1. No category

Active Directory のおさらいをしましょう！
～グループポリシー編～
Cloud OS RoadShow
2014.5.24
自己紹介
宮川 麻里（みやかわ まり）
System Center Users Group Japan
Microsoft Certified Trainer
主な担当コース
・Windows Server 関連
Active Directory
Windows Server 2003 からの移行
・Office 365 関連
・SQL Server
所属
アジェンダ
・グループポリシーのおさらい
・グループポリシーのうれしい機能
・まとめ
グループポリシーの目的は？
ユーザーやコンピューターの
一元管理！
グループポリシーでできること
ソフトウェアの
インストールや制御
OR
GPO
ドメインコントローラー
GPO
GPO
Windows 機能の制限
リムーバブル記憶
媒体の利用禁止
グループポリシーの作成箇所
グループポリシー管理コンソール（GPMC)
GPOの作成や
バックアップなど
管理
P-01
グループポリシーの設定箇所
グループポリシー管理エディタ
コンピューターの構成
ユーザーの構成
グループポリシーの動作
GPO は作成しただけでは
動かない！
ドメイン/サイト
/OU のいずれか
へリンクする
グループポリシーの適用順序
LSDOU
ローカル
サイト
ドメイン
OU
グループポリシーの適用順序
レジストリ
操作禁止！
有効
ローカル
有効
サイト
ドメイン
有効
無効
Sales_OU
OU
レジストリ
操作禁止！
は無効
グループポリシーの適用順序
レジストリ
操作禁止！
有効
ローカル
有効
サイト
ドメイン
×
有効
継承のブロック
無効
Sales_OU
OU
USB利用禁止
レジストリ操
作禁止！
グループポリシーの適用順序
レジストリ
操作禁止！
有効
ローカル
有効
サイト
強制
ドメイン
有効
有効
無効
Sales_OU
OU
レジストリ操
作禁止！
グループポリシーの適用されるタイミング
ログオン時または起動時に適用
コンピューターの構成⇒起動時/ユーザーの構成⇒ログオン時
GPUPDATE.EXE コマンドで強制適用
/Force オプションをつけると全ポリシーを更新
Invoke-GPUPDATE コマンドでリモート更新
Power Shell のコマンドレット
グループポリシーの適用されるタイミング
Windows 8
Windows
Server 2012
Invoke-GPUpdate -Computer <コンピューター名> -Force
Windows ファイアウォールで以下の規制を有効！
・スケジュールされたリモートタスク管理 (RPC)
・スケジュールされたリモートタスク管理 (RPC-EPMAP)
・Windows Management Instrumentation (WMI受信)
Windows Server 2012 からといえば・・
グループポリシーの設定項目数が
さらに増えました！
Windows Server 2008 / Vista
管理用テンプレート：2,746 セキュリティ設定：167
Windows Server 2008 R2 / Windows 7
管理用テンプレート：3,102 セキュリティ設定：169
Windows Server 2012 R2 / Windows 8.1
管理用テンプレート：3,631
セキュリティ設定:
181
日本語版のリファレンスがダウンロード可能
グループポリシーセッティングリファレンス
http://technet.microsoft.com/jajp/windowserver/bb310732.aspx
管理用テンプレートといえば・・・
Windows Server 2008
Windows Vista からは
ADMXファイル
という形式になりました！
管理用テンプレートファイル
ADMXファイル
*.admx
言語情報に依存しないファイル
*.adml
言語依存情報ファイル
言語非依存情報
ファイル (*.admx)
C:¥Windows
¥PolicyDefinitions
¥ja-jp
言語依存情報
ファイル
(*.adml)
• テンプレートの追加は、管理用テンプレート ファイルを
MSサイトからダウンロードして上記フォルダーに保存するだけでOK！
管理用テンプレートファイル
ADMXファイルの形式になり、
何がよくなったかというと・・・
2003・XP
管理用テンプレートファイル
までは
ADM ファイルでは GPO 毎にテンプレートがコピー
SYSVOL
ポリシー
テンプレート
GPO
ポリシー
SYSVOL
テンプレート
GPO
ポリシー
ポリシー
テンプレート
テンプレート
GPO
GPO
ポリシー
ポリシー
テンプレート
テンプレート
GPO
GPO
GPOの数が多いとレプリケーションの負荷！
管理用テンプレートファイル
ADMX ファイルでは中央ストアに確認して GPO が
参照する形式に！
中央ストア
テンプレート
SYSVOL
ポリシー
コピー
GPO
ポリシー
GPO
ポリシー
GPO
レプリケーションの負荷軽減！
C:¥Windows
¥PolicyDefinitions
シナリオ例 ①
シナリオ No.1
