このガイドは、Windowsローカルグループポリシーエディター(LGPE)を使用してWindowsデスクトップ環境のセキュリティ、パフォーマンス、および使いやすさを向上させる方法を理解するのに役立つことを目指しています。
ローカルグループポリシーエディターとは何ですか?
Windowsローカルグループポリシーエディターは、ローカルコンピューター上のグループポリシーオブジェクト(GPO)を管理および変更できるようにするMicrosoft Management Console(MMC)のスナップインです。ポリシーの変更は、Windowsレジストリ内の特定のキーへの変更を反映します。
中規模から大規模の企業では、グループポリシー設定はActive Directoryドメインコントローラーを介して管理され、エンドポイントにプッシュされます。LGPEは、特定の設定が期待どおりに機能していない理由を特定するためのトラブルシューティングオプションを上級ユーザーやITプロに提供します。また、Active Directory(AD)によって中央管理されていないコンピューターに対しては、LGPEを使用してITプロがWindows PCの構成変更を行うことができます。
ローカルグループポリシーエディターにアクセスする方法
LGPEを開くためのいくつかの方法があります。唯一の前提条件は、Windows 10/11 Home Editionにはインストールされておらず、サポートされていないことです。
以下は、ツールを起動するための最も一般的な方法です。
- キーボードで、Start ボタンと ‘R‘ キーをクリックして ‘Run’ ダイアログを開きます。 ‘gpedit.msc‘ と入力して Enter キーを押します。
- 検索ボックスを開いて ‘gpedit.msc‘ と入力することもできます。
- Windows の Start メニュー ボタンをクリックし、‘local group‘ と入力して、スタートメニューで ‘Edit group policy—Control Panel‘ を選択します。
- PowerShell – このコマンドを Windows ターミナルで実行して起動します – ‘Start-Process gpedit.msc‘。
- コマンドプロンプトを開いて gpedit.msc を実行することもできます。
- 管理ツール – Start ボタン をクリックし、右上隅の ‘All >‘ をクリックして、Windows Tools までスクロールし、それを開き、次に ‘Group Policy Management’ をダブルクリックします。
- 特記事項 – Active Directory Remote Server Administration Tools(RSAT)ツールがインストールされたコンピューターにログインしている場合、これは企業内で GPO を管理する中央の ‘Group Policy Management‘ ツールを開きますが、ローカルポリシーではありません。
LGPEユーザーインターフェイスのナビゲーション
LGPEは2つのペインに分かれています:
- 左側には2つの主要な構成ツリー(コンピューター構成とユーザー構成)があります。
- 右側にはすべてのポリシーが表示されます。ツリーの1つを掘り下げると、変更可能なさまざまなポリシーが見つかります。
コンピューター構成
コンピューター構成には、ユーザーがログインしているかどうかに関係なく、コンピューターオブジェクトに影響を与えるすべてのポリシー設定が含まれています。これらの設定を変更すると、デフォルトでこのコンピューターにログインするすべてのユーザーに影響を与えます。通常、コンピューターが起動し、Windowsにブートすると、これらのポリシーが適用されます。
ユーザー構成
ユーザー構成セクションには、特にユーザーに影響を与える設定が見つかります。これらの設定は、一般的にユーザーがコンピューターにログインするときに実行されます。ユーザーがログインしたときにログオン スクリプトを実行したい場合、ここでポリシーの変更を構成します。
ポリシー設定の参照と変更
すべての方針のさまざまなセクションを掘り下げると、最終的に設定が表示されます。これらは表示および編集できる個々の方針です。
設定の1つをクリックし、ビューモードがウィンドウの下部に「拡張」に設定されていると、左側に設定の要件および説明が表示されます。
上で「リサイクル ビン コンテキスト メニューからプロパティを削除」をクリックしました。要件によると、この設定はWindows Server 2003およびWindows XP以降にのみ影響します。つまり、今日のWindowsクライアントおよびサーバーのサポートされているバージョンすべてです。🙂 説明には、設定が影響を及ぼす基本事項が示されています。
ローカル グループ ポリシー エディタを使用してポリシーを編集する方法
設定を変更するには、先ほど言及した拡張ペイン内の「ポリシー設定を編集」リンクをクリックします。ただし、設定名をダブルクリックするのがもっとも簡単かもしれません。
情報はすべてここにあります。ほとんどの設定では、「未構成」、「有効」、または「無効」を選択します。この例では、有効をクリックしてOKをクリックすると、その変更がすぐに反映されます。見せてあげましょう。
ログオフして再度ログオンしていなかったため、プロパティリンクはまだ表示されていましたが、見える通り、使用できませんでした。
ローカルとドメインのグループ ポリシーの理解
上記で、ローカルコンピューターの構成を変更するためにローカルグループポリシーエディターを使用することと、エンタープライズグループポリシーオブジェクト(GPO)を管理するためにグループポリシー管理を使用することの違いがあることを述べました。
両方に同じタイプのツールを使用しますが、ポリシーの表示方法が異なります。グループポリシー管理ツールは、ADフォレストとドメインを表示し、全ドメイン組織単位(OU)構造をリスト表示します – これが適用される方法です。
グループポリシー管理テンプレート
管理テンプレートファイル(ADMLおよびADMXファイル)は、表示される設定やポリシーを決定します。新機能がリリースされたときや新しいWindowsバージョン(機能更新)が一般に利用可能になったときに、管理テンプレートが定期的にリリースおよび更新されます。
ADMXファイルは設定の定義を保存し、ADMLファイル ‘en-US’(または他の言語)には特定の言語ポリシーの説明が含まれています。管理テンプレートはマイクロソフトからさまざまな場所でダウンロードできます。
一般的なセキュリティポリシー
便利で定型的なセキュリティ設定をこのツールを使用して簡単に設定することができます。以下にいくつかの例を示します:
- パスワードポリシー– コンピューター構成まで移動してください -> Windows設定 -> セキュリティ設定 -> アカウントポリシー -> パスワードポリシー。
- 最大パスワード有効期間、最小パスワード長、およびパスワードは複雑さの要件を満たす必要があるなどの設定が見つかります。
- アカウントロックアウトポリシー– 同じ場所に移動してください – ‘パスワードポリシーフォルダー’のすぐ下に‘アカウントロックアウトポリシー’が見つかります。
- アカウントロックアウトの期間、アカウントロックアウトのしきい値、およびアカウントロックアウトカウンタをリセットするまでの時間などが見つかります。
- ローカルポリシー– 最後のフォルダーのすぐ下に、ローカルポリシーが見つかります。これの下には、ユーザー権限割り当てをクリックできます。
- ここには多くのセキュリティ設定があります – ローカルでのログオンを許可、サービスとしてのログオンを拒否、およびドメインにワークステーションを追加する。
LGPO設定のエクスポートとインポート
Microsoft Security Compliance Toolkit 1.0 にやや埋もれていますが、LGPOユーティリティを使用すると、ローカルグループポリシーエディターの設定をエクスポートして他のマシンにインポートすることができます。
- LGPOユーティリティをダウンロードして、Windowsターミナルの管理者ウィンドウからこのコマンドを実行して、ローカル構成をエクスポートします。
LGPO.exe /b c:\Path\To\Backup\Toその後、新しいマシンで前の構成をインポートするためにこのコマンドを実行できます。
LGPO.exe /g c:\Your\New\Pathローカルグループポリシーエディタの使用に関する私の投稿をお読みいただき、以下にコメントや質問を残していただきありがとうございます。
Source:
https://petri.com/windows-local-group-policy-editor/