pikesaku’s blog

個人的な勉強メモです。記載内容について一切の責任は持ちません。

グループポリシーについて

参考

Active Directory 最強の指南書 | 日経BOOKプラス

GPO

  • Group Policy Objectの略
  • ポリシーとGPP、フィルターで構成される。
  • ポリシーとGPPはどちらもレジストリを変更する。
  • GPOがリンクできる管理単位は、ドメイン・サイト・OU
  • グループ、コンテナにはリンクできず。
ポリシー
  • あらかじめ用意された定型の設定。有効、無効、未定義を設定する。未定義はなにもしない。有効、無効で管理対象の設定変更をする。
GPP
  • Group Policy Preferencesの略
  • 画面上の日本語表記はグループポリシー基本設定
  • ポリシーで対応できない設定を管理者が定義できる機能。
  • 後述のフィルタ機能を利用せずに、GPOのリンク先に対し、ターゲット設定により適用対象の絞り込みが可能。
フィルター
  • GPOのリンク先に対し、更に特定条件にマッチするコンピュータ、ユーザを絞って制御する場合に利用
  • 以下2種類あり。

 ①セキュリティフィルター。グループアカウントを指定して適用対象を限定できる。
 ②WMIフィルター。ソフトウェア、ハードウェアの構成情報をもとに適用対象を限定。スクリプトの記述が必要。例)win8.1パソコンのみ

ポリシーとGPPの違い

①強制力
  • ポリシーはグレーアウト表示になり、ユーザ変更不可。
  • GPPは変更可能。ただログオン時、再起動時に指定した設定に戻すことはできる。また、初回ログオン時、起動時のみ適用も選択できる。
②適用範囲
  • ポリシーはリンク先まで。ポリシーで細かく指定したい場合はOU分ける、もしくは、フィルターを使う。
  • GPPはIPアドレス、OS種類、バッテリー有無等のターゲットの指定が可能。
③設定方法
  • ポリシーは初期状態で設定内容が定型としてある。例えばリムーバルメディアへの書き込み禁止等。未構成として定義されてる。使いたい場合は有効、無効にする。
  • GPPは設定IFで定義が必要。
④復元性
  • ポリシーは有効、無効で設定後にリンクを解除すると設定は戻る。
  • GPPは戻らないため、戻したい場合は、戻すGPPを設定する必要あり。
  • ポリシーとGPPで動作が異なる理由は、設定管理の仕組みの違い。
  • ポリシーは専用領域のレジストリに定義されてるので、それを消せば戻る。
  • GPPは通常のレジストリをいじるので、戻らず。

GPOの管理ツール

  • グループポリシー管理とグループポリシー管理エディタがあり。
  • グループポリシー管理はGPO作成、管理、リンク。
  • グループポリシー管理エディタはポリシー、GPPの編集
  • グループポリシー管理では、GPO1個につき以下の階層がある。

 コンピュータの構成
  ポリシー
  基本設定
 ユーザの構成
  ポリシー
  基本設定

  • 上記の基本設定は、GPPを意味する。
  • コンピューターの構成とユーザの構成に同じポリシーやGPPがある場合もあり。
  • ユーザ向けポリシーを設定したGPOをコンピューターしかないOUに適用しても意味なし。

ポリシー・GPP適用の優先順位

リンク先は階層構造であり、上位階層で適用されたポリシー・GPPは下位に影響を与える。
  • 例)OU1配下にOU2があり、それぞれに異なるGPOがリンクされてる場合
基本的な考え
  • 競合するポリシー・GPPは優先度により上書き、競合しないのは継承
  • 優先順位は以下。下位の管理単位ほど優先度は高い

 ①下位ou
 ②上位ou
 ③ドメイン
 ④サイト
 ⑤ローカルポリシー

上書き、継承に例外あり。
  • 強制→上位階層で適用されたポリシー・GPPを下位で上書きさせない。
  • 継承のブロック→上位階層で適用されたポリシー・GPPを下位で継承しない。
  • 強制と継承のブロックが重複した場合は強制が優先される

GPPの特徴

  • ①強制力の調整が可能
  • ②ターゲット設定が柔軟

 OS種類、IPアドレス、バッテリー有無、コンピューター名、CPU速度

 ポリシーはデスクトップ関連少ない。GPPは例として以下が可能。
 アプリケーション設定、スクリプトファイル配布、ネットワークドライブ自動マウント、デスクトップへのショートカット追加、バッチのタスクへの登録

  • GPP利用時の留意事項はタトゥー効果
  • 無効にしても、設定は戻らない。明示的に戻すGPPが必要
  • ポリシーはローカルポリシーで動作確認できる。GPPはローカルでは設定できず、動作確認不可。
  • GPPの適用タイミングはポリシーと同じ
  • GPPは既定では設定粒度が大きい。例として、拡張子を表示する設定したい場合、GPPだとフォルダオプション設定全体を定義して適用することになる。
  • 設定画面において、各設定が緑の実線で表示されているが、これは制御対象であることを意味する。
  • 任意の設定を、赤の破線の表示にすれば「未構成」になる。
  • この変更をファンクションキーで可能。

