ActiveDirectory グループポリシー運用における要点・知識を解説!
本記事では、ActiveDirectory グループポリシーにおける要点・知識を記載していきます。グループポリシーの要点・知識を理解することで、例えば当該ActiveDirectoryに対してドメイン参加している全ユーザーに対してログイン用アカウントパスワードの文字数、種類、有効期間等を強制的に適用させたり、ドメイン参加している全クライアントPC(Windows10等)に対してInternet Explorerの使用を強制的に禁止したりすることが可能です。ただし、これらの強制が必ずしも良い結果になるとは限りません。今回、ActiveDirectory グループポリシーにおける各種機能やメリット、デメリット等をご紹介いたします。
目次
1.ActiveDirectory グループポリシーとは
ドメインに参加しているユーザーやコンピューターに対する設定を管理するための機能です。例えば、当該ActiveDirectoryのドメインに参加しているユーザーアカウントのパスワードについて、10文字以上かつ半角英字大文字、小文字、数字及び記号の4種類から3種類以上を使用する必要がある、当該ActiveDirectoryのドメインに参加しているPCに対してUSBメモリの使用を禁止する等、ユーザーやPCの管理をまとめて行うことが可能です。
2.ActiveDirectory グループポリシーの各種機能
2-1.グループポリシーオブジェクト
ユーザーやコンピューターに対して任意の設定を適用させる指令を作成することができます。例えばここに「パスワードポリシー」という新規グループポリシーオブジェクトを作成し、このポリシー内に「ユーザーアカウントのパスワード有効期限:30日」という設定を行なうことでパスワード有効期限のみ強制適用させることが可能となります。
2-2.グループポリシーのリンク
グループポリシーオブジェクトにて指令を作成しても自動的に適用することはできません。適用させたい場所に作成したグループポリシーオブジェクトのリンクを貼る必要があります。ActiveDirectoryのドメインに参加している全ユーザー及びPCに適用する場合、当該ドメイン名配下にリンクを貼る必要があります。また、一部ユーザー及びPCに適用する場合、OU(組織単位)配下にリンクを貼ることで実現できます。尚、OU(組織単位)は事前に作成しておく必要がありますが、作成及び配下にユーザー及びコンピューターを指定する操作は、「Active Directory ユーザーとコンピューター」より行います。
3.ActiveDirectoryグループポリシーのメリット
ActiveDirectory グループポリシーのメリットを以下に記載いたします。
(1) セキュリティ強化
用途に合わせてユーザーアカウント権限を適正に割り当てたり、ユーザーアカウントのパスワード文字数及び複雑性を設定、PCにデフォルトで付与されているプログラムを強制的に無効にする等、条件に応じてセキュリティを強化できることです。
(2) 効率化
例えば、各PCがWindows Updateを実施する場合、インターネットへの接続では無く社内に設置しているWSUS(Windows Server Update Service)を使用するルールが設けられているとします。この場合、各ユーザーにPCの設定変更を実施してもらわなくても、ActiveDirectoryグループポリシーで全PCがWSUSへ接続するポリシーを作成しておけば、各ユーザーの工数を削減することができます。
4.ActiveDirectoryグループポリシーのデメリット
ActiveDirectory グループポリシーのデメリットを以下に記載いたします。
(1) ユーザーとのコミュニケーション
ActiveDirectory管理者としては、セキュリティ面や効率化を考慮し、良いと思われるグループポリシー設定であっても、ユーザーにとって、必ずしも良いとは限りません。事前にユーザーに対して入念なヒアリングを行った上で設定する必要があります。また、設定後、ユーザーの業務都合に伴い、グループポリシーを変更しなければいけないことも考えられます。グループポリシーは便利な反面、適宜、ユーザーとのコミュニケーションを行う必要があるため、苦労することも多いです。
(2) 複雑さ及び煩雑さ
グループポリシー適用の優先順位は「OU」→「ドメイン」の順となります。基本的に全ユーザー及びPCに共有で割り当てたいグループポリシーは、「ドメイン」にリンクさせるかと思います。ここで「OU」に個別でグループポリシーを割り当てたことに伴い、「ドメイン」で割り当てたグループポリシーを反映させたいのに、「OU」へ割り当てたグループポリシーの影響で「ドメイン」のグループポリシーが反映されないということにもなりかねません。グループポリシーの管理は複雑かつ煩雑になることが多いため、注意が必要です。
