目次
グループポリシーと4つの階層のイメージ図
グループポリシーとは (Group Policy)
Windowsネットワーク(Active Directory環境)において、ユーザーやコンピューターの設定を一括で管理・制限するための機能です。
管理者が一か所から設定を定義すると、ドメイン内の多数のPC・ユーザーに自動的に適用されます。
1. 主な役割とメリット
グループポリシーを使用することで、管理者は以下のような操作をサーバーから一斉に行えます。
| セキュリティの強化 | パスワードの最小桁数を決めたり、USBメモリの使用を禁止したりできます。 |
| 運用コストの削減 | ソフトウェアの自動インストールや、デスクトップの壁紙、ブラウザのお気に入り設定などを統一できます。 |
| 設定の強制 | ユーザーが勝手にコントロールパネルの設定を変更できないように制限をかけられます。 |
2. GPO(グループポリシーオブジェクト)
具体的な設定内容は、GPO(Group Policy Object)という単位で作成されます。
例:
USB禁止ポリシーやパスワード強化ポリシーといった個別のルール(GPO)を作成。
→それを特定の部署やグループに紐付ける。
3.適用される順番
以下の表では、上の設定が勝ちます。
| OU (Organizational Unit) | OUポリシー(組織単位:営業部、総務部などの部署ごと) |
| Domain | ドメインポリシー(会社全体) |
| Site | サイトポリシー(物理的な拠点ごと) |
| Local | ローカルポリシー(個々のパソコンの設定) |
例:以下の場合は、ドメインポリシーが勝ちます。
・ドメインポリシーでUSB禁止
・ローカルポリシーでUSBを許可
→USB禁止になります。
1.OUポリシーとは (OU Policy)
OUポリシーとは、OU(Organizational Unit/組織単位)に適用されるグループポリシーオブジェクト(GPO)です。
OU(組織単位)とは
ADの中で、ユーザーやコンピューターを部署、プロジェクト、役割などの単位で区切ったコンテナ(フォルダのようなもの)のことです。
例: 営業部、開発部、役員、共有PCといった名前で作成されます。
OUポリシーの役割
OUポリシーは特定のグループだけに例外や追加のルールを適用できます。
実務でグループポリシーを運用する場合、このOUポリシーが最も使われます。
※ドメインポリシーは全社員共通のルールを決めます。
例
- 営業部には社外持ち出し用PCの設定を、開発部には特定の開発ツールの使用許可を適用する。
- 一般社員にはコントロールパネルを禁止するが、管理者OUには制限なしを適用する。
- 会議室にあるPCだけ自動サインインさせ、デスクトップの壁紙を社内案内図に固定する。
部署ごとの細かい要件をドメインポリシーに詰め込むと管理が煩雑になるため、OUで整理して適用するのがActive Directory運用のベストプラクティスとされています。
OUの入れ子と継承
OUは入れ子(ネスト)にできるため、親OUのポリシーは子OUに継承されます。
さらに子OUに別のGPOを適用すると、子OUのGPOが親OUを上書きします。
継承のブロックも可能で、特定のOUで上位ポリシーを引き継がないという設定もできます。
2.ドメインポリシーとは (Domain Policy)
ドメインポリシー(Domain Policy)とは、コンピューターネットワーク上のドメイン全体に適用されるルールや設定の集合です。
グループポリシー(GPO)との関係
ドメインポリシーはグループポリシーオブジェクト(GPO)を通じて実装されることが多く、ドメイン内のすべてのコンピューターやユーザーに一括で設定を適用できます。
具体的な設定例
- パスワードの複雑さや有効期限のルール
- アカウントロックアウトのポリシー(ログイン失敗回数の制限など)
- ソフトウェアのインストール制限
- デスクトップ環境の統一(壁紙、スタートメニューなど)
- セキュリティ設定(ファイアウォール、暗号化など)
使用する理由
企業や学校などの組織では、多数のPCを個別に管理するのは非効率です。
ドメインポリシーを使うことで、管理者が一か所から全端末に設定を配布・強制できるため、セキュリティの統一や運用コストの削減が実現できます。
3.サイトポリシーとは (Site Policy)
サイトポリシー(Site Policy)とは、サイトという単位に適用されるグループポリシーオブジェクト(GPO)です。
※サイトポリシーはあまり使われません。ドメインポリシーとOUポリシーだけで運用しているケースが多いです。
サイトとは
Active Directoryにおけるサイトは、物理的なネットワークの場所を表します。
IPサブネットをもとに定義され、たとえば東京オフィス・大阪オフィス・海外拠点といった、地理的・ネットワーク的に分かれた拠点のことです。
できること
ネットワークの物理的な場所に依存した設定を行う際に使います。
- 拠点ごとに異なるプロキシサーバーの設定
- ネットワーク帯域が細い拠点向けの通信最適化
- 特定拠点のみに適用するセキュリティポリシー
4.ローカルポリシーとは (Local Policy)
ローカルポリシー(Local Policy)とは、個々のPC(コンピューター)に直接設定するポリシーです。
Active Directoryのドメインに参加していなくても動作します。
設定できる主な内容
| アカウントポリシー | パスワードの最低文字数・複雑さの要件 パスワードの有効期限 ログイン失敗時のアカウントロックアウト回数 |
| ローカルポリシー | ユーザー権限の割り当て(誰がログインできるか) 監査ポリシー(ログイン成功・失敗の記録) セキュリティオプション(画面ロックの設定など) |
| Windowsの設定 | スクリーンセーバーの強制 コントロールパネルへのアクセス制限 ソフトウェアの実行制限 |
設定方法
Windowsの「ファイル名を指定して実行」で gpedit.msc(※)と入力すると、ローカルグループポリシーエディターが開き、設定できます。
※ローカルグループポリシーエディターはHome版には搭載されていません。
個人用途のHome版では、設定アプリやレジストリエディターで代替するのが現実的です。
ローカルグループポリシーとは
| ツール名(実行コマンド) | 役割 | 内容 |
|---|---|---|
| ローカル グループ ポリシー (gpedit.msc) | 全体 | Windows の全設定(壁紙、Update、セキュリティ等) |
| ローカル セキュリティ ポリシー (secpol.msc) | セキュリティ特化 | パスワード、監査、権限など |
| ローカルポリシー | 個別のアクション制御 | 監査、ユーザー権利、セキュリティオプション |
ローカルグループポリシーとは、そのコンピュータ単体の動作や外観、セキュリティ設定を一括で管理するための仕組みです。gpedit.mscで起動します。
ローカルセキュリティポリシー とは、ローカル グループ ポリシーの一部であり、特にセキュリティに関連する設定に特化した管理ツールです。secpol.mscで起動します。
ローカルポリシーは、ローカルセキュリティポリシーの中に含まれる、より具体的な動作権限や詳細なセキュリティ挙動を規定する設定項目です。
関連の記事