見出し画像
Photo by kataneya

[IT]WindowsのGPOについて

夕町

WindowsのGPOについて自社の新人に教えることになったので
それも踏まえて復習。


1.GPOとは?

GPO(グループポリシーオブジェクト:Group Policy Object)とは、Windows環境において、ユーザーやコンピュータの設定を集中管理するためのツールです。GPOはActive Directory(AD)環境で使用され、ポリシー設定を通じて一貫した環境の構築とセキュリティの強化を実現する。

2.GPOの機能について

①中央管理

GPOを利用することで、管理者は一元的にドメイン環境の複数のユーザーやコンピュータに対する設定を行うことができる。これにより、手作業による個別設定の手間が省け、設定ミスも減少します。

②セキュリティの強化

ドメイン環境のパスワードポリシー、アカウントロックアウトポリシー、監査ポリシーなどのセキュリティ設定をGPOを通じて適用することで、全体のセキュリティを強化できる。

③ソフトウェアの配布

GPOを使って、ドメインのネットワーク内のコンピュータに対してソフトウェアのインストール、アップデート、および削除を行うことができます。これにより、ドメイン内の全てのコンピュータに一貫したソフトウェア環境を提供できる。

④ユーザー環境の統一

デスクトップの背景、スタートメニューのレイアウト、ホームページの設定など、ドメイン内のユーザーのデスクトップ環境を統一することができます。これによりドメイン内のユーザーがドメイン内のどのコンピュータを使用しても、同じ環境が提供される。

3.ドメイン内の構成要素

①グループポリシー設定

GPOには、コンピュータの構成とユーザーの構成の2つの設定が含まれます。それぞれの構成には以下のカテゴリが含まれます:

  • コンピュータの構成:コンピュータ全体に適用される設定(起動時、シャットダウン時に適用)

  • ユーザーの構成:ユーザーアカウントに適用される設定(ログオン時、ログオフ時に適用)

②グループポリシーの適用順序

GPOは、以下の順序で適用されます:

  1. ローカルグループポリシー(最も優先度が低い)

  2. サイトレベルのグループポリシー

  3. ドメインレベルのグループポリシー

  4. 組織単位(OU)レベルのグループポリシー(最も優先度が高い)

③スコープとフィルタリング

GPOの適用範囲は、リンクされたサイト、ドメイン、またはOUによって決定されます。また、セキュリティフィルタリングを使用して特定のユーザーやグループにのみGPOを適用することも可能です。

4.ベストプラクティス

①最小権限の原則:ユーザーやグループには必要最低限の権限のみを付与する。

②テスト環境の利用:本番環境に適用する前に、テスト環境でGPOを検証する。

③定期的な監査:GPOの設定や適用状況を定期的に監査し、適切な管理を行う。

④ドキュメントに残す:GPOの設定変更や適用状況を記録し、必要なときに参照できるようにします。

上記の①②は実施している現場は多いが、③④については出来ていない現場が多いと感じる。
③④は日常的に顧客依頼で設定変更が発生する現場の場合、
依頼者側からすると依頼を受ける側が管理していると認識して、
依頼を受ける側からすると依頼者側が管理していると認識する状態に陥る。

運用設計の段階で上記の分担が出来ていないことが原因だが、
現場では上記がよくあるというかそういう現場が多い。

5.GPOのナレッジについて

①GPOのバックアップをインポートした場合、セキュリティフィルターや委任の設定は引き継がれない。

■AドメインでバックアップしたGPOをBドメインにインポートしたときの注意事項

①セキュリティ識別子 (SID) の違い

GPOにはユーザーアカウントやグループアカウントのSIDが含まれている場合があります。信頼関係があるとはいえ、AドメインのSIDはBドメインでは無効とのこと。

  • 対処法:インポート後にGPOのセキュリティフィルタリングやユーザー権限の設定を確認し、必要に応じてBドメインのユーザーやグループに置き換える。

②パスとURLの変更

GPOの設定に含まれるネットワークパスやURLがAドメイン固有の場合、Bドメインで正常に動作しない可能性があります。

  • 対処法:GPOをインポートした後、すべてのパスやURLを確認し、Bドメインに適したものに変更する。

③グループポリシー設定の互換性

AドメインとBドメインで使用されているWindowsのバージョンや設定が異なる場合、互換性の問題が発生する可能性があります。
※AドメインとBドメインで信頼関係を結んでいる場合は、フォレストの機能レベルが対応しているためここは考慮しなくてよいと思われる。

  • 対処法:インポート前にGPOの設定内容を確認し、互換性を検証する。必要に応じて設定を調整する。

④ポリシーのスコープとリンク

AドメインとBドメインのOU構造が異なる場合、GPOのリンク先を調整する必要があります。

  • 対処法:インポート後、GPOを適切なOUやドメインにリンクする。AドメインのOU構造をBドメインに再現できない場合、新しいOU構造に合わせてリンクを再設定する。

5. スクリプトやパスの依存関係

⑤スクリプトやパスの依存関係

GPOに含まれるスクリプトやパスがAドメイン特有の場合、Bドメインで機能しないことがあります。

  • 対処法:スクリプトやパスの内容を確認し、Bドメインの環境に合わせて修正する。

⑥管理テンプレート (ADMX/ADML) の一致

管理テンプレート (ADMX/ADML) ファイルはGPOの設定を定義します。AドメインとBドメインで異なる管理テンプレートが使用されている場合、GPOの設定が正しく適用されないことがある。

  • 対処法:必要な管理テンプレートがBドメインに存在するか確認し、不足している場合は追加する。

GPOの件で気になったことがあれば随時追加予定



この記事が気に入ったらサポートをしてみませんか?