 F5→現在のタブの全ての設定を緑の実線にする
 F6→現在選択されている設定を緑の実線にする
 F7→現在のタブの全ての設定を赤の破線にする
 F8→現在選択されている設定を赤の破線にする

  • GPPの既定は繰り返し設定。時間経過、ログオン時等に設定することで半強制は可能。]
  • アクションの種類は以下4つ選択可能。
No アクション 説明
1 作成 なければ作成
2 置換 あれば削除して作成
3 更新 なければ作成、あれば更新(置換のように削除しない)
4 削除 あれば削除

  

グループポリシー管理用テンプレート

  • ポリシーが定義されたファイル(拡張子がadmx or adm)
  • メコンが複数ある場合、デフォルトでは個別の定義ファイルを参照するため、ドメコン間の整合性の点で問題あり。
  • そのため、ドメコン間で共通のグループポリシー管理用テンプレートを参照させる必要あり。
  • この仕組みがセントラルストア
  • セントラルストアを構成するには、管理対象の最新PCの"C:\Windows\PolicyDefinitions"配下のデータを、ドメコンの"C:\Windows\SYSVOL\domain\policies"にコピーする。
  • SYSVOL配下はドメコン間で複製され、ドメコン間で共通のテンプレートを参照するようになる。
  • admはセントラルストアで使用不可。そのため、原則admxファイルを利用する。
  • admxファイル利用時は多言語対応のためのadmlファイルも必要
  • グループポリシー管理用テンプレートは、ビルトインの内容だけでなく、WebサイトよりMSが作成したテンプレートのインポートも可能。

 例) Redirecting

  • またgoogle提供の管理用テンプレート使えばchromeの制御も可能。

 例) 管理対象パソコンに Chrome ブラウザのポリシーを設定する - Chrome Enterprise and Education ヘルプ

GPO構成時の作業項目

①グループポリシー管理用テンプレ共有のためのセントラルストア作成
 管理用テンプレはポリシーがどのレジストリをどう設定するのかの情報を含むもの。
 初期設定では、各ドメコンが個別のテンプレ参照するので、セントラルストアを作る必要あり。
②OU作成し、ユーザとコンピュータをOUに配置
 ポリシーベース or 対象ベースで環境に合わせ設計
GPO作成
 必要なポリシーを探す際は、MSが公開している、グループポリシー設定リファレンス日本語版をみれば各ポリシーの設定パス、変更レジストリ内容が分かる。
 参考) Group Policy Settings Reference Spreadsheet のダウンロード先一覧 #Windows - Qiita
 グループポリシー管理エディタより、グループポリシー管理用テンプレートの一覧をエクスポートすることも可能。
 上記の管理用テンプレを探して意図したものがない場合、MSが公開しているOffice向けの管理用テンプレにあるか確認する。
 あれば、管理用テンプレに追加する。
 なければ、GPPでやる。
GPOをOU等にリンク

留意事項
  • 既定のGPOとしてdefault domain policyがあり、ドメイン全体にリンクされてる。
  • パスワード設定は、ポリシーだけでなく、net accounts設定でも可能だか、これで変更した場合、default domain policyが変更される。個別に優先されるGPO定義している場合、そちらが適用される点に注意。
  • コンピューター向け、ユーザ向けポリシーどちらを使うか?で検討する場合、コンピューター向けを選択すると、リモートで端末にドメイン管理者でログインする場合もGPOで制御される点に注意が必要。

GPO変更がクライアントに適用されるリードタイム

- 以下2点考慮が必要
①ドメコンで間のGPO情報の同期間隔。
 既定では同一サイト内60分
 サイト間180分
②クライアントがポリシー更新をチェックする間隔。
 既定では90分+30分以内のランダム

OU・GPO設計時のポイント

  • コンピュータ、ユーザアカウントは同列のOUに同時に所属できない。
  • 例)ノートPCとwin8のouを同列に定義できない。階層にする必要あり。
  • OUとGPOどちらを細分化するか検討する。
  • フィルタ、GPP使うことでOUの数を減らせる

トラブルシューティング

gpresultコマンド
  • 対象の端末において適用されているGPOを確認できる。
  • オプションで出力情報の詳細度合を指定できる。
  • /scope user、/score computerの指定が可能。
  • コンピュータに適用されたGPOを確認するには管理者権限が必要
gpupdateコマンド
  • GPO適用をクライアント側で手動で実行するコマンド
  • オプションなしの場合、変更のあったもののみ適用
  • /forceオプション指定で全てを適用
  • 通常トラシュー時は/forceオプションを利用する。
  • /forceオプション実行すると、適用に再起動や再ログインが必要なGPOがあった場合、通知してくれる。
適用されるGPOの優先順位・強制有無を確認する方法
  • GPOの管理の左ペインのリンク先OUを指定して、左ペインの"グループポリシーの継承"タブをクリックすると分かる。
有効なポリシーを確認する方法
  • グループポリシー管理エディタで「ポリシー」→「管理用テンプレート」→「すべての設定」をクリックすると、右ペインにポリシー一覧が出るので、そこで状態をソートすることで未構成以外のルールを確認できる。
  • ただし、この方法で確認できるのは「管理用テンプレート」のみ。「ポリシー」→「ソフトウェアの設定」や「Windowsの設定」は確認できない。
GPO毎にレポートを出力
特定のコンピューター、ユーザーを指定して適用されたGPOを確認する方法
  • GPOの管理より「グループポリシーの結果ウィザード」を起動して、ウィザードに従いコンピュータ、ユーザーを指定することで確認ができる。
適用前のシュミレーション
  • GPOを定義したら、実際にリンク先にGPOを適用する前に、リンク先にどのように適用される内容をレポート出力する。
  • レポートの結果は、シュミレーションであるため、実際には適用されていない。
  • GPOの管理より、リンク先のOUで右クリックして、「グループポリシーのモデル作成ウィザード」を起動しレポート出力が可能。

