グルーポリシーの作成から適用の手順を実例を元に解説します。グループポリシーは、一度理解してしまえば後はポリシーを作成して適用といった繰り返しになります。パソコン管理の運用負荷を軽減する為には、是非活用できるようにする事をお勧めいたします。
Active Directory で利用するアプリ2つ
グルーポプリシーの作成と各ユーザー及び端末への適用は、Active Directory サーバーで実施します。その中でも主に利用するアプリは以下2つです。
・Active Directory ユーザーとコンピューター
・グループポリシーの管理
アプリの起動方法です。Active Directoryサーバーへログインをして、コントロールパネルの管理ツールを開きます。
様々な管理ツールのショートカットが表示されます。この中に「Active Directory ユーザーとコンピューター」と「グループポリシーの管理」のショートカットがあります。デスクトップにショートカットを置いておくと次から便利です。
組織単位(OU)の作成
「Active Directory ユーザーとコンピューター」から操作をしていきます。
組織単位(OU)という器を作ります。左側にあるドメイン(下の図だとtest.co.jp)の配下にOUを作成します。
ドメイン(下の図だとtest.co.jp)を右クリックして新規作成から組織単位(OU)を選択します。
ポリシーはコンピューター単位とユーザー単位で作成することができます。まずは、ユーザー単位でのポリシーを作成したいと思いますので、分かり易く「ユーザー単位のOU」と名称を指定しました。「間違って削除されないようコンテナーを保護する」のチェックは入れておけばOUを簡単に消せなくなるので安心です。
ドメイン配下に「ユーザー単位のOU」が作成されました。このOUの中に入っているユーザーに対してポリシーが作成できます。ポリシーを適用させたいユーザーをユーザー単位のOUの中にドラッグ&ドロップしてください。デフォルトではUsersの中にユーザーがいると思います。
ユーザーポリシーの作成
続いて、「グループポリシーの管理」でポリシーを作成していきます。「Active Directory ユーザーとコンピューター」で作成したOUが反映されているはずです。
左側の項目内にある「グループポリシーオブジェクト」を右クリックして「新規」を選択してください
グループポリシー名を入力します。
「GPO検証」というグルーポプリシーオブジェクトが作成された事を確認してください。
作成したGPO検証を右クリックして「編集」を選択します。
すると「グループポリシー管理エディター」という別画面が立ち上がります。この画面でポリシーを作成していきます。「コンピュータの構成」と「ユーザーの構成」の二つに分かれています。前者を設定をするとコンピュータ単位でポリシーが適用されます。具体的にはどのユーザーでログインしても効いてくるポリシーです。後者はユーザー単位で適用されるポリシーで、具体的には同一パソコンであってもユーザーによってポリシーが異なることになります。
今回の検証ではデスクトップの壁紙をグルーポプリシーで指定してみたいと思います。ユーザー構成から「ポリシー」 ⇒ 「管理テンプレート」 ⇒ 「デスクトップ」 ⇒ 「デスクトップの壁紙」を開きます。
未構成がデフォルトなので有効にます。そして、ファイルサーバー等の共有フォルダに壁紙画像を置いてそのパスを「壁紙名」に入力します。
GPO検証のグルーポプリシーを選択して、右側の設定タブを選択するとポリシーの詳細を確認することができます。
最後に忘れがちになってしまいますが、作成したGPO検証をユーザー単位のOUにドラッグ&ドロップしてください。これでユーザー単位のOUに入っているユーザーに対してポリシーが適用されることになります。今回の検証では、壁紙が指定したものになっているわけです。
ユーザーポリシーが適用されているかの確認
ポリシーが正常に適用されている事を確認してみましょう。
test.co.jpにドメイン参加しているPCでユーザー単位のOUに入れたユーザー(user1)でログインをします。
成功です。デスクトップの背景が指定したものになっていました。
コンピューターポリシーの作成
ユーザーポリシーの作成についてご理解いただけかと思います。ユーザーポリシーと同様にコンピューターポリシーについても検証をしていきます。基本的な操作手順は同じですので手順を簡素化しています。
ユーザーポリシーと同様に、OUを作成します。ユーザーポリシーの場合だと作成したOUの中にユーザーを入れましたが、コンピューターポリシーの場合は対象のコンピューターを入れます。下図の場合だと、コンピューター名(ホスト名)がPC01の端末が対象になっています。
ユーザーポリシー同様に、「グルーポプリシーオブジェクト」の中にポリシーを作成していきます。検証では、「コンピューター単位のGPO検証」を作成しています。
「コンピューター単位のGPO検証」を編集していきます。コンピューター単位のポリシーですので「コンピューターの構成」の直下のポリシーを弄っていきます。
検証では、端末のロック画面の画像を固定化してみたいと思います。
「コンピューターの構成」 ⇒ 「ポリシー」 ⇒ 「管理テンプレート」 ⇒ 「コントロールパネル」 ⇒ 「個人設定」 ⇒ 「特定の規定のロック画面とログオンイメージを強制する」 を開きます。
未構成がデフォルトなので有効にします。そして、ファイルサーバー等の共有フォルダに画像を置いてそのパスを「ロック画面イメージへのパス」に入力します。
最後は忘れずに、「コンピューター単位のGPO検証」に作成したポリシーをドラッグ&ドロップしてください。
コンピューターポリシーが適用されているかの確認
コンピューター名:PC01 を起動するとロック画面が指定した画像になっています。成功です。
ユーザーでログオンをする前なので、コンピューター単位のポリシーが適用されていることがいえると思います。
大変お疲れ様でした。
グループポリシーの場所を検索する方法
グループポリシーは数が多いのでポリシーがある場所を検索するのは容易ではありません。そこで、ポリシーを検索するツールを作りましたのでご活用ください。
グループポリシー(GPO)設定の検索ツール|Windows10大型アップデート全バージョン
運用が楽になるグループポリシー一覧
とりあえず運用が楽になるグループポリシーだけを設定したい場合は、以下の記事をご参照ください。具体的な設定方法も紹介しています。
情シスの運用が超絶楽になる最強のGPO(グループポリシー)設定を公開
Active Directoryとは?
Active Directory の構造について以下記事にまとめました。知っているとActive Directory の運用が楽になるばかりでなく、障害発生時に役に立ちます。
Active Directory(ドメインコントローラー) の全て|初心者でもADサーバーを完全に理解できる
まとめ
ざっと手順を説明しましたが、結構な量になりました。ただ、慣れればどおって事はありません!!組織の端末を管理している方はGPOを使いこなせば神になった気分になりますので頑張って習得してください
また、何か不明点があれば可能な範囲でお答えしますので遠慮なくコメントをお願いいたします。
今回紹介したような実務的なGPOの活用方法に興味のある方は、「Active Directory記事一覧」を是非ご覧ください。
コメント
コメント一覧 (25件)
大変分かり易い記事ありがとうございました。頑張ります。
ありがとうございます。
業務にて大量に設計するPJに直面したので、非常に助かりました。
「適応」ではなく「適用」ではないでしょうか。
あと、誤字が非常に目立ちます。
コメントありがとうございます。
誤字すみません、、、
急遽ドメインコントローラで特定のユーザーにポリシーの適用が必要になり調べていました。分かりやすく書かれていて本当に助かりました。