Active Directoryを使用しているITプロであれば、Group Policyを使用して、Group Policy Objects(GPO)を使用してユーザーのコンピューターとエンタープライズサーバーのWindows環境を構成できます。ただし、直感的で安全な環境に到達するのは難しいです。この記事では、GPOの作成方法やリンク、削除、無効化方法について説明します。終了時には、Group Policyの素晴らしく複雑な世界の微妙なニュアンスをよりよく理解できるはずです。
GPOの操作
GPOを操作する方法は2つあります。ローカルコンピューターでポリシーを調整するためにローカルグループポリシーエディターを使用するか、エンタープライズ環境で作業するためにGroup Policy Management Console(GPMC)を使用するかです。ローカルポリシーが最初に処理されるため(ドメインポリシーの前)、堅牢な環境を維持し設計するために、この記事ではエンタープライズシナリオに焦点を当てます。
Group Policy RSATツールのインストール
グループ ポリシー管理コンソールは、伝統的なリモート サーバー管理ツール(RSAT)ツールセットの一部です。これは、WindowsのモダンなWindows設定アプリと共にインストールされるMMCベース(Microsoft Management Console)のツールです。次に、インストール方法を示します。
ドメイン コントローラー(DC)では、グループ ポリシー設定は「SYSVOL」共有フォルダに保存され、ドメイン内のすべての他のDCにレプリケートされます(およびフォレスト、そのように設定されている場合)。これは、グループ ポリシー インフラストラクチャの組み込み冗長性を説明しています。
Group Policy Management Console ツールをインストールする方法を示すために、Hyper-V ラボを使用して、Windows Server 2022 Active Directory ドメインを実行しています。Windows 10 バージョン 22H2 ワークステーションにログインしていますので、始めましょう:
- まず、スタート ボタンをクリックして、「optional」と入力します。
- 「オプションの機能を管理」をクリックし、上部の「+ 機能を追加」ボタンをクリックします。
- 下にスクロールして、「RSAT: Group Policy Management Tools」にチェックマークを入れ、インストール をクリックします。
- それが完了したら、スタート をクリックして、「Windows 管理ツール」を開きます。
- 「Group Policy Management」をダブルクリックします。
これで、Group Policy Management コンソールが表示されます。ここでは、Group Policy がどのように配置され、組織内の特定の論理エンティティをどのようにターゲットにできるかが紹介されます。
この時点で、IT プロは、セキュリティおよびコンプライアンスチームとの協議を経て、以下のいずれかを行うことができます:
- 既存の Group Policy オブジェクト (GPO) を変更する
- 新しい GPO を作成する
- 特定の GPO のフィルタリングをグループレベルで変更する
- WMIフィルタリングを使用して特定のコンピュータをターゲットにします。
グループポリシーのモデリングと結果を使用して、「テスト」または「What-If」シナリオを実行します。
GPOを作成
次に、新しいGPOの作成を開始します。
- まず、’ドメインWindowsコンピュータ’を右クリックし、「このドメインでGPOを作成し、ここにリンクする…」をクリックします。
- I will name it ‘Start Menu Cleanup‘ and click OK.
- 次に、新しいGPOを右クリックし、「編集」をクリックします。
- コンピュータの構成 -> ポリシー -> 管理用テンプレート -> スタートメニューとタスクバーに移動します。
- ここで、「シャットダウン、再起動、スリープ、および休止をアクセスできないようにする」をダブルクリックします。
- ヘルプを読んだ後、有効に切り替えてOKをクリックします。
今、注意してください。この設定は環境で有効になっています。そのOU内のすべてのコンピュータオブジェクトは、次の更新時にこれらの設定を見ることになります。デフォルトでは、ドメインのコンピュータとサーバは、30分のランダムオフセット付きで90分ごとにグループポリシーを処理します。しかし、テスト(およびトラブルシューティング)時には、gpresultコマンドが役立ちます。
また、お気に入りのターミナル/シェルで以下のgpupdateコマンドを実行してコンピュータを強制的にグループポリシーを更新することもできます。これにより、コンピュータとログインユーザのすべてのグループポリシー変更が処理されます。’/force’スイッチは承認を要求せずに変更を強制します。
gpupdate /force
OK、変更はすでに処理されました。では、スタートボタンを右クリックしてシャットダウンまたはサインアウトメニューに移動しましょう…うまくいきました!削除するように設定したアイテムは非表示になっています。
このかなりシンプルな変更により、ユーザーがコンピューターを再起動またはシャットダウンできなくなります。明らかに、このような設定には多くの変数や使用ケースがあります。これはいくつかの状況では理想的であり、他の状況では苦痛です。これは、組織に最適な方法を決定するためにITプロとして経験するバランスです。
GPOをリンクする
既存のGPOをActive Directory内の特定の場所にリンクする方法をご紹介します。以前の生活で、’ドメインコントローラーセキュリティロックダウン’という名前のGPOを作成しました。このGPOの設定には、弊社のガイドラインに従ったドメインコントローラーのセキュリティコンプライアンス基準が含まれています。これらの新しい設定を簡単に私のドメイン – reinders.localのDCにリンクできます。
- まず、右クリックしてドメインコントローラーOUを選択し、既存のGPOをリンクします。
- 次に、リストからドメインコントローラーセキュリティロックダウンを選択してOKをクリックします。
これでGPOがドメインコントローラーにリンクされたことがわかります。次回、DCがグループポリシーの更新を確認する際に、そのGPOの設定が処理されます。これが持つ中央制御の美しさです。一度設定のグループを作成し、簡単に環境内のコンテナに展開(リンク)します。完了です!