GPOでの制御例) ローカルグループに属するメンバーを指定

  • 例) ローカルのadministratorsグループのメンバーはシステム管理者のアカウントだけにしたい場合など。
  • ポリシーの『制限されたグループ』を使う。
  • このポリシーは2つの使い方がある。
  • ①制御したいローカルグループを指定して、次にメンバーを指定する場合

 ポリシー適用前の対象グループに登録されてたメンバーは消され、ポリシーで指定したメンバーで上書き
 上書きされても、administratorは必ずadministratorsのメンバーになる。

  • ②ユーザーを先に指定して、次に制御したい指定する場合

 既存メンバーは残り、指定したメンバーが追加される

  • 『制限されたグループ』を使う場合、ドメインにリンクすると、ドメコンも制御されてしまう点に注意が必要。

GPOでの制御例) ローカルディスクにデータを保存させないための制御

  • ドライブをマイコンピューターから参照できなくする
  • 上記だけだとデスクトップに保存できるので、デスクトップをファイルサーバーにリダイレクトさせる設定する
  • サーバー側の共有フォルダ設定でオフライン利用を禁止する。既定は禁止でないため、ローカルにキャッシュとして保存されてしまう

GPOでの制御例) ソフトウェア配布、インストール

  • 他の有償ツールと比較し、msi形式しか対応してない、配布時の帯域制御ができないなどの制限がある。
  • グループポリシーは共有フォルダを使ってファイルを送る。SMBは帯域制限ができない。有償ツールは、他のプロトコルを使う。
  • そのため、msiである、かつ小さいファイルである必要あり。
  • msiファイルだけでなく、cabファイルも必要。cabファイルは圧縮ファイルでインストールに必要ファイルが格納されている。
  • ファイルのパスはunc形式で指定する必要あり。ネットワーク経由で使えるパスである必要あり。C:\XXX等のファイルパスではだめ。
  • 配布ソフトの言語設定とOSの設定が異なる場合、ポリシーで、言語の違いを無視するオプションを指定する必要あり。
  • グループポリシーでのソフトウェアインストールは再起動必要なため、リンクした後、クライアントでgpupdateを実行すると次回ログイン時に適用される旨のメッセージが表示される。

GPOでの制御例) プリンタ設定

  • まずドライバを配る必要あり。そのために、ファイルサーバーでプリンタドライバインストールし、共有設定をする。
  • ファイルサーバーで印刷できなくてもOK。また他のクライアントから共有プリンタとして見えないように共有設定では、パス最後に$を付けて隠し共有にする。
  • ユーザーの構成と、コンピューターの構成どちらにもGPPはあるが、通常使うプリンタを設定する場合は、ユーザの構成を使う必要あり。
  • 後から設定したものほど通常使うプリンタになる。
  • アクションの置換の注意事項は、削除→作成である点。削除されるため、両面印刷などのプリンタ設定がデフォに戻る点に注意。

他関連メモ

  • ADのサイト内はリアルタイム複製、サイト間は定期複製
  • ADアカウントの種類

 コンピューター、ユーザー、グループ

  • コンテナは新規作成アカウントが直後に確認される場所。

 フォルダのようなもので、OU等と異なり新規作成不可。
 GPOリンクもできず。
 中にOU作れず。
 新規作成ユーザアカウントはusers、コンピュータアカウントはcomputersのコンテナに入る

  • コンテナにあるのはGPO未適用として管理できる。そこから適切なouに移動して使う
  • 自動メンテナンスは、コンピューター未使用時にバックグラウンドで各種システム診断を実行する機能。WinUpdateのGPO設定の選択肢で、適用タイミングとして、自動メンテナンスを指定できる。
グループ
  • 種類とスコープの設定が必要。
  • 種類は、セキュリティと配布。セキュリティはアクセス権指定で使う。
  • スコープは3種あり。

 ①ドメイン・ローカル・グループ
 ②グローバルグループ
 ③ユニバーサルグループ

  • ①はサーバーやプリンターに対するアクセス権を付与する対象として利用される。ドメイン内でのみ利用可能。
  • ②③はユーザーを束ねるだけ。
  • なので、①のグループに、②③のグループをメンバーに指定したりして使う。
  • ②③の違いは、③は複数のドメインにまたがるユーザを束ねる場合に利用できる。