Active Directory のおさらいをしましょう! ~ グループポリシー編 ~ Cloud OS RoadShow

Active Directory

のおさらいをしましょう！

～グループポリシー編～

Cloud OS RoadShow

2014.5.24

自己紹介

宮川 麻里（みやかわ まり）

S

ystem

C

enter

U

sers

G

roup

J

apan

所属

M

icrosoft

C

ertified

T

rainer

主な担当コース

・

_{Windows Server 関連}

Active Directory

Windows Server 2003 からの移行

・

_{Office 365 関連}

・

_{SQL Server}

アジェンダ

・

グループポリシーのおさらい

・グループポリシーのうれしい機能

・まとめ

グループポリシーの目的は？

ユーザーやコンピューターの

一元管理！

ドメインコントローラー

GPO

OR

ソフトウェアの

インストールや制御

GPO

リムーバブル記憶

媒体の利用禁止

GPO

Windows 機能の制限

グループポリシーでできること

P-01

グループポリシーの作成箇所

グループポリシー管理コンソール（GPMC)

GPOの作成や

バックアップなど

管理

グループポリシーの設定箇所

グループポリシー管理エディタ

コンピューターの構成

ユーザーの構成

グループポリシーの動作

GPO は作成しただけでは

動かない！

ドメイン/サイト

/OU のいずれか

へリンクする

グループポリシーの適用順序

ドメイン

OU

サイト

LSDOU

ローカル

グループポリシーの適用順序

ドメイン

OU

サイト

ローカル

レジストリ

操作禁止！

有効

有効

有効

レジストリ

操作禁止！

は無効

無効

Sales_OU

グループポリシーの適用順序

ドメイン

OU

サイト

ローカル

レジストリ

操作禁止！

有効

有効

有効

レジストリ操

作禁止！

無効

Sales_OU

×

継承のブロック

USB利用禁止

グループポリシーの適用順序

ドメイン

OU

サイト

ローカル

レジストリ

操作禁止！

有効

有効

有効

レジストリ操

作禁止！

無効

Sales_OU

強制

有効

グループポリシーの適用されるタイミング

ログオン時または起動時に適用

コンピューターの構成⇒起動時/ユーザーの構成⇒ログオン時

GPUPDATE.EXE コマンドで強制適用

/Force オプションをつけると全ポリシーを更新

Invoke-GPUPDATE コマンドでリモート更新

Power Shell のコマンドレット

グループポリシーの適用されるタイミング

Invoke-GPUpdate -Computer <コンピューター名> -Force

Windows ファイアウォールで以下の規制を有効！

・

スケジュールされたリモートタスク管理 (RPC)

・スケジュールされたリモートタスク管理 (RPC-EPMAP)

・Windows Management Instrumentation (WMI受信)

Windows

Server 2012

Windows 8

Windows Server 2012 からといえば・・

グループポリシーの設定項目数が

さらに増えました！

Windows Server 2008 / Vista

管理用テンプレート：2,746 セキュリティ設定：167

Windows Server 2008 R2 / Windows 7

管理用テンプレート：3,102 セキュリティ設定：169

Windows Server 2012 R2 / Windows 8.1

管理用テンプレート：

3,631

http://technet.microsoft.com/ja-jp/windowserver/bb310732.aspx

グループポリシーセッティングリファレンス

管理用テンプレートといえば・・・

Windows Server 2008

Windows Vista からは

ADMXファイル

管理用テンプレートファイル

• テンプレートの追加は、管理用テンプレート ファイルを

MSサイトからダウンロードして上記フォルダーに保存するだけでOK！

言語依存情報

ファイル

(*.adml)

言語非依存情報

ファイル (*.admx)

