グループポリシーオブジェクト(GPO)を数百台または数千台の対象コンピュータに適用する場合、すべてのコンピュータがそれを受信するまでには時間がかかるでしょう。コンピュータが新しいポリシーを受信したり、更新されたポリシー設定を取得したりしたかどうかをどのように知ることができるでしょうか?それにはRSOPツールを使用します。
RSOPツールまたは結果セットポリシーは、内蔵のWindowsツールであり、ローカルおよびリモートコンピュータに適用されているポリシー設定を確認することができます。PCにどのような設定がGPOによって行われているか知りたい場合は、以下をお読みください。
それでは始めましょう。
前提条件
このチュートリアルでは、いくつかのデモを実行します。一緒に進める場合は、以下のものを準備してください:
- Active Directoryドメイン – 任意のバージョンのADが動作します。このチュートリアルでは、HomeLab.Localというドメインを使用します。
- A domain-joined Windows PC with at least one GPO applied to it to test local GPOs. This tutorial will use a PC called Win10VM1.
- A second domain-joined Windows PC if you want to run RSOP remotely. This tutorial will use a PC called Win10VM3.
- TCPポート445、135、RPCダイナミックポート、およびWMIのすべてのポートがリモートコンピューターで開いています。すべてのポートが開いていることを確認するために、グループポリシーレポートファイアウォールポートというスターターGPOを作成できます。
- ローカルPCとリモートPCの両方でローカル管理者権限が必要です。
- A GPO with an AD group configured with deny permissions. DeniedGPOUsers AD group with no users added to it and deny permissions will be used in this tutorial.
RSOPツールとは何ですか?
Active DirectoryでコンピューターにGPOを割り当てると、そのコンピューターはドメインコントローラーにアクセスし、定義されたGPO更新間隔に基づいて、すぐにそのGPOを見つけてそのGPOが定義する設定を適用しようとします。
コンピュータがGPO設定を適用すると、それらのポリシー設定はCommon Information Management Object Model (CIMOM)データベースにWindows Management Instrumentation (WMI)を使用してコンピュータに保存されます。これらの適用された設定を確認するには、RSOPツールを実行します。RSOPツールは、PC上のユーザーおよびコンピュータに適用(または計画中)されているポリシーに関するレポートを生成します。
RSOPは、複数の競合するポリシーがある場合のトラブルシューティングに非常に役立ちます。RSOPを使用して、どのGPOが優先して別のGPOをオーバーライドしたかを確認できます。
Modes
RSOPには、GPOがターゲットコンピュータにどのように影響するかを確認するのに役立つ2つの異なるモードがあります。ログ記録モードと計画モードです。
- ログ記録モード – RSOPの最も一般的な使用法で、すべてのログオンユーザーおよびコンピュータ自体に適用されたすべてのポリシーに関するレポートを生成するために使用されます。
- 計画モード – RSOPのあまり一般的でない使用法で、1つまたは複数のGPOがそれらに適用された場合にコンピュータに適用される設定をシミュレートすることができます。たとえば、ユーザーが異なるADグループに移動した場合など。
RSOPを使用してローカルに適用されたGPOを検査
さあ、RSOPの実演を始めましょう。まず最初に、RSOPツールを起動する方法と、どのような情報が表示されるかについて説明します。
ローカルのドメインに参加したWindows PCで、管理者としてコマンドプロンプトまたはPowerShellウィンドウを開きます。
コマンドプロンプトまたはPowerShellを管理者として実行しない場合、RSOPはコンピュータの設定にアクセスできません(ログインしているユーザーの設定のみ)。 RSOPを実行すると、アクセス権が不足していることを示すエラーが表示されます。
