Mac
 Computer >> コンピューター >  >> システム >> Mac

グループ ポリシー オブジェクト (GPO) の説明:その概要と重要な理由

投稿者

  • リンダ ローゼンクランス
  • TechTarget 社、Amy Kucharik

公開日:2019 年 9 月 10 日

Microsoft のグループ ポリシー オブジェクト (GPO) は、システムがどのように見えるか、定義されたユーザー グループに対してどのように動作するかを定義するグループ ポリシー設定のコレクションです。

Microsoft は、グループ ポリシー管理コンソール (GPMC) を使用できるようにするプログラム スナップインを提供しています。選択の結果、グループ ポリシー オブジェクトが生成されます。 GPO は、サイト、ドメイン、組織単位(OU)など、選択した Active Directory コンテナに関連付けられます。 GPMC を使用すると、レジストリ ベースのポリシー、セキュリティ オプション、ソフトウェアのインストールとメンテナンスのオプション、スクリプト オプション、フォルダ リダイレクト オプションを定義する GPO を作成できます。

GPO の種類

GPO には、ローカル、非ローカル、スターターの 3 種類があります。 

  • ローカル グループ ポリシー オブジェクト。 ローカル グループ ポリシー オブジェクトとは、ローカル コンピュータとそのコンピュータにログオンするユーザーにのみ適用されるグループ ポリシー設定のコレクションを指します。ローカル GPO は、ポリシー設定を単一の Windows コンピューターまたはユーザーに適用する必要がある場合に使用されます。ローカル GPO は、デフォルトですべての Windows コンピューターに存在します。 
  • 非ローカル グループ ポリシー オブジェクト。 非ローカル グループ ポリシー オブジェクトは、ポリシー設定を 1 つ以上の Windows コンピュータまたはユーザーに適用する必要がある場合に使用されます。非ローカル GPO は、サイト、ドメイン、組織単位などの Active Directory オブジェクトにリンクされると、Windows コンピュータまたはユーザーに適用されます。
  • スターター グループ ポリシー オブジェクト。 Windows Server 2008 で導入されたスターター GPO は、グループ ポリシー設定のテンプレートです。これらのオブジェクトを使用すると、管理者は、将来作成されるポリシーのベースラインを表す設定グループを作成し、事前に構成することができます。

データ セキュリティとグループ ポリシー オブジェクト

企業のネットワークのセキュリティを確保するのに役立つグループ ポリシー設定がいくつかあります。たとえば、グループ ポリシーを通じて、組織はスクリプトを実行したり、ユーザーによる特定のリソースへのアクセスを停止したり、すべてのネットワーク ユーザーに対して特定のホームページを強制的に開くなどの単純なタスクを実行したりできます。

これらのセキュリティ対策には次のようなものがあります。

  • コントロール パネルへのアクセスを制限する -- コントロール パネルを介して、企業はコンピュータのあらゆる側面を制御できます。コンピュータにアクセスできるユーザーを制限することで、組織はデータやその他のリソースを安全に保つことができます。
  • コマンド プロンプトを無効にする -- 企業はコマンド プロンプトを使用して、ユーザーに高レベルのアクセスを許可し、他のシステム制限を回避するコマンドを実行できます。そのため、システム リソースのセキュリティを確保するためにコマンド プロンプトを無効にすることが賢明です。コマンド プロンプトが無効になった後にユーザーがコマンド ウィンドウを開こうとすると、システムは、一部の設定がこれを妨げていることを示すメッセージを表示します。
  • ソフトウェアのインストールを防止する -- ユーザーにソフトウェアのインストールを許可すると、企業のシステムを侵害する可能性のある望ましくないアプリケーションやマルウェアがインストールされる可能性があります。したがって、グループ ポリシーを通じてソフトウェアのインストールを防止することをお勧めします。
グループ ポリシー オブジェクト (GPO) の説明:その概要と重要な理由 グループ ポリシー オブジェクトの視覚化

