3.3 グループポリシーオブジェクト(GPO)
Active Directoryで管理されるポリシーは,個々のWindows 2000コンピュータ上に格納される「ローカルグループポリシーオブジェクト」と,ドメインコントローラ上に格納される「ドメイングループポリシーオブジェクト(非ローカルグループポリシーオブジェクト)」という2種類のグループポリシーオブジェクトに格納される。
- ドメイングループポリシーオブジェクト
- ドメイングループポリシーオブジェクトで定義されるポリシー情報には,パスワードポリシー,ロックアウトポリシー,セキュリティ記述子,Kerberosログオンポリシー,ファイルシステム暗号化ポリシーがある。作成されたドメイングループポリシーオブジェクトは,ドメインコントローラに格納される。ドメイングループポリシーオブジェクトは,Active Directory環境でのみ使用でき,指定されたサイト,ドメイン,組織単位に所属するユーザーとコンピュータに適用される。
Active Directoryをインストールすると,[Default Domain Contorollers Policy]と[Default Domain Policy]が自動的に作成される。
- ローカルグループポリシーオブジェクト
- ローカルグループポリシーオブジェクトで定義されるポリシー情報も[ファイルリダイレクト]以外はドメイングループポリシーオブジェクトと同じである。
ローカルグループポリシーオブジェクトは,Windows 2000の動作している各コンピュータに1つだけ存在する。Windows 2000の動作しているコンピュータは,Active Directory環境であるかどうか,あるいはネットワーク機能を備えた環境の一部であるかどうかにかかわらず,グループポリシーの設定値をローカルグループポリシーオブジェクトとして%systemroot%System32\GroupPolicyフォルダに格納する。
ローカルグループポリシーオブジェクトの設定値は,サイト,ドメイン,組織単位に割り当てられているドメイングループポリシー(非ローカルグループポリシー)によって上書きされることがある。具体的には,ローカルグループポリシーオブジェクトの設定とドメイングループポリシーオブジェクトの設定が矛盾する場合には,ドメイングループポリシーオブジェクトの設定が優先され,ローカルグループポリシーオブジェクトの設定は上書きされる。両者の設定が矛盾しない場合は,両方の設定が適用されることになる。
なお,ネットワーク機能を備えていない環境(またはActive Directoryドメイン環境ではないネットワーク環境)では,ローカルグループポリシーオブジェクトがほかのグループポリシーオブジェクトによって上書きされることはない。
グループポリシーオブジェクトを作成し,ドメイン,組織単位,サイトに割り当てる方法には,次の2つがある。
- [グループポリシー]管理ツールでグループポリシーオブジェクトを作成し,[Active Directoryユーザーとコンピュータ]管理ツールまたは[Active Directoryサイトとサービス]管理ツールを利用して,作成したグループポリシーを割り当てる
- [Active Directoryユーザーとコンピュータ]管理ツールまたは[Active Directoryサイトとサービス]管理ツールを利用して,直接サイト,ドメイン,組織単位にグループポリシーオブジェクトを作成する
Chapter 3(前編) 15/22 |