この特集のトップページへ

head1.gif 3.7 グループポリシーとシステムポリシー

 Windows NT 4.0のシステムポリシーには,(1) レジストリを直接編集する「レジストリモード」と,(2) システムポリシーファイル(.pol)を作成または編集する「ポリシーモード」という2種類があった。これらのシステムポリシーは,基本的にWindows 2000のグループポリシーオブジェクトには移行されない。

 したがって,Active Directoryドメインが管理しているWindows NT 4.0をWindows 2000にアップグレードした場合,そのコンピュータには[コンピュータの構成]グループポリシーのみが適用され,Windows NT 4.0のシステムポリシーは適用されなくなる。ただし,システムポリシーエディタ(Poledit.exe)を利用し,システムポリシーをレジストリモードで変更している場合には,Windows 2000コンピュータにもシステムポリシーが適用される。

 また,Windows NT 4.0のドメインコントローラをWindows 2000のドメインコントローラにアップグレードした場合,NetLogon共有(%systemroot%\System32\repl\import\scripts)にシステムポリシーファイル(ntconfig.polなど)が存在すると,そのままWindows NT 4.0クライアントやWindows 95/98クライアントにシステムポリシーを適用することができる(このとき,Windows 2000のグループポリシーは適用されない)。

Table 3-5 システムポリシーとグループポリシーの適用
ドメイン Windows NT 4.0クライアント Windows 2000クライアント
Windows NT 4.0ドメイン Windows NT 4.0システムポリシー ローカルグループポリシーとWindows NT 4.0システムポリシー
Active Directoryネイティブモード Windows NT 4.0システムポリシー ローカルグループポリシー,グループポリシー(サイト,ドメイン,組織単位)
Active Directory混在モード Windows NT 4.0システムポリシー ローカルグループポリシー,グループポリシー(サイト,ドメイン,組織単位),Windows NT 4.0システムポリシー(レジストリモードのみ)
ワークグループ なし ローカルグループポリシー

 Windows NT 4.0に導入されているシステムポリシーエディタ(Poledit.exe)は,ユーザーの作業環境および操作を制御するためのシステムポリシーを作成したり,Windows NT 4.0を実行しているすべてのコンピュータにシステム構成の設定値を適用したりするために使用される。システムポリシーを利用することで,ユーザーが使えるアプリケーション,ユーザーのデスクトップ画面に表示されるアプリケーション,[スタート]メニューに表示される設定項目などを定義できる。

 システムポリシーエディタは,Windows NT 4.0形式の設定ユーティリティである。Windows 2000にもシステムポリシーエディタは用意されており,Windows NT 4.0クライアント用のシステムポリシーを設定したい場合,あるいはWindows 2000クライアントのシステムポリシーをレジストリモードで設定したい場合に使用できる。

 Table 3-6は,Windowsの各バージョン間におけるシステムポリシーファイルの互換性をまとめたものである。

Table 3-6 Windowsの各バージョン間におけるシステムポリシーファイルの互換性
.polファイル作成時のOS 適用されるオペレーティングシステム
Windows 2000 Windows NT 4.0
Windows NT 4.0 Windows NT 4.0
Windows 98 Windows 98, Windows 95
Windows 95 Windows 98, Windows 95

 新しいシステムポリシーを作成するには,[スタート]メニューから[ファイル名を指定して実行]を選択し,“poledit.exe”と入力してシステムポリシーエディタを起動する。

  1. システムポリシーエディタのメニューから[ファイル]−[新規作成]をクリックする。
     
  2. デフォルトユーザーの設定(レジストリのHKEY_CURRENT_USERハイブの設定)を作成するには,[既定のユーザー]をダブルクリックする。デフォルトコンピュータの設定(レジストリのHKEY_LOCAL_MACHINEハイブの設定)を作成するには,[既定のコンピュータ]をダブルクリックする。チェックボックスが有効になっている場合は,そのポリシーが適用される。設定したシステムポリシーは,Windows NT 4.0,Windows 98,Windows 95が動作している各コンピュータ上でユーザーがログオンしたときに適用される(コンピュータポリシーもユーザーがログオンしたときに適用される)。
    Fig.3-30 [既定のユーザー]と[既定のコンピュータ]
    fig3_30.gif
     
  3. 特定のユーザーの設定(レジストリのHKEY_CURRENT_USERの設定)を作成するには,メニューから[編集]−[ユーザーの追加]を,特定のコンピュータの設定(レジストリのHKEY_LOCAL_MACHINEの設定)を作成するには[コンピュータの追加]を,特定のグループの設定(HKEY_CURRENT_USER)を作成するには[グループの追加]を,それぞれ選択する。
     