ADMXファイル

*.admx

言語情報に依存しないファイル

*.adml

言語依存情報ファイル

C:¥Windows

¥PolicyDefinitions

¥ja-jp

管理用テンプレートファイル

ADMXファイルの形式になり、

何がよくなったかというと・・・

管理用テンプレートファイル

GPOの数が多いとレプリケーションの負荷！

ADM ファイルでは GPO 毎にテンプレートがコピー

GPO

ポリシー

テンプレート

ポリシー

テンプレート

GPO

ポリシー

テンプレート

GPO

SYSVOL

SYSVOL

GPO

ポリシー

テンプレート

ポリシー

テンプレート

GPO

ポリシー

テンプレート

GPO

2003・XP

までは

管理用テンプレートファイル

ADMX ファイルでは中央ストアに確認して GPO が

参照する形式に！

GPO

ポリシー

テンプレート

ポリシー

GPO

ポリシー

GPO

SYSVOL

中央ストア

C:¥Windows

¥PolicyDefinitions

コピー

レプリケーションの負荷軽減！

全社員の PC

新しいものに交換しておいて

ユーザーにはPCのAdmin権限を付与せずに

情報システム部の管理

としている企業にて・・・

80台分設定

しないと…

シナリオ No.1

制限されたグループ

ユーザーの PC の Administrators

にドメインの情シスのヘルプデスクG

を追加する

制限されたグループ

クライアント PC それぞれで設定する

必要がなくなり作業負担が軽減されます。

制限されたグループ

P-01

社内環境でストアアプリ使用の禁止！

方法① グループポリシーの「ストア」を利用

Windows Server 2012 の既定値では

Windows ストアアプリ

管理用テンプレートを ¥PolicyDefinitions

フォルダにコピーする

「デスクトップエクスペリエンス」

のインストール

あるいは

C:¥Windows

¥PolicyDefinitions

P-01

「ストア」が表

示されます

「ストア」

－「ストアアプリをオフにする」

ー「有効」

AppLocker とは

特定のアプリケーションの実行を

禁止

したり許可したりする方法

適用先

｢コンピューターの構成｣のみ

方法② AppLocker 機能を利用

Windows 7 Professional や Vista ならば

「ソフトウェアの制限のポリシー」

機能が

利用可能

※ 以下の環境から利用可能

Windows 7 Enterprise / Windows 8 EnterPrise

Windows Server 2008 R2

Windows Server 2012 (全エディション）

Windows Server 2012 R2

ソフトウェアの制限のポリシーと

APPLockerの違い（抜粋）

ソフトウェアの

制限のポリシー

APPLocker

対象範囲

全ユーザー

特定のユーザーや

グループ

対象OS

Windows XP・Windows

Server 2003 以降

Windows 7 Windows 8

EnterPrise

Windows Server 2008 以

降

規制のインポート・

エクスポート

×

可能

PowerShell サポート

×

可能

Test-AppLockerPolicy

コマンドでテストも可能！

コンピューターの構成

－ポリシー

－Windowsの設定

－セキュリティの設定

－システム サービス

ー「Application Identity」

方法②の手順

サービスのスタートアップ

モードを「自動」にする

コンピューターの構成

－ポリシー

－Windowsの設定

－セキュリティの設定

－AppLocker

「

既定の規則の作成

」を選ん

で対象ユーザーに対して拒否

を選択。

P-01

社員のドキュメントもバックアップ

の対象にしたい！

フォルダリダイレクト

個人のPCではなく、

ユーザーに意識させず

に

サーバーにファイルを格納できればバック

アップの対象にできる。

サインイン

サインアウト

サインイン

サーバー上の

ファイルを利用

フォルダリダイレクトの動作

「ユーザーの構成」

-「ポリシー」

-「Windowsの設定」

「ドキュメント」-「プロパティ」

「基本」ー全員のフォルダを同じ場所にリダイレクトする

「詳細設定」ーセキュリティグループ別に場所を指定する

適用対象となる

グループを指定

ドキュメント

に対する設定

ユーザーは

・利用するPCを意識せず作業ができる

・ファイル喪失に泣かずにすむ

アンマウント

#net use v: ¥¥sever01¥share

マウント

#net use v: ¥¥sever01¥share

ネットワークドライブのマウントとか・・・

Scriptで管理すると引き継ぎや PC への展開

が面倒

スクリプトで実装していた機能が

「基本設定」機能

で可能になります

GUIだし誰が見ても

解りやすい！

グループポリシー基本設定

グループポリシーの拡張機能

Windows Server

2008 ～

基本設定の場所

2008～

コレ！

コレ！

「基本設定」の

さらなる特徴

適用対象範囲への柔軟なフィルタ

コンピュータ名やIPアドレスなど多数のフィルタ条件が用意

されています！

(以下は抜粋）

バッテリの存在でターゲットを設定する コンピューター名でターゲットを

設定する

CPU 速度でターゲットを設定する

日付の一致でターゲットを

設定する

