3.6 グループポリシーと複製
グループポリシーは,FRS(File Replication Service)によって,ドメイン内のドメインコントローラ間で同期される。ドメイン内に複数のドメインコントローラが設置されている場合には,ドメインコントローラ間でグループポリシーが同期されるのに時間がかかることもある。
グループポリシーオブジェクトは,デフォルトでPDCエミュレータとして機能するドメインコントローラ上でのみ作成または編集される。
Active Directoryクライアントソフトウェアがインストールされていないネットワーククライアントにサービスを提供し,ドメイン内のWindows NT 4.0のBDC(Backup Domain Controller)にディレクトリの変更を複製するため,Active Directoryドメインには,Windows NT 4.0のPDC(Primary Domain Controller)として振る舞うドメインコントローラが1台だけ存在する。
[Active Directoryユーザーとコンピュータ]管理ツールを使用する管理者は,任意のドメインコントローラ上に組織単位を作成できる。しかし,作成した組織単位がPDCエミュレータとして機能するドメインコントローラに複製されてからでなければ,作成した組織単位にグループポリシーオブジェクトを割り当て,グループポリシーを適用することはできない。つまり,それだけグループポリシーの適用が遅れることになる。したがって,ドメイン内のドメインコントローラ間を低速回線などで接続している場合には,どのドメインコントローラでグループポリシーを設定するのか(突き詰めれば,PDCエミュレータをどのドメインコントローラに割り当てるか)という点が重要な選択になる。
PDCエミュレータとして機能しているドメインコントローラを確認または変更する場合には,[グループポリシー]管理ツールの[表示]メニューから[DCオプション]を選択し,[ドメインコントローラ選択のオプション]ダイアログボックスを開く。
Fig.3-27 [ドメインコントローラ選択のオプション]ダイアログボックス
このダイアログボックスで選択できるオプションは,次のとおりである。
- PDCエミュレータ用の操作マスタトークンがある方を使用する
- デフォルトで選択されているオプション。その時点でPDCエミュレータの操作マスタトークンを備えているドメインコントローラ上で,グループポリシーを作成したり変更したりする。通常はこのオプションを選択すればよい。
- Active Directoryスナップインで指定されているものを使用する
- 任意のユーティリティや管理ツールから[グループポリシー]管理ツールを起動したときに,[グループポリシー]管理ツールを呼び出したユーティリティや管理ツールで選択されていたカレントのドメインコントローラ上で,グループポリシーを作成したり変更したりする。
- 利用可能なドメインコントローラを使用する
- 利用可能なドメインコントローラを[グループポリシー]管理ツールで選択できるようにする。異なる複数の管理者がグループポリシーオブジェクトを同時に編集できるようになるため,それぞれの編集結果に矛盾を発生するおそれがある。その結果,設定されたグループポリシーがどのような順番でレプリケーションされ,適用された結果がどうなるのかを予測できなくなるおそれもある。このオプションを選択する場合には、事前に運用ルールを決めるなど,十分な注意が必要である。
ただし,このオプションを使用すると,通常はローカルサイトのドメインコントローラが選択されるようになる。このため,複数のサイトで構成された大規模ドメインのグループポリシーを1人の管理者が管理する場合には,パフォーマンスの大幅な向上が期待できることもある。
Fig.3-27のメニュー以外にも,グループポリシーを作成または変更するドメインコントローラを選択できる箇所はある。デフォルトで[グループポリシー]管理ツールに読み込まれているSystem.adm管理テンプレートには,ドメインコントローラを設定する項目が用意されている。したがって,[グループポリシー]管理ツールで設定するグループポリシーオブジェクト名のなかにある[ユーザーの構成]−[管理用テンプレート]−[システム]−[グループポリシー]を開き,詳細ウィンドウで[グループポリシードメインコントローラの選択]をダブルクリックし,ドロップダウンリストから適切な選択肢を選べばよい(Fig.3-28)。
Fig.3-28 グループポリシードメインコントローラの選択
 |
Chapter 3(後編) 9/17 |  |
