ActiveDirectory グループポリシー運用における要点・知識を解説!

ActiveDirectoryグループポリシーとは?メリットやデメリット運用における要点を解説

栗原 智幸

栗原 智幸

インフラエンジニア/ボールド歴5年

本記事では、ActiveDirectory グループポリシーにおける要点・知識を記載していきます。グループポリシーの要点・知識を理解することで、例えば当該ActiveDirectoryに対してドメイン参加している全ユーザーに対してログイン用アカウントパスワードの文字数、種類、有効期間等を強制的に適用させたり、ドメイン参加している全クライアントPC(Windows10)に対してInternet Explorerの使用を強制的に禁止したりすることが可能です。ただし、これらの強制が必ずしも良い結果になるとは限りません。今回、ActiveDirectory グループポリシーにおける各種機能やメリット、デメリット等をご紹介いたします。

One dayインターン

1.ActiveDirectory グループポリシーとは

ドメインに参加しているユーザーやコンピューターに対する設定を管理するための機能です。例えば、当該ActiveDirectoryのドメインに参加しているユーザーアカウントのパスワードについて、10文字以上かつ半角英字大文字、小文字、数字及び記号の4種類から3種類以上を使用する必要がある、当該ActiveDirectoryのドメインに参加しているPCに対してUSBメモリの使用を禁止する等、ユーザーやPCの管理をまとめて行うことが可能です。


2.ActiveDirectory グループポリシーの各種機能

2-1.グループポリシーオブジェクト

ユーザーやコンピューターに対して任意の設定を適用させる指令を作成することができます。例えばここに「パスワードポリシー」という新規グループポリシーオブジェクトを作成し、このポリシー内に「ユーザーアカウントのパスワード有効期限:30日」という設定を行なうことでパスワード有効期限のみ強制適用させることが可能となります。

2-2.グループポリシーのリンク

グループポリシーオブジェクトにて指令を作成しても自動的に適用することはできません。適用させたい場所に作成したグループポリシーオブジェクトのリンクを貼る必要があります。ActiveDirectoryのドメインに参加している全ユーザー及びPCに適用する場合、当該ドメイン名配下にリンクを貼る必要があります。また、一部ユーザー及びPCに適用する場合、OU(組織単位)配下にリンクを貼ることで実現できます。尚、OU(組織単位)は事前に作成しておく必要がありますが、作成及び配下にユーザー及びコンピューターを指定する操作は、「Active Directory ユーザーとコンピューター」より行います。


3.ActiveDirectoryグループポリシーのメリット

  ActiveDirectory グループポリシーのメリットを以下に記載いたします。

(1) セキュリティ強化

用途に合わせてユーザーアカウント権限を適正に割り当てたり、ユーザーアカウントのパスワード文字数及び複雑性を設定、PCにデフォルトで付与されているプログラムを強制的に無効にする等、条件に応じてセキュリティを強化できることです。

(2) 効率化

例えば、各PCWindows Updateを実施する場合、インターネットへの接続では無く社内に設置しているWSUS(Windows Server Update Service)を使用するルールが設けられているとします。この場合、各ユーザーにPCの設定変更を実施してもらわなくても、ActiveDirectoryグループポリシーで全PCWSUSへ接続するポリシーを作成しておけば、各ユーザーの工数を削減することができます。


4.ActiveDirectoryグループポリシーのデメリット

  ActiveDirectory グループポリシーのデメリットを以下に記載いたします。

(1) ユーザーとのコミュニケーション

ActiveDirectory管理者としては、セキュリティ面や効率化を考慮し、良いと思われるグループポリシー設定であっても、ユーザーにとって、必ずしも良いとは限りません。事前にユーザーに対して入念なヒアリングを行った上で設定する必要があります。また、設定後、ユーザーの業務都合に伴い、グループポリシーを変更しなければいけないことも考えられます。グループポリシーは便利な反面、適宜、ユーザーとのコミュニケーションを行う必要があるため、苦労することも多いです。

(2) 複雑さ及び煩雑さ

グループポリシー適用の優先順位は「OU「ドメイン」の順となります。基本的に全ユーザー及びPCに共有で割り当てたいグループポリシーは、「ドメイン」にリンクさせるかと思います。ここで「OU」に個別でグループポリシーを割り当てたことに伴い、「ドメイン」で割り当てたグループポリシーを反映させたいのに、「OU」へ割り当てたグループポリシーの影響で「ドメイン」のグループポリシーが反映されないということにもなりかねません。グループポリシーの管理は複雑かつ煩雑になることが多いため、注意が必要です。


5.ActiveDirectoryグループポリシー活用時の注意点

ActiveDirectoryグループポリシーは、設定、適用を実施すると即時に反映されます。設定するグループポリシーの内容にもよりますが、影響が大きい設定内容の場合、入念に検証することをおすすめします(検証用ユーザー及びPCを準備し、事前テストすることが妥当です)


6.ActiveDirectory グループポリシー設定方法

  グループポリシー設定方法の例として、パスワードポリシーを設定する手順を以下に記載いたします。尚、ActiveDirectoryOSは、「Windows Server 2016」、ドメインは「test.local」、OUは「UserGroupA」という前提とします。