5.ActiveDirectoryグループポリシー活用時の注意点
ActiveDirectoryグループポリシーは、設定、適用を実施すると即時に反映されます。設定するグループポリシーの内容にもよりますが、影響が大きい設定内容の場合、入念に検証することをおすすめします(検証用ユーザー及びPCを準備し、事前テストすることが妥当です)。
6.ActiveDirectory グループポリシー設定方法
グループポリシー設定方法の例として、パスワードポリシーを設定する手順を以下に記載いたします。尚、ActiveDirectoryのOSは、「Windows Server 2016」、ドメインは「test.local」、OUは「UserGroupA」という前提とします。
※ 以降の画面キャプチャは言語が英語版のOSで取得しておりますので、予めご承知おき願います。
(1) スタートメニューより[Windows 管理ツール]-[グループ ポリシーの管理]をクリック。
(2) [フォレスト]-[ドメイン]-[test.local]を展開後、[グループ ポリシー オブジェクト]を右クリックし、[新規]をクリック。
(3) [新しいGPO]画面より、[名前]に任意の名前(例:パスワードポリシー)を入力し、[ソース スターター GPO]は[なし]のままとし、[OK]をクリック。
(4) [フォレスト]-[ドメイン]-[test.local]-[グループ ポリシー オブジェクト]配下に手順(3)で作成したグループポリシーオブジェクトが存在することを確認後、当該オブジェクトを右クリックし、[編集]をクリック。
(5) [グループ ポリシー管理エディター]画面より、[コンピューターの構成]-[ポリシー]-[Windowsの設定]-[セキュリティの設定]-[アカウントポリシー]-[パスワードのポリシー]を選択。
(6) [パスワードのポリシー]に[パスワードの最小文字数の監査]、[パスワードの長さ]、[パスワードの変更禁止期間]、[パスワードの有効期間]、[パスワードの履歴を記録する]、[暗号化を元に戻せる状態でパスワードを保存する]、[複雑さの要件を満たす必要があるパスワード]の7項目が存在するため、各項目において、用途に合わせた設定を実施。尚、変更したい項目については、当該項目をダブルクリックし、編集後、[OK]をクリックすること。
(7) 手順(6)で設定した内容が反映されていることを確認後、画面右上の[×]をクリックし、[グループ ポリシー管理エディター]画面を閉じる。
(8) 作成したグループポリシーオブジェクトをドメインに適用させる場合、[フォレスト]-[ドメイン]配下の[test.local]を右クリックし、[既存のGPOのリンク]を選択。OU(UserGroupA)に適用させる場合、[フォレスト]-[ドメイン]-[test.local]配下の[UserGroupA]を右クリックし、[既存のGPOのリンク]を選択。
① ドメインに適用させる場合
② OU(UserGroupA)に適用させる場合
(9) [GPOの選択]画面より、[GPOを指定するドメイン]項目は[test.local]を選択し、[グループ ポリシー オブジェクト]項目は手順(2)~(7)で作成したグループポリシーオブジェクトを選択し、[OK]をクリック。
(10) 手順(8)で指定したドメインまたはOUを選択し、[リンクされたグループ ポリシー オブジェクト]タブに手順(9)で指定したグループポリシーオブジェクトのリンクが存在することを確認。
① ドメインに適用させた場合
② OU(UserGroupA)に適用させた場合
(11) [グループ ポリシーの管理]画面より、画面右上の[×]をクリックし、画面を閉じる。
7.さいごに
今回、ActiveDirectoryグループポリシーの基礎知識として理解してほしい部分を中心に記載しました。ActiveDirectory グループポリシーで設定できるポリシーの種類や細かい内容は、別途、確認、調査を実施して頂く必要がございますが、[6. ActiveDirectory グループポリシー設定方法]で記載した手順を理解頂ければ、ActiveDirectory グループポリシーの設定手順自体は、それほど難しくないとご判断頂けるかと思います。今後、ActiveDirectory グループポリシーの運用に携わる場合、本記事がその一助になると思われたのであれば幸いです。
コメント