グループポリシー

グループポリシーの概要

グループポリシー（Group Policy）は、Microsoft Windows NT ファミリのオペレーティングシステムで利用される機能で、特にActive Directoryにおけるコンピュータやリモートユーザーの集中管理を目的としています。この機能を活用することで、ネットワークに接続されたコンピュータやユーザーの行動を制御し、様々なセキュリティ対策を施すことができます。特に企業以外にも、教育機関や小規模組織においても有効に活用されており、例えばWindowsタスクマネージャーの利用制限や特定フォルダへのアクセス制御、実行ファイルのダウンロード禁止などの設定が可能です。

グループポリシーは、企業の管理コストを削減し、ユーザーサポートの効率化を図るために設計されており、ネットワークに接続なくとも機器やローミングユーザーを管理できる機能を含んでいます。

グループポリシーの構成

グループポリシーは、レジストリ、NTFSセキュリティ、監査設定、ログインやログオフ時のスクリプト、フォルダのリダイレクト、Internet Explorerの設定などを制御するために使用されます。この設定は、Group Policy Object（GPO）という形で格納され、GUID（Globally Unique Identifier）を持つことで識別されます。GPOは、複数のサイト、ドメイン、組織単位にリンクし、管理者は一度の更新で複数のコンピュータやユーザーにその変更を適用できます。これにより、管理者は効率的にポリシーを適用し、管理の負担を軽減できます。

グループポリシーの設定に使用される管理テンプレートには、レジストリにどのように設定を格納するかが記述されています。これらは通常、特定のフォルダに保存され、使いやすい管理者用のインターフェースとして提供されています。

GPOの作成と適用

グループポリシーを利用するためには、GPOの作成、適用、そしてその利用が基本的なステップとなります。GPOの作成は「グループポリシー・オブジェクトエディタ（GPEdit）」や「グループポリシー管理コンソール（GPMC）」を用いて実施されます。GPEditは一度に一つのGPOを管理でき、GPMCは複数のGPOをまとめて管理できるため、後者の利用が推奨されます。

GPOはリンクを通じて、サイト、ドメイン、組織単位に適用されます。Security Descriptorを通じたカスタマイズを行うことで、特定のユーザーやグループに対してGPOを適用したり、条件に基づいてスコープを調整したりすることが可能です。

ローカルグループポリシーとセキュリティ面での課題

ローカルグループポリシー（LGP）は、Active Directoryのグループポリシーよりも簡易版であり、特定のユーザーやグループに対する詳しい設定はできません。しかし、Windows Vista以降では複数のローカルポリシーオブジェクトをサポートし、ユーザー毎の設定が可能になっています。

セキュリティ面では、ユーザー単位のポリシーが特定のアプリケーションによる受け入れに依存するため、悪意のあるユーザーによって回避される可能性があります。例えば、アプリケーションの設定が無効化されたり、レジストリの変更によって制御されることが考えられます。

このように、グループポリシーは強力な管理ツールでありつつも、実際の運用には注意が必要です。

もう一度検索