  以降の画面キャプチャは言語が英語版のOSで取得しておりますので、予めご承知おき願います。

(1) スタートメニューより[Windows 管理ツール]-[グループ ポリシーの管理]をクリック。

説明1

(2) [フォレスト]-[ドメイン]-[test.local]を展開後、[グループ ポリシー オブジェクト]を右クリックし、[新規]をクリック。

説明2

(3) [新しいGPO]画面より、[名前]に任意の名前(例:パスワードポリシー)を入力し、[ソース スターター GPO][なし]のままとし、[OK]をクリック。

説明3

(4) [フォレスト]-[ドメイン]-[test.local]-[グループ ポリシー オブジェクト]配下に手順(3)で作成したグループポリシーオブジェクトが存在することを確認後、当該オブジェクトを右クリックし、[編集]をクリック。

説明4

 (5) [グループ ポリシー管理エディター]画面より、[コンピューターの構成]-[ポリシー]-[Windowsの設定]-[セキュリティの設定]-[アカウントポリシー]-[パスワードのポリシー]を選択。

説明5

 (6) [パスワードのポリシー][パスワードの最小文字数の監査][パスワードの長さ]、[パスワードの変更禁止期間][パスワードの有効期間][パスワードの履歴を記録する]、[暗号化を元に戻せる状態でパスワードを保存する][複雑さの要件を満たす必要があるパスワード]の7項目が存在するため、各項目において、用途に合わせた設定を実施。尚、変更したい項目については、当該項目をダブルクリックし、編集後、[OK]をクリックすること。

説明6

 (7) 手順(6)で設定した内容が反映されていることを確認後、画面右上の[×]をクリックし、[グループ ポリシー管理エディター]画面を閉じる。

説明7

 (8) 作成したグループポリシーオブジェクトをドメインに適用させる場合、[フォレスト]-[ドメイン]配下の[test.local]を右クリックし、[既存のGPOのリンク]を選択。OU(UserGroupA)に適用させる場合、[フォレスト]-[ドメイン]-[test.local]配下の[UserGroupA]を右クリックし、[既存のGPOのリンク]を選択。

 ① ドメインに適用させる場合

説明8-1

OU(UserGroupA)に適用させる場合

説明8-2

 (9) [GPOの選択]画面より、[GPOを指定するドメイン]項目は[test.local]を選択し、[グループ ポリシー オブジェクト]項目は手順(2)(7)で作成したグループポリシーオブジェクトを選択し、[OK]をクリック。

説明9

(10) 手順(8)で指定したドメインまたはOUを選択し、[リンクされたグループ ポリシー オブジェクト]タブに手順(9)で指定したグループポリシーオブジェクトのリンクが存在することを確認。

① ドメインに適用させた場合

説明10-1

OU(UserGroupA)に適用させた場合

説明10-2

(11) [グループ ポリシーの管理]画面より、画面右上の[×]をクリックし、画面を閉じる。

説明11


7.さいごに

今回、ActiveDirectoryグループポリシーの基礎知識として理解してほしい部分を中心に記載しました。ActiveDirectory グループポリシーで設定できるポリシーの種類や細かい内容は、別途、確認、調査を実施して頂く必要がございますが、[6. ActiveDirectory グループポリシー設定方法]で記載した手順を理解頂ければ、ActiveDirectory グループポリシーの設定手順自体は、それほど難しくないとご判断頂けるかと思います。今後、ActiveDirectory グループポリシーの運用に携わる場合、本記事がその一助になると思われたのであれば幸いです。

 

私たちは、全てのエンジニアに市場価値を高め自身の望む理想のキャリアを歩んでいただきたいと考えています。もし、今あなたが転職を検討しているのであればこちらの記事をご一読ください。理想のキャリアを実現するためのヒントが見つかるはずです。

『技術力』と『人間力』を高め市場価値の高いエンジニアを目指しませんか?

『技術力』と『人間力』を高め市場価値の高いエンジニアを目指しませんか?

私たちは「技術力」だけでなく「人間力」の向上をもって遙かに高い水準の成果を出し、関わる全ての人々に感動を与え続ける集団でありたいと考えています。

高い水準で仕事を進めていただくためにも、弊社では次のような環境を用意しています。

  • 定年までIT業界で働くためのスキル(技術力、人間力)が身につく支援
  • 「給与が上がらない」を解消する6ヶ月に1度の明確な人事評価制度
  • 平均残業時間17時間!毎週の稼動確認を徹底しているから実現できる働きやすい環境

現在、株式会社ボールドでは「キャリア採用」のエントリーを受付中です。

まずは以下のボタンより弊社の紹介をご覧いただき、あなたの望むキャリアビジョンをエントリーフォームより詳しくお聞かせください。

コメント

26卒 新卒学生向け主催企業:株式会社ボールド
どんなIT企業なら理想のエンジニアになれるのか?

2時間でIT業界の全てが分かるOne dayインターン

26卒 新卒学生向け主催企業:株式会社ボールド
どんなIT企業なら理想のエンジニアになれるのか?

2時間でIT業界の全てが分かるOne dayインターン