台以上ドメイン参加している
Active Directory ドメインサービスをインストールするとサーバマネージャで「Active Directory ユーザとコンピュータ」と「グループポリシーの管理」という設定項目が表示されるようになります。
今回は[test-domain.internal]というドメインを作成し、ユーザが所属する[Test-users]というOUとコンピュータが所属する[test-computer]というOUを作成しています。
GPOの利用例(PC展開時)
PC展開時の便利なGPO設定をいくつか紹介します。
※PC展開とは一般利用者向けにPCを配布すること、および利用環境構築を指します
①全PCのデスクトップに同じショートカットを配布したい
例えば所定のサイトURLやフォルダパスのショートカットを全員のデスクトップに配置するなどの用途になります。
今回のサンプル設定はyahoo.co.jpのショートカットをユーザのデスクトップに配布する設定になります。
①-1.グループポリシーの作成
サーバマネージャの「グループポリシーの管理」をクリックして、「グループポリシーオブジェクト」を右クリック、「新規」を選択
作成するGPOの名前を入力して「OK」 ※今回は「ショートカット配布」という名前にしています。
①-2.グループポリシーの中身の設定
「グループポリシーオブジェクト」配下に「ショートカット配布」というGPOが作成されているので選択し、右クリックし、「編集」をクリック
今回はユーザオブジェクトに対しての設定にするので、「ユーザの構成」の部分の「Windowsの設定」-「ショートカット」を新規作成
どういう配布内容にするのかを上記画像を参考に設定
画像ではユーザのデスクトップに「テストショートカット」という名前で「yahoo.co.jp」へのショートカットを配布する設定になっています。
次にどのユーザ権限で実行するのかを選択します。
これでGPOの設定は完了です。ただまだどこに適用(リンク)するか設定をしていないのでリンク設定を行います。
①-3.グループポリシーの適用
OUとGPOリンクが完了すると以下のようにリンクが表示されます。
基本的にはGPOの設定本体は「グループポリシーオブジェクト」配下におき、各OUに設定をリンクさせていくという流れになります。GPO適用が不要になった場合はリンクを削除する形になります。
GPO設定、適用が上手くいっているか確認してみましょう。
クライアントPCにログインして、コマンドプロンプトで”gpupdate /force”を実行します。
上手くいっていれば画像のようにクライアントPCのデスクトップのショートカットが作成されていると思います。
【参考】ショートカットを開くWebブラウザーを指定したい場合
インターネットアクセスのショートカットはアプリ(EdgeとかChromeとか)を指定しなければ、PCの規定のWebブラウザー(Windows)で開くことだとEdgeになります。Chromeでしか開かないサイトもあったりするので、ブラウザー指定のショートカットを配布する方法もご参考までに記載します。
今回はChromeを指定した場合のサンプルを記載します。
作成されたショートカットを開くとChromeでページを開いてくれます。
②全PCにアプリケーションファイル(exeファイルなど)を配布したい
例えば所定の業務用アプリを全PCのデスクトップに配置するなどの用途になります。ユーザからすれば、デスクトップ上のexeファイルをダブルクリックするだけでアプリケーションをインストール、起動できるので便利ですね。今回のサンプルはTeraterm.exeを配布する設定です。
②-1.グループポリシーの作成
ショートカット配布と同様にまずグループポリシーを作成します。GPOの名前は「exeファイル配布」にします。
作成については手順は同じなので割愛します。
②-2.グループポリシーの中身の設定
GPOが作成できたら、これも先ほどと同じように中身の設定をしていきます。
「グループポリシーオブジェクト」配下の「exeファイル配布」を選択、右クリックして「編集」します。
このGPOもユーザ対しての制限にするので、「ユーザ構成」-[基本設定]-[Windowsの設定]-[ファイル]を選択し、新規作成を選択します。
今回は共有フォルダ(\10.0.0.21\share)内のteratermを配布する設定サンプルになっています。
「ソースファイル」と「ターゲットファイル」を設定します。
②-3.グループポリシーの適用
これもショートカットの配布時(「①-3.グループポリシーの適用」)と同様に作成・設定したGPOをOUにリンクさせます。
リンクさせたら、クライアントPCで”gpupdate /force”コマンドを実行しましょう。
上手く設定できていれば以下のようにデスクトップ上にteraterm.exeが配布されていると思います。
③全PCのネットワークドライブに所定の共有フォルダをマウントしたい
例えば所定のドライブレターに共有フォルダをマウントするなどの用途になります。ユーザからすれば自動的に共有フォルダがネットワークマウントされているので便利ですね。今回のサンプルはZドライブにネットワークマウントする設定です。
③-1.グループポリシーの作成
ショートカット配布と同様にまずグループポリシーを作成します。GPOの名前は「ドライブマウント」にします。
作成については手順は同じなので割愛します。
③-2.グループポリシーの中身の設定
GPOが作成できたら、これも先ほどと同じように中身の設定をしていきます。
「グループポリシーオブジェクト」配下の「ドライブマウント」を選択、右クリックして「編集」します。