既存のGPOを変更する
私たちのドメイン – reinders.local – を見て、何があるか見てみましょう。
この実験室はかなり基本的で、ほとんど原始的です。大規模な企業では、単一のドメインに何百、何千ものGPOが存在することは珍しくありません。一部のGPOの継承の複雑さ、特定のオペレーティングシステムをターゲットにするためにWMIを使用すること、ローカルのGPO、子OU、そしてローカルポリシーを含む混合の取り扱いは、非常に困難なことです。
ちなみに、ドメイン内のGPOの数が多くなると、コンピューターの起動時やユーザーのログイン時に全体的なパフォーマンスにペナルティが生じることがあります。これはおそらく今日の最大の議論点です:管理しやすさのためにたくさんのGPOを作成し、それぞれに1つの設定のみを含めるのですか?それとも、処理時間を短縮するために方針の変更を含む少数のGPOを作成するのですか?これは別の記事になる可能性があります!
GPOの範囲
I previously installed Windows Server Update Services (WSUS) – there’s my GPO for the setup – ‘WSUS_Config_01’. If I click on it, you’ll see the scope defined.
場所はドメインのルート(reinders.local)にあります。これは、デフォルトでドメイン内のすべてのコンピューターやサーバーオブジェクトがこのGPOを見て実装することを意味します。再び、特定のユーザー、コンピューター、OU、セキュリティグループをフィルタリングする方法があります。後述します。
ここでは、セキュリティフィルタリングセクションに認証ユーザーグループが表示されます。これはほぼ「Everyone」と言っているようなものです:ドメインに認証されたアカウントはすべてこのGPOを見ることができます。
WMIフィルタリング
WMIフィルタリング設定は、特定のSKUをターゲットにすることができる場所です。たとえば、特定のWSUSインストールをWindows 10バージョン21H2および22H2コンピューターにのみ適用することができます。
GPOの編集
GPOの編集方法をお見せしましょう。
- まず、変更したいGPOを右クリックして、「編集…」をクリックします。
- A new window will open showing you the logical layout – Computer Configuration and User Configuration trees.
- WSUS設定を見つけるには、コンピューターの構成 -> ポリシー -> 管理用テンプレート -> Windowsコンポーネント -> Windows Updateを展開します。
- ここでは、「有効」または「構成済み」の2つの設定があることがわかります。 自動更新の構成を開いてみましょう。
これは少し複雑な設定ですが、要点はここにWindowsアップデートがドメインに適用される方法の設定です。かなり詳細ですね。ただし、重要なのは、すべてのコンピューター(またはサブセット)をここで中央集権的に管理できるという点です。
ここには、GPO(グループ ポリシー オブジェクト)がコンピューターの設定を「ロックダウン」する方法の例があります。下部でチェックされている「他のMicrosoft製品の更新をインストールする」オプションに気づきましたか?このワークステーションで Windows Update -> 詳細オプション をチェックすると、最初の設定である「Windowsの更新時に他のMicrosoft製品の更新を受信する」がグループ ポリシーによって制御されるようになっています。 これは オン にマークされ、グレーアウトされています。
これが上部にある「一部の設定はお使いの組織によって管理されています」という言葉が意味することです。技術的には、これはいくつかのグループ ポリシーがこのコンピューターに適用されており、その設定を調整することができないことを示しています。
デフォルトのGPOの管理
新しいドメインが作成されると、2つのGPO(「デフォルトドメインポリシー」と「デフォルトドメインコントローラーポリシー」)が作成されます。最低限、これらはドメインのパスワードポリシー、アカウントロックアウトポリシー、Kerberosポリシー、基本的なセキュリティオプション、およびその他のネットワークセキュリティオプションを指示します。
数十年にわたり、ITプロとして、これらの2つのポリシーを変更すべきではないと強く主張されてきました。代わりに新しいGPOを作成すべきです。これにはいくつかの理由がありますが、最も基本的な理由は、ドメインのトラブルシューティング時に、このデフォルトの設定が変更されていないことを把握できるという点だと考えています。
これは、私がこれまで何年もMicrosoftテクニカルサポートと一緒にActive Directory/Group Policyの問題に取り組んできた際に、彼らが最初によく尋ねる質問でした。彼らはそれらの中核設定を知っており、その基本ラインが正確であることを確認するために、海の底からそこから始める必要があります。
ですので、デフォルトのGPOを管理する方法についても私の推奨は同じです – しないでください!
GPOを無効にする
将来のコンピュータに適用される設定を無効にし、GPOを無効にしたい場合は、GPOを右クリックしてリンクを有効にするをクリックするだけです。それによりリンクが削除され、GPOが「休眠」状態に設定されます。
GPOを削除する
クリーンアップやトラブルシューティングを行っている場合、GPOを削除するには、それを右クリックして削除をクリックします。徹底的かつ効率的に行うために、ツリー内のGroup Policy Objectsビューに移動してそこから削除することをお勧めします。
結論
Group Policyの実装は、最初は見かけほど簡単ではありません…。Group Policy Objectsインフラストラクチャを構築するのはかなり簡単です。特定のコンピュータのOfficeインストールが自動更新され、他のコンピュータはユーザーにプロンプトが表示される理由を確認し、検証し、後でトラブルシューティングする…それが楽しみの始まりです。
全体として、物語の教訓は非常に単純です:テスト、テスト、テスト!初めにできるだけ多くの検証と遵守を行うほど、環境はより効率的でスムーズになります。トラブルシューティングや新しいポリシーの有効化が容易になります。
質問がある場合は、以下にコメントを残してください!