長年GPO(グループポリシー)の運用してきた中で最終的に行き着いた情報システム部門の運用が楽になる最強のGPO設定を公開したいと思います。取捨選択して参考にしていただければと思います。
グループポリシー(GPO)の作成と適用手順
「グループポリシーて何?」という方は「グループポリシーの作成と適用手順」Active Directoryをフル活用して端末を完全制御しちゃおう!!で細かい説明をしていますのでご参照ください。実例を用いて説明をしていますので、全くの初心者でもグルーポプリシーが自由に扱えるようになります。
運用が楽になるGPOの考え方
私が考える最強のGPO設定ですが、パソコンをセットアップした時にOSを入れてドメイン参加をすれば直ぐにパソコンが利用可能な状態になるGPO設定が理想だと考えています。また、ユーザープロファイルが破損した場合も同様で初期化すれば直ぐに使える状態がベストです。パソコンのクローンで展開れば良いといった考えもありますが、環境がクローンを作成した初期セットアップから乖離していくので個人的には無しだなと思っています。特にWindows 10の場合は大型アップデートで初期設定時の状態からスタートでは大変ですよね。
ショートカットの一元管理
ユーザーが利用するショートカットはGPOで一元管理したほうが楽です。例えば新たにクラウドのWebシステムを使う場合、メール等でリンクを送るよりショートカットをGPOで配布してあげた方が親切です。また、ショートカットが不要になった場合もGPOで削除設定をすれば対応できるので、無駄な問い合わせを回避することが可能です。
共有フォルダのドライブマップ配布
組織でWindowsを利用していれば間違いなくファイルサーバーを利用することになります。セクションによって共有フォルダの権限が異なるので情報システム部門でコントロールする必要があります。この場合便利なのが、共有フォルダをドライブマップにしてGPOで一元制御する方法です。ショートカットでもいいんですが、ドライブマップの方がスマートです。
GPOでネットワークドライブを設定する方法(共有フォルダのショートカットはダサい)
信頼済サイトの設定
Webシステムを使う場合間違いなく依頼されるのが信頼済サイトへの追加です。GPOで一元管理できるのでしてしまいましょう。ユーザー毎なんて気が遠くなります。
ポップアップブロック除外
信頼済サイトの登録と同様にWebシステムを使う場合にポップアップブロックの除外設定が必要な場合があります。この場合もGPOで一元管理しましょう。
共有プリンターの配布
パソコンが壊れる度にプリンターの設定をしていませんか?
私はプリントサーバーの共有プリンターをGPOで端末に割り振っています。この方法であれば例えば複合機が追加になった場合でもプリントサーバーにドライバーをインストールしてGPOで設定すれば作業が終わります。
GPOで共有プリンターをユーザー毎に割り当てる方法(ドライバのインストール祭りから卒業)
タスクスケジューラの一元管理
例えば、21時に強制シャットダウンをするようにしたりと、何かと便利なのがタスクスケジューラです。タスクスケジューラもGPOで一元管理できます。
GPO(グループポリシー)でタスクスケジューラを一斉配布する方法|てかマジ簡単だから
レジストリは触らせないように
ITオタクが数名は必ずいると思います。OSの設定を弄りまくるのでレジストリの変更を不可にしておきましょう。
GPOでレジストリの変更を禁止にする方法(厄介だからレジストリを弄らせるな!)
証明書の配布
証明書の配布もGPOで一斉配布可能です。特にトラブルも起こりませんのでGPOで配布してしまいましょう。私は、一台だけに適用すればいい場合でもGPOで一斉配布しています。理由は利用するセクションが変更となる可能性があるためです。
ブラウザの初期表示を指定
ブラウザの初期表示をグループウェア等に固定したい場合があると思います。GPOで一斉適用しましょう。
<IEの場合>
GPOでIEのホームページURLを指定する方法(変更させない)
<Chromeの場合>
GPOでGoogle ChromeのホームページURLを指定する方法(ホームボタンも)
まとめ
GPOを制する者は情シスを制するといっても過言ではないと思っています。この記事で取り上げた内容を設定すれば運用が必ず楽になります。最初の設定はメンドクサイですが検証をしながらやってみてください。急がば回れで後々利いてきます。ちなみに私は楽をしています。
コメント