チュートリアル:WindowsServerのグループポリシーの喜び

マイクロソフトが約17年前にWindowsServer 2000とともにグループポリシーオブジェクト(GPO)を導入したとき、それらはユーザーとシステムのアクセス許可を管理するための刺激的な新しいアプローチでした。今日、これらは単に管理用の木工の一部であり、その結果、一部のIT管理者は、これらの設定がどれほど強力であり、いつ問題を解決するために使用できるかを忘れています。

Windows Server 2016がこの秋後半にリリースされると、それらの非常に便利なGPOが保持され、Windows Server2016およびWindows10に固有のいくつかの設定が追加されることを除いて変更されません。壊れていない場合...

グループポリシー管理コンソールツールはActiveDirectoryと共にインストールされますが、グループポリシーが実際に機能するには、Active Directoryドメインサービス(ADFS)が必要です。サーバーまたはワークステーションを制御するには、それらをドメインに接続(別名「参加」)する必要があります。ローカルポリシーは、個々の(ドメインに参加していない)PC用に構成できますが、グループポリシーを実装して複数のシステムとユーザーを一度に制御するというコアバリューを利用しない、1回限りのシナリオです。

GPOには、何千もの潜在的な構成設定とオプションがあります。設定への道を見つける最も簡単な方法は、図1に示すように、グループポリシー管理コンソール(GPMC)ツールでその場所のパスを特定することです。場所のパスには、探している設定へのフルパスが表示されます。複数のフォルダに埋め込まれているファイルを探すのと同じ方法です。

グループポリシーの3つの使用法は、初心者の管理者と、グループポリシーを当然のことと考え、新しいニーズにそれらを使用する方法を探すのをやめた経験豊富な管理者の両方にとって良い出発点になります。(さらに深く掘り下げる準備ができたら、Microsoftは、グループポリシーの複雑さを理解するための優れた詳細なチュートリアルを用意しています。)

GPOの例1:パスワードの複雑さを強制する

ドメイン内のすべてのユーザーに適用されるパスワード複雑性ポリシーを作成するには、次の手順を実行します。

  1. グループポリシー管理コンソールを開きます。
  2. ドメインコンテナを展開し、ドメイン名を選択します。
  3. ドメイン名を右クリックして、[このドメインにGPOを作成し、ここにリンクする]オプションを選択します。
  4. 新しいGPOに名前(たとえば、パスワードの複雑さのポリシー)を付けて、[OK]をクリックします。
  5. ポリシーがドメインに表示されたら、ポリシーを右クリックして[編集]を選択します。これにより、グループポリシー管理エディター(GPME)が開きます。
  6. 図2に示すように、GPMEのロケーションパスにドリルダウンしますGPO_name\Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Password Policy
  7. 図3に示すように、[パスワードは複雑さの要件を満たす必要があります]オプションを右クリックし、[プロパティ]をクリックします。
  8. [このポリシー設定を定義する]チェックボックスをオンにし、[有効]をオンにして、[OK]をクリックします。注:この設定の機能の詳細については、[説明]タブをクリックすることもできます。

もちろん、このGPOに含めることができる他の設定があります。たとえば、複雑さの要件を有効にして、パスワードの最小長をたとえば8文字に設定できます。

GPOの例2:USBドライブを無効にする

USBデバイスを無効にするなど、一部のポリシーは状況に応じて(組織単位、別名OUに)適用する必要があります。たとえば、ラップトップでUSBアクセスを必要とするロードウォリアーがいて、社内PCのUSBポートをロックダウンしたい場合があります。

このような状況ポリシーを作成する方法は次のとおりです。

  1. グループポリシー管理コンソールで、ドメイン名を展開し、グループポリシーオブジェクトコンテナーを探します。通常、そのコンテナーには2つのデフォルトポリシー(デフォルトドメインコントローラーとデフォルトドメインポリシー)がありますが、パスワード複雑性ポリシーを構成している場合は、それも表示されます。
  2. [グループポリシーオブジェクト]フォルダーを右クリックし、[新規]をクリックします。
  3. 新しいGPOにUSB制限などの名前を付けて、[OK]をクリックします。
  4. ポリシーを選択し、[編集]をクリックしてグループポリシー管理エディターを開きます。
  5. GPO_name\Computer Configuration\Policies\Administrative Templates\System\Removable Storage Access図4に示すように、に移動します。
  6. 設定をダブルクリックし、[有効]をオンにして、[OK]または[適用]をクリックします。

図4に示すように、さまざまな設定から選択できます。ここでは、構成するすべてのリムーバブルストレージクラス:すべてのアクセスを拒否するオプションを選択しました。[拡張]タブをクリックすると、説明ペインに選択した設定の説明が表示されます。

この時点では、ポリシー設定のみを作成していることに注意してください。あなたはそれを何にもリンクしていません。リンクするには:

  1. グループポリシー管理コンソールでドメインを選択するか、配置している組織単位を選択します。
  2. 組織単位を右クリックして(図5を参照)、[既存のGPOをリンクする]を選択します。
  3. USB制限GPOを選択し、[OK]をクリックします。
  4. リンクされているGPOを右クリックし、[強制]オプションをオンにして、そのGPOに強制します。

グループポリシーがシステムとユーザーに適用されるまでには少し時間がかかりますが、コマンドプロンプトを開いてと入力すると、変更を強制的に適用できますgpupdate /force

このポリシーが適用されると、USBデバイスを導入しようとするユーザーは、「アクセスが拒否されました」というメッセージを受け取るはずです。

GPOの例3:PSTファイルの作成を無効にする

私たちは皆、PSTメールボックスファイルの使用に起因するコンプライアンスの悪夢に対処してきました。では、ユーザーがそれらを作成できないようにするにはどうすればよいでしょうか。もちろん、グループポリシーを使用します。(はい、これを行うために使用できるレジストリ構成の編集がありますが、グループポリシーははるかに簡単で高速です。)

変更を加えるには、最初に、設定を課しているOfficeのバージョンのグループポリシー管理用テンプレートをダウンロードする必要があります。これらのテンプレートをインストールしたら(多少の調整が必要になる場合があります)、追加の設定(図6を参照)を適用して、グループポリシーを通じてそのバージョンのOfficeを制御します。

ポリシーを適用するサイト、ドメイン、または組織単位のレベルを選択し、グループポリシー管理エディターを開いたら、に移動しGPO_name\User Configuration\Policies\Administrative Templates\Microsoft Outlook 2016\Miscellaneous\PST Settingsます。

構成したい設定が2つあります。1つ目は、ユーザーが既存のPSTファイルに新しいコンテンツを追加できないようにすることです。これは(その名前が示すように)ユーザーが既存のPSTに電子メールを追加できないようにします。2番目の設定は、ユーザーがOutlookプロファイルにPSTを追加できないようにする、および/または共有専用PSTの使用を禁止することです。これにより、ユーザーによる新しいPSTファイルの作成がブロックされます。