このGPOもユーザ対しての制限にするので、「ユーザ構成」-[基本設定]-[Windowsの設定]-[ドライブマップ]を選択し、新規作成をします。
今回は\10.0.0.21\shareフォルダを共有フォルダという名前でZドライブにネットワークマウントする設定です。
③-3.グループポリシーの適用
これもショートカットの配布時(「①-3.グループポリシーの適用」)と同様に作成・設定したGPOをOUにリンクさせます。
リンクさせたら、クライアントPCで”gpupdate /force”コマンドを実行しましょう。
上手く設定できていれば以下のようにネットワークドライブ上にZドライブマウントされていると思います。
④EdgeにProxyを設定したい
PC1台ずつProxy設定していたら面倒だし、手動で設定すると手動で解除できてしまうので、一斉にEdgeのproxy設定を強制する際に利用します。
Edgeに関するGPO設定ですが、前述の3つよりひと手間増えます。デフォルト状態ではEdgeに関する設定項目がないため、設定項目のテンプレートをダウンロードしてくる必要があります。
④-1.グループポリシーテンプレートのDLと設定
以下へアクセスし、所定のデータをDLします。
ダウンロードしたデータを解凍し、対象のデータをコピーして、所定のフォルダに保存します。
解凍したフォルダ直下の3つのデータと以下画像の「ja-JP」内のデータが対象データです。
【コピーする対象データとコピー先】
・windows¥admx¥msedge*.admxのデータ
→C:\Windows\PolicyDefinitionsフォルダへ
・windows¥admx¥ja-JP¥msedge*.admlのデータ
→C:\Windows\PolicyDefinitions\ja-JPフォルダへ
【参照したサイト】
EdgeのIEモードをグループポリシーで配布しようとしたらハマったより
④-2.グループポリシーの作成
グループポリシーの作成は上述の①~③と同じ流れになりますので割愛です。
④-3.グループポリシーの中身の設定
④-1の手順を行うことで、以下のように設定できる項目にMicrosoft Edgeに関する項目が増えています。
[コンピュータの構成]-[管理テンプレート]-[Microsoft Edge]-[プロキシサーバー]の項目の中を設定します。
今回は非推奨となっている項目の2つを設定することにより、EdgeのProxy利用を強制します。一番下の「プロキシ設定」が非推奨になっていないので、この項目を設定するのが推奨なのでしょうが、どうパラメータを書けばいいのか分からなかったので、泣く泣く非推奨項目を利用しました。m(_ _)m MSの記述が不親切すぎて分からないので誰か教えてください
④-4.グループポリシーの適用
あとは同様にGPOをOUに適用していきます。今回はコンピュータオブジェクへ適用するGPOなので、コンピュータオブジェクが所属しているOUにリンクしてください。ちなみに今回のサンプルではDefaultgroupPolicyに設定を入れました。
通常クライアントPCでは以下のようにプロキシ設定について、ユーザ権限で確認・設定変更することができます。
本GPOを適用すると
こんな感じで制限が入り、ユーザでは設定変更できなくなります。
GPOの運用例
PC運用時の便利なGPO設定をいくつか紹介します。
USBデバイス利用の禁止(スマホも含む)する
[コンピュータの構成]-[ポリシー]-[管理テンプレート]-[システム]-[リムーバブル記憶領域へのアクセス]の項目のうち、
となっているところを
のように変更する。
【参考】GPOでのスマホの制御について
USBメモリだけを制御したいのなら、「リムーバブルディスク」に関連する項目だけでOKなのですが、実はこれだけだとPCにiphoneやアンドロイドスマホを接続してデータ読み書きできてしまいます。なぜならWindows上ではスマホは「リムーバブルディスク」ではなく、「WPD(Windows Portable Devices)」として認識されるからです。このため、スマホの接続利用も制限したいなら「WPDデバイス」も制限する必要があります。
※充電はできます。
PCの内蔵カメラやマイク機能利用を制限する
以下の設定項目のうち、カメラ、マイクに関する項目の状態を「有効」にする。
全PCのWindowsアップデートでWSUSを利用する
以下の設定項目のうち「イントラネットのMicrosoft更新サービスの場所を指定する」に関する項目の状態を「有効」にして、WSUSサーバのIPとポート番号を登録する。
参考にしたサイト
https://ittrip.xyz/soft/windows/gpo-usb
https://ittrip.xyz/soft/windows/gponetworkdrive
https://ittrip.xyz/active-directory/gpo-send-file
https://ittrip.xyz/active-directory/gpo-send-folder#
https://miyamon-se-exp.hatenablog.jp/entry/2016/10/03/015930
おわりに
AD設定・運用はデフォルト設定や一般的な設定がないに等しいので、利用している会社は独自のルールやGPOを作成していると思います。仕事で他社のAD設定を見ることがありますが異文化交流的な気分になります(笑)。
以前の記事で書きましたが「ADはその会社独自の設定運用があり、世間一般にノウハウが出回ってないので一子相伝の”北斗神拳”」なのです(`・ω・´)私も我流でやっているので、所々間違っているかもしれません。間違っていたら優しくご指摘ください。それでは良い情シスライフを!