3.4.2 グループポリシーの更新
Active Directoryドメインの環境下にあるクライアントコンピュータは,次のいずれかのイベントが発生すると,ドメインコントローラからグループポリシーを要求し,自身に適用する。
- コンピュータを起動させたとき
- コンピュータを起動したときには,常にコンピュータのグループポリシーが更新される。
- ユーザーがログオンしたとき
- ユーザーがログオンしたときには,常にユーザーのグループポリシーが更新される。
- アプリケーションが更新を要求したとき
- アプリケーションがRefreshPolicy APIを使用したときには,要求したグループポリシーが更新される。
- ユーザーが即時更新を要求したとき
- グループポリシーは,ユーザーが即時更新を求めたときにも更新される。もし[コンピュータの構成]ノードのグループポリシーを最新の情報に更新したければ,[ファイル名を指定して実行]ダイアログボックスを開き,“secedit /refreshpolicy MACHINE_POLICY”と入力して[OK]ボタンを押せばよい。[ユーザーの構成]ノードのグループポリシーを最新の情報に更新したいときには,“secedit /refreshpolicy USER_POLICY”と入力し,[OK]ボタンを押す。
- グループポリシー更新間隔ポリシーが有効になっている。
- グループポリシー更新間隔ポリシーが有効になっている場合,Windows 2000は定期的にグループポリシーを更新する。デフォルのWindows 2000 ProfessionalやWindows 2000 Serverのメンバサーバーであれば90分間に1回,Windows 2000 Serverのドメインコントローラであれば5分間に1回,それぞれグループポリシーを更新する。
ただし,アプリケーションの配布ポリシーが設定されていても,実際の配布はコンピュータの起動時またはユーザーのログオン時に実行される。ポリシーが更新されたタイミングでアプリケーションが配布されるわけではないので,注意してほしい。
コンピュータに対するグループポリシーの更新間隔を変更したい場合は,[コンピュータの構成]−[管理用テンプレート]−[システム]−[グループポリシー]を選択し,詳細ウィンドウ領域で[コンピュータのグループポリシー更新間隔]を右クリックして[プロパティ]を選ぶ。[ポリシー]パネルを開いて[有効]を選択し,ドロップダウンリストを使用して更新間隔とランダムオフセットを設定したあと[OK]ボタンを押す。さらに,[バックグラウンドでのグループポリシーの更新を無効にする]をダブルクリックし,[無効]を選択して[OK]ボタンを押す。コンピュータの使用中にグループポリシーを更新させないようにするには,[バックグラウンドでのグループポリシーの更新を無効にする]ポリシーで[有効]を選択すればよい。
Fig.3-21 グループポリシーの更新オプション
ユーザーに対するグループポリシーの更新間隔を変更したい場合は,[ユーザーの構成]−[管理用テンプレート]−[システム]−[グループポリシー]を選択し,詳細ウィンドウ領域で[ユーザーのグループポリシーの更新間隔]を右クリックして[プロパティ]を選ぶ。[ポリシー]パネルを開いて[有効]を選択し,ドロップダウンリストを使用して更新間隔とランダムオフセットを設定して[OK]ボタンを押す。
Fig.3-22 グループポリシーの更新オプション
[グループポリシーの更新間隔のプロパティ]ダイアログボックスの[ポリシー]パネルで[有効]を選択すると,ポリシーの更新間隔を0〜64800分(45日)の範囲で指定することができる。0分を指定すると,グループポリシーは7秒に1回ずつ更新される。したがって,この値を小さくしすぎると,グループポリシーの更新によってユーザーの作業が中断されたり,ネットワークトラフィックが増大したりするため,極端に短い更新間隔を設定すべきではない。通常は,デフォルトのままの更新間隔を設定しておき,必要があればユーザーに即時更新を実行させる。
ランダムオフセットには,0〜1440分(24時間)の範囲で上限値を指定する。ランダムオフセットは,同じ更新間隔を指定されているクライアントからの更新要求が一時期に集中してシステムの負荷が増大しないように設定する。実際にクライアントがグループポリシーの更新を要求するタイミングは,ランダムオフセットの範囲内で変化することになる。たとえば,ランダムオフセットに30分と指定すると,システムは「更新間隔+0」〜「更新間隔+30分」の範囲内で各クライアントの更新間隔を変化させる。ランダムオフセットに大きな値を設定すればするほど,クライアントの要求が集中する可能性は低くなるが,実際の更新が大幅に遅れるおそれもある。
グループポリシーが更新されると,クライアントでユーザーが参照している画面が多少ちらつくほか,開かれているメニューが勝手に閉ざされてしまうこともある。また,更新中はユーザーが実行できるプログラムも制限される。これらの点を考えると,管理者はグループポリシーを更新するときに,その旨をユーザーに通知することを検討したほうがよいだろう。最も手軽な方法はnet sendコマンドを利用してメッセージを送信することであるが,更新頻度が頻繁であればあるほど,現実的ではなくなる。したがって,実際には適当なアプリケーションを実装する必要があるだろう。
ただし,[グループポリシー]管理ツールの[コンピュータの構成]−[管理用テンプレート]−[システム]−[グループポリシー]で[バックグラウンドでのグループポリシーの更新を無効にする]ポリシーを有効にすると,クライアントコンピュータの使用中はグループポリシーを更新しなくなる。
すでに説明したように,グループポリシーは,グループポリシーが設定されているドメインや組織単位,サイトに属するすべてのユーザーおよびコンピュータに適用される。しかし,Table 3-4に示すように,クライアントオペレーティングシステムによってはグループポリシーが適用されないこともある。
Table 3-4 クライアントオペレーティングシステムごとのグループポリシーの適用範囲
| グループポリシー | 対処方法 | |
|---|---|---|
| Windows 2000 | 適用される | − |
| Windows NT 4.0 | ローカルグループポリシーオブジェクトを備えていないので,グループポリシーは適用されない。Windows NT 4.0のシステムポリシーが適用される | システムポリシーエディタ(Poledit.exe)を使用して,Windows NT 4.0方式の.admファイルを作成する |
| Windows 95,Windows 98 | グループポリシーは適用されない。Windows 95およびWindows 98のシステムポリシーが適用される | ローカルコンピュータでシステムポリシーエディタ(Poledit.exe)を実行し,作成したConfig.polファイルをWindows 2000 Serverのドメインコントローラで指定されたSysVolフォルダにコピーする |
| Windows NT 3.51,Windows 3.1,MS-DOS | グループポリシーは適用されない | なし |
Windows 2000が稼働しているコンピュータ上には,ローカルグループポリシーオブジェクトが1つだけ格納されている。そのコンピュータの全ユーザーには,同じローカルグループポリシーが適用される。Active Directoryドメインのメンバでないスタンドアロンサーバーやスタンドアロンコンピュータでローカルグループポリシーを使い,複数のユーザーのデスクトップ環境を管理したい場合には,システムポリシーエディタ(Poledit.exe)でユーザーごとに.polファイルを作成し,設定しなければならない。
 |
Chapter 3(後編) 2/17 |  |