ユーザーにはPCのAdmin権限を付与せずに
情報システム部の管理としている企業にて・・・
全社員の PC
新しいものに交換しておいて
80台分設定
しないと…
ユーザーの PC の Administrators
にドメインの情シスのヘルプデスクG
を追加する
制限されたグループ
制限されたグループ
制限されたグループ
制限されたグループ
追加されます
制限されたグループ
クライアント PC それぞれで設定する
必要がなくなり作業負担が軽減されます。
シナリオ例 ②
シナリオ No.2
社内環境でストアアプリ使用の禁止！
P-01
方法① グループポリシーの「ストア」を利用
Windows Server 2012 の既定値では
Windows ストアアプリ
に関する項目がない！
「デスクトップエクスペリエンス」
のインストール
あるいは
管理用テンプレートを ¥PolicyDefinitions
フォルダにコピーする
C:¥Windows
¥PolicyDefinitions
「ストア」が表
示されます
P-01
「ストア」
－「ストアアプリをオフにする」
ー「有効」
方法② AppLocker 機能を利用
AppLocker とは
特定のアプリケーションの実行を
禁止したり許可したりする方法
適用先
｢コンピューターの構成｣のみ
方法② AppLocker 機能を利用
※ 以下の環境から利用可能
Windows 7 Enterprise / Windows 8 EnterPrise
Windows Server 2008 R2
Windows Server 2012 (全エディション）
Windows Server 2012 R2
Windows 7 Professional や Vista ならば
「ソフトウェアの制限のポリシー」機能が
利用可能
ソフトウェアの制限のポリシーと
APPLockerの違い（抜粋）
ソフトウェアの
制限のポリシー
APPLocker
対象範囲
全ユーザー
特定のユーザーや
グループ
対象OS
Windows XP・Windows
Server 2003 以降
Windows 7 Windows 8
EnterPrise
Windows Server 2008 以
降
規制のインポート・
エクスポート
×
可能
PowerShell サポート
×
可能
Test-AppLockerPolicy
コマンドでテストも可能！
方法②の手順
コンピューターの構成
－ポリシー
－Windowsの設定
－セキュリティの設定
－システム サービス
ー「Application Identity」
サービスのスタートアップ
モードを「自動」にする
コンピューターの構成
－ポリシー
－Windowsの設定
－セキュリティの設定
－AppLocker
「既定の規則の作成」を選ん
で対象ユーザーに対して拒否
を選択。
ストアアプリの実行がすべてブロックされます
シナリオ例 ③
シナリオ No.３
社員のドキュメントもバックアップ
の対象にしたい！
P-01
個人のPCではなく、ユーザーに意識させずに
サーバーにファイルを格納できればバック
アップの対象にできる。
フォルダリダイレクト
フォルダリダイレクトの動作
サインイン
サインアウト
サーバー上の
ファイルを利用
サインイン
「ユーザーの構成」
-「ポリシー」
-「Windowsの設定」
-「フォルダー リダイレクト」
「ドキュメント」-「プロパティ」
「基本」ー全員のフォルダを同じ場所にリダイレクトする
「詳細設定」ーセキュリティグループ別に場所を指定する
「ターゲット」タブ
「設定」タブ
ドキュメント
に対する設定
適用対象となる
グループを指定
ユーザーは
・利用するPCを意識せず作業ができる
・ファイル喪失に泣かずにすむ
シナリオ例 ③
シナリオ No.3
ネットワークドライブのマウントとか・・・
Scriptで管理すると引き継ぎや PC への展開
が面倒
マウント
#net use v: ¥¥sever01¥share
アンマウント
#net use v: ¥¥sever01¥share
シナリオ No.3
スクリプトで実装していた機能が
「基本設定」機能で可能になります
GUIだし誰が見ても
解りやすい！
Windows Server
2008 ～
グループポリシー基本設定
グループポリシーの拡張機能
2008～
基本設定の場所
コレ！
コレ！
「基本設定」の
さらなる特徴
適用対象範囲への柔軟なフィルタ
コンピュータ名やIPアドレスなど多数のフィルタ条件が用意
されています！(以下は抜粋）
バッテリの存在でターゲットを設定する コンピューター名でターゲットを
設定する
CPU 速度でターゲットを設定する
日付の一致でターゲットを
設定する
オペレーティング システムで
ターゲットを設定する
環境変数でターゲットを設定する
IP アドレスの範囲でターゲットを
設定する
言語でターゲットを設定する
MAC アドレスの範囲でターゲットを
設定する
ポータブル コンピューターで
ターゲットを設定する
ネットワーク接続でターゲットを
設定する
ユーザーでターゲットを設定する
http://technet.microsoft.com/ja-jp/library/cc733022.aspx
たとえばこんなフィルタ・・・
通常のグループポリシーは
