グループポリシー。ほとんどのWindows管理者が知っているサービスです。しかし、グループポリシーとは何でしょうか?グループポリシーは、数千のActive Directory(AD)ドメインに参加しているコンピュータに設定やソフトウェアのインストール、スクリプトの実行などを適用するための一般的な方法です。
グループポリシーの機能を拡張し、細かいパスワードポリシーの管理を簡素化します。Specops Password Policyを使用して、辞書やパスフレーズの設定をGPOレベル、グループ、ユーザー、コンピュータに対して設定できます。 無料でお試しください!
グループポリシーにはさまざまなサービスやワークフローが含まれています。ほとんどの管理者は、その内部でどのように機能しているかさえ知りません!この記事では、それを変えることを目指しています。
グループポリシーとは何かを知り、その動作原理を学びたい場合は、引き続きご覧ください。隅々まで探求します!
グループポリシーオブジェクト(GPO)とは何ですか?
GPOはグループポリシーの要点です。GPOは、ドメインに参加しているコンピュータで実行するさまざまな設定を含む個々のポリシーです。
Windows 10/2019サーバーでは、Windowsの関連するすべての側面をカバーする5000以上の設定があります。さらに、特定のアプリケーションのためにさらに多くの設定をインポートすることもできます:Office、Microsoft Edge、Google Chrome、LAPS-Eなどがあります。また、独自の設定も作成できます。
GPOを単純に1つのポリシーと考えてください。ログオンスクリプトの設定、ユーザーのデスクトップの変更、ソフトウェアのインストールなど、さまざまなタスクを実行するための指示が含まれるマニフェストです。
Active Directoryは、ドメインコントローラー(DC)間でレプリケートされるActive DirectoryデータベースにGPOを格納します。
GPOには、コンピューター用の設定とユーザー用の設定の2つの「カテゴリ」があります。これらの「カテゴリ」は、GPO内の設定がコンピューターに適用される方法を定義します。たとえば、ユーザーの背景を変更する必要がある場合、それはユーザー設定です。システム全体のソフトウェアをインストールする必要がある場合は、コンピューターの設定です。
GPOを作成したら、OU内の一連のコンピューターまたはユーザーにそのGPOを対象とします。コンピューターは定期的に新しいGPOを探し、それらの設定を適用します(後で詳しく説明します)。
グループポリシーテンプレートとは何ですか
GPOがグループポリシーの主要なコンポーネントであるならば、グループポリシーテンプレート(GPT)は次に重要な概念です。GPTはGPOと密接に関連しています。
Active Directoryは、ファイル共有である SYSOLにGPOを保存します。GPTには、レジストリ設定、セキュリティファイル、アプリケーション、スクリプトとインストーラ、ショートカット、XMLファイル、グラフィックファイルなどが含まれます。設定によっては、対応するGPOで定義した種類の設定に応じて、さまざまなファイルが含まれます。
GPMCを使用したグループポリシーの管理
グループポリシーは、グループポリシー管理コンソール(GPMC)を介して制御されます。このコンソールは、すべてのドメインコントローラにインストールされ、リモートサーバ管理ツールキット(RSAT)の一部として提供されます。GPMCは、プライマリドメインコントローラエミュレータ(PDCe)の役割を持つドメインコントローラに接続して、グループポリシーの変更を行います。
GPMC内では、Active Directoryの組織単位(OU)、Active Directoryサイトなどに対して、グループポリシーオブジェクト(GPO)を作成および割り当てることができます。
グループポリシーのレプリケーションの仕組み
前述のように、GPOとGPTはADの一部です。そのため、通常のActive Directoryのレプリケーションプロセスの一部です。
A specific workflow kicks off when you create/update a new GPO and target it to an Active Directory OU.
- GPMCを介してGPOが変更されると、GPMCはPDCe DCに接続します。
- その後、GPMCはActive Directoryデータベース内でGPOを作成または変更し、SYSVOL内のGPTを作成/更新します。
- 変更後、ADレプリケーションが引き継ぎ、ADレプリケーションスケジュールに従ってGPOとGPTを他のDCにレプリケートします。レプリケーションには、ローカルのDCとPDCEが同じサイトにある場合は通常5分程度、異なるサイトにある場合はそれ以上の時間がかかります。
DCはGPMCを使用してGPTをSYSVOLに作成した後も、別のレプリケーションメカニズムである「DFS-R」という別のレプリケーションメカニズムを介してSYSVOLのGPTをレプリケートします。SYSVOLのレプリケーションスケジュールは、ADデータベースのレプリケーションスケジュールと同じです。GPの両コンポーネントは、ローカルのDCにほぼ同時に到着するはずです。
GPOの適用方法
したがって、GPMCはGPO/GPTを作成し、それらがAD環境のすべてのDCにレプリケートされました。では、次はどうなるのでしょうか? ここで、クライアントは新しい/変更されたポリシーをDCからチェックする役割があります。
クライアントは、定義された グループポリシーの更新間隔に従います。 これは、DC での変更を定期的にチェックする間隔です。 デフォルトでは、更新間隔は90分に設定され、0分から30分までのランダムなオフセットが追加されます。
ポリシーが DC を対象にする場合、デフォルトの更新間隔はわずか5分です。
更新間隔が経過すると、クライアント上のグループポリシークライアントサービスは、新しいポリシーまたは変更されたポリシーがあるかどうかを DC に確認します。見つかった場合、これらのポリシーをダウンロードし、クライアントコンピュータ上で指示を実行します。
グループポリシークライアントサービスは、新しい設定をすぐに適用しない場合があります。次回のログオン時、リダイレクトされたフォルダ、次回の再起動後など、一部の設定はすぐに適用できません。
変更がない場合でも、以前に適用されたグループポリシーがあります。セキュリティ設定が良い例であり、コンピュータの起動時および16時間ごとに再適用されます(コンピュータがその間再起動されていない場合)。これは重要です:特定のセキュリティ設定に変更が加えられた場合、次回の更新時にそれらが復元されます(Windows ファイアウォールの開いたファイアウォールポートや、ローカルコンピュータの制限されたグループに追加されたメンバーなどを考えてください)。
他の設定は、GPが変更されていなくても再適用されるように構成できます。特定のタイプの設定の動作をレジストリまたはGPを介して制御することができます。
Active Directoryでの動的なエンドユーザーフィードバックを使用して、コンプライアンス要件を強制し、30億以上の侵害されたパスワードをブロックし、ユーザーが強力なパスワードを作成するのに役立ちます。 Specops Password Policyについて今すぐお問い合わせください!
結論
「Group Policyとは何か?」と自問したことがある場合、このチュートリアルがその質問に答えることができたことを願っています。Group Policyは長い間存在しており、今もなお数千の組織で使用されています。Windowsコンピュータ環境全体に変更を適用する必要がある多くの人々にとっては必須のツールです。
1つ、10個、または1,000個のドメイン参加コンピュータで変更を行う必要がある場合、Group Policyが何であるかを理解してください。