目次
グループポリシーと4つの階層のイメージ図
グループポリシーとは (Group Policy)
Windowsネットワーク(Active Directory環境)において、ユーザーやコンピューターの設定を一括で管理・制限するための機能です。
管理者が一か所から設定を定義すると、ドメイン内の多数のPC・ユーザーに自動的に適用されます。
1. 主な役割とメリット
グループポリシーを使用することで、管理者は以下のような操作をサーバーから一斉に行えます。
| セキュリティの強化 | パスワードの最小桁数を決めたり、USBメモリの使用を禁止したりできます。 |
| 運用コストの削減 | ソフトウェアの自動インストールや、デスクトップの壁紙、ブラウザのお気に入り設定などを統一できます。 |
| 設定の強制 | ユーザーが勝手にコントロールパネルの設定を変更できないように制限をかけられます。 |
2. GPO(グループポリシーオブジェクト)
具体的な設定内容は、GPO(Group Policy Object)という単位で作成されます。
例えば、USB禁止ポリシーやパスワード強化ポリシーといった個別のルール(GPO)を作り、それを特定の部署やグループに紐付けることで機能します。
3.適用される順番
LSDOU
LSDOU(エルエスドウ)とは、グループポリシーが適用される順番を示す略語です。
| Local | ローカルポリシー(個々のパソコンの設定) |
| Site | サイトポリシー(物理的な拠点ごと) |
| Domain | ドメインポリシー(会社全体) |
| OU (Organizational Unit) | OUポリシー(組織単位:営業部、総務部などの部署ごと) |
後から適用されるほど優先度が高いため、競合した場合、上の表では下の設定が勝ちます。
たとえばローカルポリシー(L)でUSBを許可していても、ドメインポリシー(D)でUSB禁止と設定されていれば、ドメインポリシー(D)が上書きしてUSB禁止になります。
OUは入れ子にできるため、親OUより子OUのほうが優先されます。これがLSDOUのUが付いている理由です。
1.OUポリシーとは (OU Policy)
OUポリシーとは、Active DirectoryのOU(Organizational Unit/組織単位)に適用されるグループポリシーオブジェクト(GPO)です。
OU(組織単位)とは
ADの中で、ユーザーやコンピューターを部署、プロジェクト、役割などの単位で区切ったコンテナ(フォルダのようなもの)のことです。
例: 営業部、開発部、役員、共有PCといった名前で作成されます。
OUポリシーの役割
ドメインポリシーが全社員共通のルールを決めるのに対し、OUポリシーは特定のグループだけに例外や追加のルールを適用できます。
実務でグループポリシーを運用する場合、このOUポリシーが最も使われます。
例
- 営業部には社外持ち出し用PCの設定を、開発部には特定の開発ツールの使用許可を適用する。
- 一般社員にはコントロールパネルを禁止するが、管理者OUには制限なしを適用する。
- 会議室にあるPCだけ「自動サインイン」させ、デスクトップの壁紙を「社内案内図」に固定する。
部署ごとの細かい要件をドメインポリシーに詰め込むと管理が煩雑になるため、OUで整理して適用するのがActive Directory運用のベストプラクティスとされています。
OUの入れ子と継承
OUは入れ子(ネスト)にできるため、親OUのポリシーは子OUに継承されます。
さらに子OUに別のGPOを適用すると、子OUのGPOが親OUを上書きします。
継承のブロックも可能で、特定のOUで上位ポリシーを引き継がないという設定もできます。
2.ドメインポリシーとは (Domain Policy)
ドメインポリシー(Domain Policy)とは、WindowsのActive Directory環境での、コンピューターネットワーク上のドメイン全体に適用されるルールや設定の集合です。
グループポリシー(GPO)との関係
ドメインポリシーはグループポリシーオブジェクト(GPO)を通じて実装されることが多く、ドメイン内のすべてのコンピューターやユーザーに一括で設定を適用できます。
具体的な設定例
- パスワードの複雑さや有効期限のルール
- アカウントロックアウトのポリシー(ログイン失敗回数の制限など)
- ソフトウェアのインストール制限
- デスクトップ環境の統一(壁紙、スタートメニューなど)
- セキュリティ設定(ファイアウォール、暗号化など)
使用する理由
企業や学校などの組織では、多数のPCを個別に管理するのは非効率です。
ドメインポリシーを使うことで、管理者が一か所から全端末に設定を配布・強制できるため、セキュリティの統一や運用コストの削減が実現できます。
3.サイトポリシーとは (Site Policy)
サイトポリシー(Site Policy)とは、Active Directoryのサイトという単位に適用されるグループポリシーオブジェクト(GPO)です。
※サイトポリシーはあまり使われません。ドメインポリシーとOUポリシーだけで運用しているケースが多いです。
サイトとは
Active Directoryにおけるサイトは、物理的なネットワークの場所を表します。
IPサブネットをもとに定義され、たとえば東京オフィス・大阪オフィス・海外拠点といった、地理的・ネットワーク的に分かれた拠点のことです。
できること
ネットワークの物理的な場所に依存した設定を行う際に使います。
- 拠点ごとに異なるプロキシサーバーの設定
- ネットワーク帯域が細い拠点向けの通信最適化
- 特定拠点のみに適用するセキュリティポリシー
4.ローカルポリシーとは (Local Policy)
ローカルポリシー(Local Policy)とは、個々のPC(コンピューター)に直接設定するポリシーです。
Active Directoryのドメインに参加していなくても動作します。
設定できる主な内容
| アカウントポリシー | パスワードの最低文字数・複雑さの要件 パスワードの有効期限 ログイン失敗時のアカウントロックアウト回数 |
| ローカルポリシー | ユーザー権限の割り当て(誰がログインできるか) 監査ポリシー(ログイン成功・失敗の記録) セキュリティオプション(画面ロックの設定など) |
| Windowsの設定 | スクリーンセーバーの強制 コントロールパネルへのアクセス制限 ソフトウェアの実行制限 |
設定方法
Windowsの「ファイル名を指定して実行」で gpedit.msc(※)と入力すると、ローカルグループポリシーエディターが開き、設定できます。
※ローカルグループポリシーエディターはHome版には搭載されていません。
個人用途のHome版では、設定アプリやレジストリエディターで代替するのが現実的です。
ローカルグループポリシーとは
関係のイメージ
ローカルグループポリシー
├─ ローカルポリシー(セキュリティ設定)
├─ 管理用テンプレート
├─ スクリプト
└─ その他設定
ローカルグループポリシーとは、PC単体で管理するグループポリシーの仕組みです。
→ローカルグループポリシー エディター (gpedit.msc)で設定できます。
ローカルポリシーは、PC単体に適用されるポリシーの概念です。
→ローカルセキュリティポリシー (secpol.msc)で設定できます。
gpedit.mscという大きな設定ツールの中にある特定の階層が、ローカルポリシー(secpol.msc)として独立して存在しているという関係です。
| ツール名(実行コマンド) | 内容 | 役割 |
|---|---|---|
| ローカル グループ ポリシー (gpedit.msc) | OSの全設定(壁紙、更新、制限など) | 総合窓口。何でもできる。 |
| ローカル セキュリティ ポリシー (secpol.msc) | セキュリティ設定のみ | 専門窓口。パスワードや権限設定に特化。 |
関連の記事