PC のグループポリシー専用の
レジストリ領域を操作する
・エンドユーザーによる変更はできない
・グループポリシーを無効にすると設定は解除される
基本設定は
PC のレジストリを直接変更
・エンドユーザーによる変更が可能
・原則としてポリシーを無効にしても設定は残る
(タトゥ―効果）
基本設定は
設定を一度だけ適用したり、適用対象外
になった時に設定を削除できる
タトゥー効果を
防ぐには
ココをチェック
たとえば・・・
Webシステムの勤怠管理ソフトを
ユーザーが自分の PC にログオンしたら、
一度だけブラウザを立ち上げて表示させ
たい。
P-01
一度だけ
基本設定
ユーザーの構成
– 基本設定
－Windows の設定
―レジストリ
新規作成
－レジストリ項目
―「全般」タブ
全般タブの
入力項目
アクション：
ハイブ：
キーのパス：
更新
HKEY_CURRENT_USER
Software¥Microsoft¥Windows¥CurrentVersion¥RunOnce
値の名前：
適宜
※ ここでは「IEAUTO」
REG_SZ
iexplore.exe <表示したい URL>
※ ここではBing
値の種類：
値のデータ：
P-01
共通タブの
入力項目
「1 度だけ適用し、再適用しない」 のチェック
を入れて、[OK] をクリックします。
デスクトップに
ログオンすると
ドメインに参加しているクライアントから、ドメインユーザーで
RunOnce レジストリキーに登録されているエントリを読み込み、
IE が立ち上がって指定されたページが一度だけ表示されます。
まとめ
グループポリシーは
さまざまな機能が存在します。
うまく組み合わせれば
システム管理者の負荷が
軽減できます！
ぜひ使いこなしましょう！
ご清聴ありがとうございました。
株式会社IPイノベーションズ
≪一社向けコース一覧≫ (抜粋）（2014年度版）
IPイノベーションズでは、下記のコースを中心に、テクニカル研修を行っております。
ご多忙な技術者の方々にも受講いただけるよう、時間や日数をカスタマイズしたり、
ご要望に合わせたカリキュラムを設計することが可能でございます。
また、貴社の求める人材像に合わせて、技術研修を設計することも可能です。
http://www.ipii.co.jp
e-mail：[email protected]
TEL：03-5577-8350
お問い合わせ、お待ちしております。
■ Microsoft 関連コース ■ ［Office 365 / Microsoft Office］
コースコード
コース名
日数例
学習形態
MI127
すぐに始められる Office 365 管理の基礎（#50563）
6時間×1日間
講義＋実機演習
MI130
Office 365 Outlook と Exchange Online の活用（#50581）
6時間×1日間
講義＋実機演習
MI131
Office 365 SharePoint Online の活用（#50582）
6時間×1日間
講義＋実機演習
MI137
【最新版 Office ユーザートレーニング】 Office 365 ProPlus / Office 2013
ご相談ください
講義＋実機演習
■ Microsoft 関連コース ■ ［Windows 7／Windows ８］
コースコード
コース名
MI101
Windows 7 クライアントのインストールおよび構成（#10226）
6時間×3日間
日数例
学習形態
講義＋実機演習
MI141
Windows 7 展開環境の計画と管理(#50498)
6時間×3日間
講義＋実機演習
MI145
Windows 8 の構成(#23687)
6時間×5日間
講義＋実機演習
■ Microsoft 関連コース ■ ［Server 関連］
コースコード
コース名
日数例
学習形態
MI105
Windows Server 2008 Active Directory の基礎(#6858)
6時間×3日間
講義+実機演習
MI106
Windows Server 2008 のサーバーの計画と管理(#6749)
6時間×5日間
講義+実機演習
MI108
Windows Server 2008 ネットワーク インフラストラクチャの構成とトラブルシューティング(#6743)
6時間×5日間
講義+実機演習
MI111
Windows Server 2008 Active Directory ドメイン サービスの構成およびトラブルシューティング（#6239B）
6時間×5日間
講義+実機演習
MI138
Microsoft SQL Server 2008 システム管理 （#50497）
6時間×3日間
講義+実機演習
MI139
早わかり！Windows Server 2012 の新機能 ～ここが変わった Windows Server 2012 ～
6時間×1日間
講義+実機演習
MI142
Windows Server 2012 のインストールおよび構成(#23410)
6時間×5日間
講義+実機演習
MI143
Windows Server 2012 の管理(#23411)
6.5時間×5日間
講義+実機演習
Windows Server 2003 から Windows Server 2012 への移行
6時間×1日間
講義+実機演習