  4. 必要に応じてポリシー設定項目にチェックを付け,値を設定する(Fig.3-31)。設定が完了したら,メニューから[ファイル]−[名前を付けて保存]を選択する。[保存する場所]として,PDCエミュレータ上のNetLogonフォルダを指定する。たとえば,次のように指定すればよい。
    \\PDCServerName\NetLogon
    Fig.3-31 システムポリシー項目の設定
    fig3_31.gif
     
  5. [ファイル名]として“NTconfig.pol”(Windows 98クライアントやWindows 95クライアントでは“Config.pol”)と入力し,[保存]ボタンを押す。Windows 2000のレジストリにシステムポリシーを格納する場合は,必要がなくなれば削除されるように,(1) コンピュータポリシーであればHKEY_LOCAL_MACHINE\Software\Policiesハイブに,(2) ユーザーポリシーであればHKEY_CURRENT_USER\Software\Policiesハイブに,それぞれ格納する。
     Windows 2000であれば,レジストリを利用して拡張するようなグループポリシーを設定するために,管理用のテンプレート(カスタム.adm ファイル)を追加することができる。具体的には,[グループポリシー]管理ツールでグループポリシーオブジェクトを選択し,[管理用テンプレート]を右クリックすると表示されるメニューから[テンプレートの追加と削除]を選択する。すると,[テンプレートの追加と削除]ダイアログボックスが表示されるので,[追加]ボタンを押す。[ポリシーテンプレート]ダイアログボックスで,追加するテンプレート(カスタム.admファイル)を選択し,[開く]ボタンを押す。[テンプレートの追加と削除]ダイアログボックスに戻ったら,[閉じる]ボタンを押す。カスタム.admファイルを利用すると,レジストリの値を設定することによる問題が発生するおそれもあるので,あまりお勧めすることはできない。
     カスタム.admファイルを作成するときには,上記した (1) と (2) のレジストリハイブを使用する。これらのレジストリハイブ以外,つまり,(3) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policiesや (4) HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policiesにグループポリシーを格納してしまうと,そのポリシーはグループポリシーの管理者以外は変更できなくなる。これらのレジストリハイブは,Windows NT 4.0などとの下位互換を目的として使用される。何らかの理由でグループポリシーが変更されると,これら (1) 〜 (4) のレジストリハイブは消去され,新しいグループポリシーが (1) 〜 (4) のレジストリハイブに書き込まれる。Windows NT 4.0のシステムポリシーでは,これらのレジストリハイブを特別に扱わず,レジストリの任意の場所に書き込むことができる。上記のハイブ以外の任意の場所にシステムポリシーを書き込んでしまうと,グループポリシーを削除しても,システムポリシーはそのまま残されることになる。したがって,グループポリシーで管理するためには,上記以外のハイブにシステムポリシーを格納してはならない。
     
  6. グループポリシーに.admファイルが追加されても,デフォルトでは純粋なグループポリシーツリーに含まれる設定(Software\PoliciesまたはSoftware\Microsoft\Windows\CurrentVersion\Policiesにあるレジストリサブキーのレジストリエントリ)だけが[グループポリシー]管理ツールに表示される。これを変更し、すべての設定(ほかのサブキーのレジストリエントリも含めて)を表示するには,[グループポリシー]管理ツールのメニューから[表示]−[ポリシーのみを表示]を無効にする。すると,システムポリシーの設定を示すアイコンは赤色で,純粋なグループポリシーの設定を示すアイコンは青色で,それぞれ表示されるようになる。しかし,システムポリシーのカスタム.admファイルを使用すると,設定内容がレジストリに保存されるようになり,柔軟なポリシー管理を実現することが難しくなる。そのため,システムポリシーのカスタム.admファイルは,グループポリシーを適用できない従来オペレーティングシステムに限って利用すべきであり,Windows 2000クライアントの管理に利用すべきではない。

    注意 システムポリシーのカスタム.admファイルを使用すると,設定値はレジストリに書き込まれる。すると,いったん設定された値は,別のカスタム.admファイルで値を上書きするか,手作業で修正しない限り,元に戻すことはできなくなる。この現象を「刺青(タトゥ)効果」と呼ぶ。Windows NT 4.0のシステムポリシーは,コンピュータの設定もユーザーの設定も,ともにユーザーがログオンしているあいだだけ適用されている。ユーザーのログオンに伴って適用されたシステムポリシーにおけるコンピュータの設定は,起動時にコンピュータに適用されたグループポリシーの設定を上書きする。そして,システムポリシーにおけるコンピュータの設定のうち,グループポリシーの設定と矛盾しているものは,グループポリシーの更新サイクルで復元される。このような複雑な適用手順のため,システムの状態が不確定になってしまう。


     
prevpg.gif Chapter 3(後編) 11/17 nextpg.gif