3.2.1 グループポリシーで何ができるか
最初に,グループポリシーを利用することで何ができるのかを検証しよう。Windows 2000のグループポリシーは,Windows NT 4.0のシステムポリシーと比較して,設定項目や適用範囲が非常に多くなっている。たとえば,システムポリシーは,Windows NTやWindows 95,Windows 98が動作しているドメインが設定対象であり,その設定はドメイン内のすべてのコンピュータに適用された。しかし,Windows 2000のグループポリシーは,Active Directoryの階層構造を形成しているドメインや組織単位はもちろん,ネットワークの物理構造を反映したサイトに対しも設定することができる。ドメイン,組織単位,サイトに対して設定されたグループポリシーは,最終的にそこに属するユーザーやコンピュータに適用され,影響を与えるのである。
それでは,グループポリシーによって,ユーザーやコンピュータの何を管理するのだろうか。Windows 2000では,グループポリシーを利用することで,Table 3-1に示すようなさまざまなルールを定め,そのルールに基づいてユーザーやコンピュータの機能および権限を管理できるようになる。たとえば,[ソフトウェアの設定]ノードを利用すれば,ユーザーやコンピュータにアプリケーションを配布したり,欠落したファイルを自動的に修復させたりすることができる。また,Windows NT 4.0のシステムポリシーではユーザーのログオンスクリプトしかサポートされなかったのに対して,Windows 2000のグループポリシーではユーザーに対するログオンスクリプトとログオフスクリプトに加え,コンピュータに対するスタートアップスクリプトとシャットダウンスクリプトも設定できるようになっている。このように,Windows 2000のグループポリシーは,Windows NT 4.0のシステムポリシーよりも広い範囲を管理できるのである(詳細は「3.2.2 ソフトウェアの設定」から「3.2.14 管理テンプレート」で説明する)。
Table 3-1 グループポリシーで管理できる項目
管理項目 | 管理しているポリシー | |||
---|---|---|---|---|
ソフトウェアの設定 | ソフトウェアインストール | 可 | 可 | ユーザーに対するアプリケーションの割り当て,公開,更新,修復 |
Windowsの設定 | セキュリティの設定 | 可 | 可 | ドメイン,コンピュータ,ユーザーに対するアカウント,ローカルポリシー,イベントログファイルのサイズやアクセス権,制限されたグループの設定,システムサービスの起動モード,レジストリのアクセス権,公開鍵のポリシー,ファイルシステムのアクセス許可など |
フォルダリダイレクト | 可 | 不可 | ローカルコンピュータ上の[マイドキュメント]などの特殊なフォルダからネットワーク上の別の場所へのリダイレクト | |
Internet Explorerのメンテナンス | 可 | 不可 | ブラウザのユーザーインタフェース,接続先,URL入力欄,セキュリティなどの設定 | |
スクリプト | 可 | 可 | スタートアップスクリプト,シャットダウンスクリプト,ログオンスクリプト,ログオフスクリプト | |
リモートインストールサービス | 可 | 不可 | クライアントの自動セットアップまたはカスタムセットアップの許可 | |
管理用テンプレート | Windowsコンポーネント | 可 | 可 | NetMeeting,Internet Explorer,タスクスケジューラ,Windowsインストーラなどの設定 |
システム | 可 | 可 | ログオンとログオフ,グループポリシー,ディスククォータ,Windowsファイル保護などの設定 | |
ネットワーク | 可 | 可 | オフラインファイル,ネットワークとダイヤルアップ接続の設定 | |
プリンタ | 不可 | 可 | プリンタを管理 | |
タスクバーと[スタート]メニュー | 可 | 不可 | タスクバーと[スタート]メニューの表示 | |
デスクトップ | 可 | 不可 | Active Directory,Active Desktopの設定 | |
コントロールパネル | 可 | 不可 | [アプリケーションの追加と削除],[画面],[プリンタ],[地域オプション]の設定 |
Chapter 3(前編) 6/22 |