グループ ポリシー オブジェクトの利点

GPO を実装すると、セキュリティに加えて、次のようないくつかの利点があります。

  • より効率的な管理 -- すでに導入されている GPO により、組織のドメインに参加するすべての新しいユーザーとコンピュータに標準化された環境が適用され、セットアップにかかる時間を節約できます。
  • 管理が簡単 -- システム管理者は GPO 経由でソフトウェア、パッチ、その他のアップデートを導入できます。
  • パスワード ポリシーの適用の強化 -- GPO は、企業のネットワークを安全に保つために、パスワードの長さを決定し、ルールを再利用し、パスワードに関するその他の要件を確立します。
  • フォルダ リダイレクトの構成 -- GPO を使用すると、企業はユーザーが会社の重要なファイルを一元管理され監視されたストレージ システムに確実に保存できるようになります。たとえば、組織は、通常はローカル ドライブに保存されているユーザーのドキュメント フォルダをネットワークの場所にリダイレクトできます。

GPO の制限

グループ ポリシー オブジェクトの制限には次のものがあります。

  • GPO は順番に実行されます。GPO はアクションを順番に処理します。したがって、多くの GPO を構成する必要がある場合、ユーザーのログオンに時間がかかる可能性があります。
  • 柔軟性が制限されている -- GPO はユーザーまたはコンピュータにのみ適用できます。そのため、コンテキストに基づいて設定を適用する場合には制限があります。
  • トリガーの制限 -- GPO は、コンピュータの起動時、ユーザーのログオン時、または設定された間隔でのみ適用できます。 GPO は、ネットワークの切断や再接続などの環境の変化に対応できません。
  • メンテナンスが難しい -- GPO 内の特定の設定を見つけるための検索オプションやフィルタ オプションが組み込まれていないため、既存の設定の問題を見つけたり修正したりすることが困難になります。
  • バージョン管理なし -- GPO 設定に加えられた変更は監査されません。したがって、誤った変更が行われた場合、その変更が何であったのか、誰が変更したのかを知ることは不可能です。

GPO の処理順序

グループ ポリシーの処理順序は、どの設定がコンピュータまたはエンド ユーザーに適用されるかに影響します。この処理順序は LSDOU (ローカル、サイト、ドメイン、組織単位) として知られています。最初にローカル コンピューター ポリシーが処理され、続いてサイト レベルからドメイン、次に OU に Active Directory ポリシーが処理されます (ネストされた組織単位内の GPO は、最初にルートに最も近い OU から適用され、そこから継続されます)。競合がある場合は、最後に適用されたポリシーが有効になります。

GPO の例

以下は、グループ ポリシー オブジェクトの例です。

  • GPO では、ユーザーが Internet Explorer を起動したときに最初に表示されるホームページを指定できます。ユーザーがドメインにログオンすると、そのグループ ポリシー オブジェクトが取得され、ユーザーの Internet Explorer の設定に適用されます。
  • 組織は、グループ ポリシーを使用して、Active Directory の特定の OU からユーザーに共有ネットワーク プリンタ接続を展開できます。そのため、ユーザーが Windows にログインすると、割り当てられたネットワーク プリンタが使用可能なプリンタのリストに自動的に表示されます。
  • 管理者はグループ ポリシーを使用して、コンピュータのディスプレイを一定期間オフにする、デフォルトのプログラムを選択する、ユーザーがインターネット接続オプションを変更できないようにするなどの設定を調整できます。

