アクティブディレクトリ管理のダイナミックな領域では、グループポリシーオブジェクト(GPO)のマスタリングは、どの管理者にとっても重要なスキルです。このステップバイステップのガイドでは、GPOの作成とリンクのシームレスなプロセスを明らかにし、アクティブディレクトリの複雑さをナビゲートする包括的なロードマップを提供します。この記事は、私たちが基本を理解するだけでなく、ネットワーク管理の旅でGPOを効果的に扱う自信を得ることを保証します。
また、アクティブディレクトリセキュリティの強化にグループポリシーを使用するも参照してください。
アクティブディレクトリでGPOを作成およびリンクする方法(ステップバイステップ)
グループポリシーオブジェクトの概要グループポリシーオブジェクト (GPO)は、Windowsアクティブディレクトリ環境における中央集権的管理の基盤です。基本的に、GPOは管理者がネットワーク内のユーザーとコンピューター の動作を規定するために定義するルール、設定、および設定のセットです。GPOを実装することで、管理者はセキュリティポリシーを強制し、システム設定を規制し、ソフトウェアを展開し、ネットワーク管理のさまざまな側面を効率化します。
グループポリシーオブジェクト(GPO)は、Windows Active Directory環境における中央集中管理の基盤です。基本的に、GPOは、管理者がネットワーク内のユーザーとコンピューターの振る舞いを規定するために定義するルール、構成、および設定のセットです。GPOを実装することで、管理者はセキュリティポリシーを施行し、システム設定を規制し、ソフトウェアを展開し、ネットワーク管理のさまざまな側面を効率化することができます。
この強力なツールは、組織の効率性を向上させるだけでなく、管理者が複数のデバイスとユーザーに対して制御を行い、ポリシーを施行することで、一貫性のある安全なコンピューティング環境を確保します。
グループポリシーオブジェクトの操作
GPOは2つの異なる方法で機能します。ローカルマシンでは、ローカルグループポリシーエディタを使用して行います。エンタープライズシステムでは、Group Policy Management Console (GPMC)を使用します。この記事では、ローカルポリシーがドメインポリシーの前に処理されるため、堅牢な環境を維持および作成するために、エンタープライズシナリオに焦点を当てます。
Group Policy RSATツールのインストール
クラシックなRemote Server Administration Tool(RSAT)ツールキットのコンポーネントの1つは、Group Policy Management Consoleです。このMMCベース(Microsoft Management Console)のソリューションを、現在のWindows設定アプリを使用してWindowsにインストールできます。
Group Policy設定は、ドメインコントローラ(DC)の「SYSVOL」共有フォルダに保存され、必要に応じてこれらの設定をドメインおよびフォレスト内のすべての他のDCにレプリケートします。このプロセスは、Group Policyインフラの組み込みの冗長性を説明しています。
進めるために、グループポリシー管理コンソールのインストール方法を示します:
- まず、スタートボタンをクリックし、「オプション」というキーワードで検索します。
- 上部の「オプションの管理」と「+ 機能の追加」ボタンをクリックします。
- 下にスクロールし、「RSAT: グループポリシー管理ツール」のチェックボックスを選択し、「インストール」をクリックします。
これで、グループポリシー管理コンソールが利用できるようになります。グループポリシー管理コンソール(GPMC)を開くには、次の手順に従ってください:
- 実行ダイアログを使用する:
-
- Windows + Rを押して を開きますRun ダイアログボックス。
- gpmc.msc と入力して Enter キーを押します。
2. スタートメニュー経由:
-
- スタートボタンをクリックします。
- 検索バーに「Group Policy Management Console」と入力します。
- 表示される関連結果をクリックします。
3. サーバーマネージャー経由 (Windows Server):
-
- Windows Serverを使用する場合、サーバーマネージャーを開きます。
- サーバーマネージャーウィンドウで、右上隅にある「ツール」をクリックします。
- リストから「グループポリシー管理」を選択します。