オペレーティング システムで

ターゲットを設定する

環境変数でターゲットを設定する

IP アドレスの範囲でターゲットを

設定する

言語でターゲットを設定する

MAC アドレスの範囲でターゲットを

設定する

ポータブル コンピューターで

ターゲットを設定する

ネットワーク接続でターゲットを

設定する

ユーザーでターゲットを設定する

http://technet.microsoft.com/ja-jp/library/cc733022.aspx

通常のグループポリシーは

PC の

グループポリシー専用の

レジストリ領域

を操作する

・エンドユーザーによる変更はできない

PC のレジストリを直接変更

・エンドユーザーによる変更が可能

・原則としてポリシーを無効にしても設定は残る

(タトゥ―効果）

設定を一度だけ適用したり、適用対象外

になった時に設定を削除できる

タトゥー効果を

防ぐには

ココをチェック

基本設定は

たとえば・・・

P-01

Webシステムの勤怠管理ソフトを

ユーザーが自分の PC にログオンしたら、

一度だけ

ブラウザを立ち上げて表示させ

たい。

一度だけ

ユーザーの構成

– 基本設定

－Windows の設定

―レジストリ

新規作成

－レジストリ項目

―「全般」タブ

P-01

アクション： 更新

ハイブ：

HKEY_CURRENT_USER

キーのパス： Software¥Microsoft¥Windows¥CurrentVersion¥RunOnce

値の名前：

適宜

※ ここでは「IEAUTO」

値の種類：

REG_SZ

値のデータ： iexplore.exe <表示したい URL>

※ ここではBing

全般タブの

入力項目

「1 度だけ適用し、再適用しない」 のチェック

を入れて、[OK] をクリックします。

共通タブの

入力項目

ドメインに参加しているクライアントから、ドメインユーザーで

RunOnce レジストリキー

に登録されているエントリを読み込み、

IE が立ち上がって指定されたページが一度だけ表示されます。

デスクトップに

まとめ

グループポリシーは

さまざまな機能が存在します。

うまく組み合わせれば

システム管理者の負荷が

軽減できます！

ぜひ使いこなしましょう！

株式会社IPイノベーションズ

≪一社向けコース一覧≫

(抜粋）

（2014年度版）

IPイノベーションズでは、下記のコースを中心に、テクニカル研修を行っております。

ご多忙な技術者の方々にも受講いただけるよう、

時間や日数をカスタマイズしたり

、

ご要望に合わせたカリキュラムを設計することが可能

でございます。

また、貴社の求める

人材像に合わせて、技術研修を設計することも可能

です。

お問い合わせ、お待ちしております。

■ Microsoft 関連コース ■ ［Office 365 / Microsoft Office］

コースコード コース名 日数例 学習形態

MI127 すぐに始められる Office 365 管理の基礎（#50563） 6時間×1日間 講義＋実機演習 MI130 Office 365 Outlook と Exchange Online の活用（#50581） 6時間×1日間 講義＋実機演習 MI131 Office 365 SharePoint Online の活用（#50582） 6時間×1日間 講義＋実機演習 MI137 【最新版 Office ユーザートレーニング】 Office 365 ProPlus / Office 2013 ご相談ください 講義＋実機演習

■ Microsoft 関連コース ■ ［Windows 7／Windows ８］

コースコード コース名 日数例 学習形態 MI101 Windows 7 クライアントのインストールおよび構成（#10226） 6時間×3日間 講義＋実機演習 MI141 Windows 7 展開環境の計画と管理(#50498) 6時間×3日間 講義＋実機演習 MI145 Windows 8 の構成(#23687) 6時間×5日間 講義＋実機演習

■ Microsoft 関連コース ■ ［Server 関連］

MI105 Windows Server 2008 Active Directory の基礎(#6858) 6時間×3日間 講義+実機演習 MI106 Windows Server 2008 のサーバーの計画と管理(#6749) 6時間×5日間 講義+実機演習 MI108 Windows Server 2008 ネットワーク インフラストラクチャの構成とトラブルシューティング(#6743) 6時間×5日間 講義+実機演習 MI111 Windows Server 2008 Active Directory ドメイン サービスの構成およびトラブルシューティング（#6239B） 6時間×5日間 講義+実機演習 MI138 Microsoft SQL Server 2008 システム管理 （#50497） 6時間×3日間 講義+実機演習 MI139 早わかり！Windows Server 2012 の新機能 ～ここが変わった Windows Server 2012 ～ 6時間×1日間 講義+実機演習 MI142 Windows Server 2012 のインストールおよび構成(#23410) 6時間×5日間 講義+実機演習 MI143 Windows Server 2012 の管理(#23411) 6.5時間×5日間 講義+実機演習 Windows Server 2003 から Windows Server 2012 への移行 6時間×1日間 講義+実機演習

http://www.ipii.co.jp

e-mail：[email protected]

TEL：03-5577-8350