ベスト プラクティス

GPO のベスト プラクティスには次のものがあります。

  • Active Directory に適切に設計された組織単位構造を作成して、グループ ポリシーの適用とトラブルシューティングを簡素化する
  • 管理者が各 GPO の機能をすぐに識別できるように、GPO にわかりやすい名前を付けます。
  • 各 GPO に、GPO が作成された理由、目的、設定内容を説明するコメントを追加します。
  • GPO はすべてのコンピュータとユーザー オブジェクトに適用されるため、ドメイン レベルで設定しないでください。これにより、一部の設定が一部のオブジェクトに不必要に適用される可能性があります。
  • Active Directory のルート コンピュータやユーザー フォルダは組織単位ではなく、GPO をリンクできないため、使用しないでください。新しいユーザーまたはコンピュータ オブジェクトがこれらのフォルダに表示されると、直ちに適切な OU に移動される必要があります。
  • GPO を無効にしないでください。 GPO を適用したくない場合は、GPO を無効にするのではなく、OU からリンクを削除してください。 GPO を無効にすると、GPO がドメインに完全に適用されなくなります。その特定のグループ ポリシーが別の OU で使用されている場合、そこでは機能しなくなるため、これは問題となる可能性があります。

次のステップ

Active Directory のきめ細かいパスワード ポリシーを有効にする方法

続きを読む グループ ポリシー オブジェクト (GPO) とは何ですか?また、なぜ重要ですか?

  • GPO は適用されていますか?この PowerShell スクリプトを使用して確認してください。
  • Windows 管理者向けのグループ ポリシーの基本を学ぶ
  • Microsoft グループ ポリシー管理用テンプレート
  • Windows Server 2016 グループ ポリシーのチュートリアル

IT 運用とインフラストラクチャ管理についてさらに深く掘り下げる

  • グループ ポリシー オブジェクト (GPO) の説明:その概要と重要な理由
    IT 部門が gpresult コマンドを使用して GPO を確認する方法

    グループ ポリシー オブジェクト (GPO) の説明:その概要と重要な理由

    投稿者:デイモン・ガーン

  • グループ ポリシー オブジェクト (GPO) の説明:その概要と重要な理由
    グループ ポリシーを使用して Windows Update for Business を使用する方法

    グループ ポリシー オブジェクト (GPO) の説明:その概要と重要な理由

    投稿者:デイモン・ガーン

  • グループ ポリシー オブジェクト (GPO) の説明:その概要と重要な理由
    Windows Server でグループ ポリシーのバックアップを作成する方法

    グループ ポリシー オブジェクト (GPO) の説明:その概要と重要な理由

    投稿者:デイモン・ガーン

  • グループ ポリシー オブジェクト (GPO) の説明:その概要と重要な理由
    グループ ポリシー

    グループ ポリシー オブジェクト (GPO) の説明:その概要と重要な理由

    投稿者:ロバート シェルドン


  1. このクイックヒントですべてのMacスクリーンショットを検索

    Macでこれまでに撮ったすべてのスクリーンショットを見つけたいですか? Macマシンに保存されているすべてのスクリーンショットを取得するのに役立つクイックコマンドがあります。 スクリーンショットを撮ると、macOSはそれにタグを割り当てます。このタグを検索すると、すべてのスクリーンショットを簡単に見つけることができます。 また、Terminal、Finder、およびSpotlightユーティリティを使用して、すべてのMacスクリーンショットを簡単に見つけることができます。ここでは、これらの各ツールのスクリーンショットを見つける方法を示します。 1.Finderを使用してすべてのMacスクリ

  2. メールドロップとは何ですか? iPhoneとMacでメールドロップを使用する方法

    メールサイズの制限を超えるメールの添付ファイルを送信する必要がありますか? iPhone、iPad、Macのいずれを使用していても、メールドロップ機能を使用すると、これらの制限を回避して、一度に最大5GBの大きなファイルを送信できるようになります。 この記事では、Mail Dropとは何か、iPhoneとMacでMailDropを使用する方法を学びます。 メールドロップとは何ですか? メールドロップは、ビデオ、プレゼンテーション、画像などの大きなファイルをメールアプリから直接送信できるようにするAppleの機能です。この機能は、次のデバイスで使用できます。 iPhone iPad