ここで、グループポリシー管理コンソールが表示されます。ここでは、グループポリシーを配置し、組織内の特定の論理エンティティをターゲットにする方法を紹介します。
グループポリシー管理コンソールを使用して、以下の複数の機能を実行します。たとえば、既存のグループポリシーオブジェクト(GPO)を変更したり、新しいGPOを生成したり、特定のGPOのフィルタリング設定をグループレベルで調整したり、WMIフィルタリングを使用して特定のコンピューターを特定します。次のセクションでは、新しいGPOの作成から始めます。
また、InfraSOSによるActive Directory Reporting Toolをチェックしてください
新しいグループポリシーオブジェクトの作成
さて、新しいグループポリシーオブジェクトを作成してみましょう:
- 「ドメインWindowsコンピュータ」を右クリックして、「このドメインでGPOを作成し、ここにリンクする…」を選択します。
2. それを「スタートメニューのクリーンアップ」と名前を付け、OKをクリックします。
3. GPOを編集:リンクされたGPOを右クリックして、編集を選択します。
4. ポリシー設定に移動:
-
- グループポリシー管理エディタで、次のメニューに移動します:
- コンピュータの構成 -> ポリシー -> Windows設定 -> セキュリティ設定 -> ローカルポリシー -> ユーザー権利の割り当て。
5. ポリシー設定を変更します:
-
- 以下の例のように、必要なポリシーを探します:
- ポリシーをダブルクリックし、「これらのポリシー設定を定義」を選択し、「有効」を選択します。
6. 保存して閉じます:
-
- 変更を適用するには「OK」をクリックします。
- Group Policy Management Editor を閉じます。
グループポリシーを更新するか、更新を待ちます
この設定は環境でアクティブになっていることに注意してください。次の更新時には、そのOU内のすべてのコンピュータオブジェクトがそれを見ます。グループポリシーは、デフォルトで90分ごとにドメインのPCおよびサーバーで処理され、ランダムな30分のオフセットがあります。それでも、gpresult コマンドは、テストやトラブルシューティングに役立つ貴重なツールです。
私たちのシステムがオブジェクトを非表示にしていることを確認するには、右クリックして、スタートボタンを選択し、シャットダウンまたはサインアウトメニューを選択します。
この比較的簡単な変更により、ユーザーがマシンを再起動またはシャットダウンすることを防ぎます。この種の設定には多くの変数とアプリケーションがあります。
グループポリシーオブジェクトをリンク
- 組織単位(OU)またはドメインにGPOをリンクします:
-
- GPOをリンクしたい対象のOUまたはドメインに移動します。
- OUまたはドメインを右クリックし、「既存のGPOをリンク」を選択し、「ドメインコントローラーセキュリティロックダウン」を選択します。
2. リンクを確認します:
-
- A dialog box appears. Confirm our selection by clicking “Yes.”
3. リンクの確認:
-
- GPMCで、ターゲットOUまたはドメインの下で、「ドメインコントローラーセキュリティロックダウン」GPOがリンクされていることを確認します。
4. 更新の強制またはグループポリシーの適用を待つ:
-
- コマンドプロンプトで gpupdate /force を使用して、ドメインコントローラーにグループポリシーの更新を強制するか、次の更新時にポリシーが適用されるのを待ちます。
これで、GPOとドメインコントローラーが接続されました。次回、ドメインコントローラーがグループポリシーの変更を確認する際に、そのGPO内の設定を処理します。設定のコレクションを一度作成して整えたら、環境内のコンテナに迅速にリンクまたは展開します。
Windows Server 2022でActive Directoryを設定する方法
既存のグループポリシーオブジェクトの変更
大規模なビジネスの単一ドメインには何百、何千ものGPOがあることが予想されます。子のOU、ローカルGPO、そしてローカルポリシーの混在に加えて、特定のGPOを継承し、WMIを使用して特定のOSシステムをターゲットにする複雑さがあります。さらに、ドメイン内のGPOの数が多いため、PCの起動時やユーザーのログイン時に一般的なパフォーマンスペナルティが発生します。
グループポリシーオブジェクトのスコープ