次に、rsop.mscコマンドを実行します。この操作により、RSOP MMCスナップインが起動されます。
RSOPを起動すると、適用されているすべてのポリシーを読み取り、レポートを生成します。 RSOPは、ログモードにデフォルトで設定されています。以下に、ユーザーがLabAdminとしてログインしているWIN10VM1というコンピューターでRSOPを実行した結果が表示されます。
各フォルダを展開すると、その特定のユーザーまたはコンピューターに適用されているすべてのGPOにわたる設定が表示されます。
最近作成されたGPOの期待される設定が表示されない場合は、PCでgpupdate /forceコマンドを実行してポリシー設定を手動で更新します。
例えば、以下には、PC上のローカルポリシーと呼ばれるHostName.batがユーザーログオンに割り当てられています。ポリシーの内部には、HostName.batというバッチファイルがあり、ユーザー設定—>Windows設定—>スクリプト—>ログオンの下にあります。
ローカルポリシーが構成されたコンピューターでRSOPを実行すると、適用されたログオンスクリプトとその適用したポリシー名が表示されます。
RSOPのプランニングモードでポリシーの変更をテストする
多くのコンピューターに重要なGPOを展開する準備ができているかもしれません。このような場合、すぐにすべてのコンピューターに適用して本番環境でテストするか、RSOPのプランニングモードを使用することができます。
プランニングモードを使用すると、次のような場合に、コンピューターにGPOを適用した場合の多くの異なるシナリオをシミュレートできます:
- 対象のPCが遅いネットワーク接続を持っている
- ループバック処理が有効になっている
- 対象のPCに多くのGPOが適用されていてポリシーの優先順位をテストする
- A user logs onto the target PC or the computer account is in different AD groups and an AD group is denied permission to the GPO.
- A user or computer is moved between domains, OUs or even AD sites.
- A WMI filter is applied to an OU
プランニングモードを使用すると、GPOが投げかけるすべての条件変数を考慮するのに役立ちます。
プランニングモードでRSOPを実行するには:
1. コマンド プロンプトまたは昇格された PowerShell コンソールを開き、mmc と入力します。これにより MMC コンソール が開きます。
このインスタンスでは rsop.msc を単に実行することはできません。RSOP モードを変更する唯一の方法は、MMC スナップインを追加するときです。
2. MMC コンソールで、[ファイル] メニューを開き、[スナップインの追加/削除] をクリックします。
3. 追加または削除 スナップイン ダイアログ ボックスで、ポリシーの実行結果 を選択し、[追加] をクリックして、スナップインを左ウィンドウから右ウィンドウに移動します。
4. 次に、ポリシーの実行結果 MMC スナップインを右クリックし、以下に示すように [ポリシーの実行結果データの生成] をクリックし、[次へ] をクリックして導入手順をスキップします。
5. モードの選択 画面で、計画 モードを選択し、[次へ] をクリックして コンピューターの選択 画面に移動します。
6. 次に、ユーザー情報 の下の [参照] をクリックして、今後の GPO に影響を受ける可能性のあるユーザーを選択します。また、コンテナ の下の [参照] をクリックし、このユーザーがログインする可能性のある PC を含む OU を選択します。
以下のスクリーンショットには、ユーザーHOMELAB\User01がデスクトップVMOUのいずれかのコンピュータにログインした場合に受け取る設定がすべてシミュレーションされます。
7. さらにいくつかの状況をシミュレートするオプションを選択します:
- グループポリシーの遅いリンク検出
- ループバック処理– 置換またはマージを選択すると、競合が発生した場合にユーザーポリシー設定とコンピューターポリシー設定が置換される/マージされます。
- サイト–ログインしているデスクトップのADサイトをシミュレートします。
完了したら、次へをクリックします。
