この特集のトップページへ

3.3.2 [Active Directoryユーザーとコンピュータ]管理ツールによるグループポリシーオブジェクトの作成と割り当て
●ドメインや組織単位に対する割り当て
 ドメインや組織単位に対してグループポリシーオブジェクトを作成し,割り当てる場合には,[スタート]メニューから[プログラム]−[管理ツール]−[Active Directoryユーザーとコンピュータ]を選択して[Active Directoryユーザーとコンピュータ]管理ツールを起動し,次のように操作する。

  • コンソールで,新しく作成されたグループポリシーオブジェクトを割り当てたいドメインまたは組織単位を右クリックする(作成されたグループポリシーオブジェクトは,その時点で所属しているドメインに保存される)。
     
  • 表示されたメニューから[プロパティ]を選択し,[グループポリシー]パネルを開く。
     
  • 新たにグループポリシーオブジェクトを作成する場合は[新規]ボタンを押し,[グループポリシーオブジェクトのリンク]欄に表示される[新しいグループポリシーオブジェクト]にグループポリシーオブジェクトの名前を入力して[閉じる]ボタンを押す。もし,グループポリシーオブジェクトを作成するものの,その時点では無効にして適用しないのであれば,[閉じる]ボタンを押すまえにグループポリシーオブジェクトの名前を右クリックし,表示されるメニューから[無効]を選択する。親コンテナで、このメニューから[上書きなし]を選択した場合,親コンテナのポリシー設定と子コンテナのポリシー設定が競合する場合でも,あるいは子コンテナのポリシー設定で[ポリシーを継承しない]オプションが有効になっている場合でも,すべての子コンテナは親コンテナのポリシーをそのまま継承するようになる。

    Fig.3-13 グループポリシーオブジェクトの作成
    fig3_13.gif
     
  • 作成ずみのグループポリシーオブジェクトを割り当てたい場合には,[追加]ボタンを押し,[グループポリシーオブジェクトのリンクを追加します]ダイアログボックスを表示して,割り当てたいグループポリシーオブジェクトを選択する(Fig.3-14)。別のドメインや別の組織単位に割り当てられているグループポリシーオブジェクトを利用したい場合にも,同じように[追加]ボタンを押せばよい。設定されているグループポリシーオブジェクトの内容を確認したり変更したりしたい場合には,[編集]ボタンを押す。すると,[グループポリシーエディタ]が呼び出され,グループポリシーの設定を確認または変更できるようになる。
    Fig.3-14 グループポリシーの割り当て
    fig3_14.gif
     
  • ドメインや組織単位のプロパティダイアログボックスの[オプション]ボタンを押すと,選択しているグループポリシーオブジェクトの適用を無効にするかどうかなどのオプションを選択できる。
    Fig.3-15 リンクオプション
    fig3_15.gif
     
  • [プロパティ]ボタンを押すと,グループポリシーのプロパティを設定することができる。そのグループポリシーを適用したくないのであれば,[全般]パネルを開き,[コンピュータの構成の設定を無効にする]と[ユーザーの構成の設定を無効にする]にそれぞれチェックを付ける。[リンク]パネルでは,このグループポリシーオブジェクトが割り当てられているドメイン,組織単位,サイトを検索することができる。このパネルでは,グループポリシーオブジェクトが割り当てられている対象を検索できるだけであり,新規にグループポリシーオブジェクトを割り当てたり,割り当てを変更したりすることはできない。[セキュリティ]パネルでは,ユーザーやグループに対するアクセス許可の状況を確認することができる。必要であれば,ユーザーやグループを追加または削除したり,各ユーザーやグループごとにオブジェクトに対するアクセス権限を設定したりすることもできる。もし[追加]ボタンを押して任意のユーザーまたはグループを追加すれば,そのユーザーやグループに合わせて特定のデスクトップ画面を構成できるようになる。[詳細]ボタンを押すと,[ポリシーのアクセス制御の設定]ダイアログボックスが表示され,[アクセス許可エントリ]の一覧が表示される。ここでは,新たにアクセス許可エントリを追加・削除・編集することができる。アクセス許可エントリを編集することで,ユーザーやグループごとにアクセスを許可または拒否することができる。しかし,事前に計画されたポリシーに基づくことなくここでアクセス権限を設定してしまうと,かえって混乱を招くことになりかねないので,通常はデフォルトのままで利用するほうが懸命かもしれない。アクセス許可エントリを編集したい場合,あるいは詳細なアクセス権限の設定状況を確認したい場合は,[表示/編集]ボタンを押す(PLY-Fig-14)。

    Fig.3-16 グループポリシーのセキュリティ設定
    fig3_16.gif
    Fig.3-17 アクセス許可エントリ
    fig3_17.gif

 新しく作成されたグループポリシーオブジェクトは,作成時に選択した(右クリックした)ドメインや組織単位に割り当てられる。したがって,指定したドメインや組織単位に対してのみ,その設定が適用されることになる。ドメインや組織単位に割り当てられているグループポリシーオブジェクトは,[無効]を選択することで一時的に機能を停止させることもできるし,[削除]を選択することで完全に解放することもできる。

prevpg.gif Chapter 3(前編) 18/22 nextpg.gif