ドメインのルートには、ほとんどのGPOが配置されています。この手順により、ドメイン内のすべてのマシンとサーバーオブジェクトがデフォルトでこのGPOを表示および使用します。さらに、特定のユーザー、マシン、組織単位、およびセキュリティグループを除外する技術もあります。
このプロセスにより、Security Filteringセクションで認証済みユーザーグループを表示できます。このフィルタリングは、事実上、「誰でも」:このGPOはドメインで認証されたアカウントに表示されます。
グループポリシーオブジェクトを編集する
さて、現在のGPOの編集を試してみましょう:
- 対象のGPOを右クリックし、「編集」を選択して変更プロセスを開始します。
- 論理的なレイアウトをナビゲートし、コンピューター構成およびユーザー構成ツリーを含みます。
- WSUSの設定を見つけて調整するには、コンピューター構成を展開し、->ポリシー->管理用テンプレート->Windowsコンポーネント->Windows Update。
- ‘自動更新の構成’など、変更したい特定の設定を特定します。
- 選択した設定のプロパティにアクセスして構成オプションを分析します。
- 必要な調整を行い、GPOを目的のポリシー変更に合わせます。
このプロセスはより深く関与する設定です。これらは私のドメインのWindows更新をどのように更新するかの設定です。しかし、ここでのポイントは、すべてのコンピューター(または一部)を中央で管理することです。
このプロセスは、グループポリシーオブジェクト(GPO)がコンピューター設定に制限を強制する方法を示しています。このワークステーションでWindows Updateの詳細オプションを調べるとします。その場合、「Windowsを更新するときに他のMicrosoft製品の更新を受信する」という初期設定が現在グループポリシーによって管理されていることがわかります。
技術的には、このコンピューターにいくつかのグループポリシーを適用しているということですが、これらの設定を調整することはできません。
また、Windows Serverのコンプライアンスおよびガバナンスポリシーの実装方法を参照してください。
グループポリシーオブジェクトの管理
新しいドメインを作成すると、当社のWindows Serverはデフォルト構成として2つのGPOを生成します。すなわち、「デフォルトドメインポリシー」と「デフォルトドメインコントローラーポリシー」です。これらのGPOは、少なくともドメインパスワードポリシー、アカウントロックアウトポリシー、Kerberosポリシー、基本的なセキュリティオプション、およびさまざまな他のネットワークセキュリティ構成のパラメータを決定します。
数十年にわたり、これらの2つのポリシーを変更すべきではないという慣行があります。代わりに新しいGPOを作成するべきです。これにはいくつかの理由がありますが、最も基本的な理由は、ドメインのトラブルシューティング時にこれらのデフォルト構成を変更すべきではないことを知っておく必要があるということです。
グループポリシーオブジェクトを無効にする
GPO を無効にして、今後のコンピューターに影響を与えないようにするには、GPO を右クリックして リンクの無効化 を選択します。この操作により、リンクが切断され、GPO が無効または 休止 に移行します。
グループ ポリシー オブジェクトを削除する
クリーンアップおよびトラブルシューティング タスク中に、GPO を削除するには、それを右クリックして削除を選択します。包括的かつ効率的なアプローチを取るために、ツリー内のグループ ポリシー オブジェクト ビューに移動し、削除プロセスを開始します。
Active Directory で GPO を作成してリンクする方法 (ステップ バイ ステップ) をお読みいただきありがとうございます。記事を終了します。
Active Directory で GPO を作成してリンクする方法 結論
総括すると、Active Directory でのグループ ポリシー オブジェクト (GPO) の作成とリンクのマスタリングは、ネットワーク管理の複雑な景色を航行する管理者にとって不可欠なスキルです。このステップ バイ ステップ ガイドは、GPO をシームレスに実装するための知識と自信を提供し、プロセスを解明する実践的なアプローチを提供しています。Active Directory 管理の旅を始めるにあたり、GPO を効果的に活用する能力は、システム構成を最適化するだけでなく、ネットワーク全体でセキュアなコンピューティング環境を維持する力を与えてくれます。
Source:
https://infrasos.com/how-to-create-and-link-a-gpo-in-active-directory/