8. ユーザーまたはコンピューターが含まれるOUにGPOを直接適用する予定がない場合は、参照をクリックしてオブジェクトのOUを変更します。完了したら、次へをクリックします。
ステップ6では、ユーザーとターゲットコンピューターが配置されるOUを定義しました。ここでは、GPOを適用するOUを定義しています。
9. 今、ユーザーが所属するADグループを入力します。このチュートリアルでは、ユーザーはDeniedGPOUsersグループに所属します。
以下に示すように、DeniedGPOUsersグループはこのGPOの適用が拒否されています。
10. 次に、このチュートリアルでは、WMIフィルタとコンピューターグループを定義するための画面をステップごとに進んでください。ただし、GPOにWMIフィルタを設定する予定がある場合、またはコンピューターアカウントが含まれているADグループによってGPOの適用が拒否されたり許可されたりする場合は、これらのシミュレーションを行っても構いません。
11. 最後に、概要画面ですべての詳細を確認してください。拡張エラー情報を収集する オプションを有効にしたまま、次へをクリックしてください。拡張エラー情報オプションを有効にすると、RSOPスナップインはクエリを実行する際により多くのエラー情報を収集します。このエラーメッセージには、ポリシーが実装される際に影響を与えるネットワークまたはADの問題が含まれます。このオプションを有効にすると、シミュレーションの処理時間が大幅に増加する場合がありますが、エラーが発生した場合により詳細な情報が提供されます。
RSOPコンソールが生成されたら、コンピューター構成またはユーザー構成ノードを右クリックし、プロパティをクリックします。その後、エラー情報タブをクリックして、ポリシーのシミュレーション中に生成されたエラーを表示します。
12. RSOPが完了したら、コンピューター構成およびユーザー構成の下のフォルダーをナビゲートして、適用されているポリシーを確認してください。
下に2つのウィンドウが表示されます。左側には実際に適用されたGPO(ログ記録モードのRSOP)、右側にはユーザーがDeniedGPOUsers ADグループから削除された場合のRSOPの表示が表示されます。
RSOPを使用してリモートで適用されたGPOを検査します
各コンピュータのローカルコンソールに移動する手間を省くために、RSOPはログ記録モードと計画モードの両方で設定をリモートで検査できるようにします。このデモでは、ログ記録モードを使用します。
1. 上記のRSOPの計画モードでポリシー変更をテストするセクションの手順1から4を実行して、RSOPを開きます。
2. モード選択画面で、ログ記録モードを選択し、次に進んでコンピュータ選択画面に移動します。
3. コンピュータ選択画面で、リモートコンピュータをクエリするため、別のコンピュータを選択し、参照をクリックします。。
4. コンピュータを選択するボックスで、リモートPC名を入力し、名前を確認をクリックします。この操作により、コンピュータのADコンピュータアカウントが検索されます。見つかれば、PC名が下線付きで表示されます。
5. 次へをクリックしてコンピュータ選択画面に進みます。ここで、選択したコンピュータのポリシー設定を結果に表示しない…を選択できますが、コンピュータおよびユーザーの設定の両方を検査する予定です。
6. 次に、適用されたユーザーポリシーを検査したいユーザーを選択します。リモートコンピュータに少なくとも一度ログインしたユーザーのリストが表示されます。
リストからユーザーを選択して次へをクリックします。
現在のユーザーオプションがグレー表示されていることに注意してください。RSOPはリモートでログインしているユーザーを見つけることをサポートしていません。明示的に1人選択する必要があります。
7. 拡張エラー情報を収集するのチェックを外します。次へをクリックして続行します。RSOPは今、リモートコンピュータに接続し、選択したユーザーとコンピュータのすべてのRSOP設定を取得しようとします。
8. 完了したら、完了をクリックします。
9. 今度は、ローカル設定を検査するときとまったく同じMMCスナップインが表示されます。ただし、今回はリモートPCからの設定です。
結論
RSOPツールは、コンピュータまたはユーザーに対して適用されるすべてのGPO設定を迅速に見つける必要がある場合に便利です。このツールを使用すると、特定のコンピュータまたはユーザーを対象にしたGPOの設定だけでなく、適用された設定も表示できます。
将来、どのような場面でRSOPを使用する予定ですか?