今回は、グループポリシーにまつわる付随的な話題として、スターターGPOの作成と、異なるドメインの間でグループポリシーオブジェクト(GPO)を行き来させる方法について解説しよう。
スターターGPOの作成
スターターGPOは、Windows Server 2008から加わった新機能だ。これは、GPOを新規作成したときの初期設定を任意の内容に変更できるというものだ。GPOを追加する度に特定の項目を既定値から変更するような場面では、それを反映させたスターターGPOを用意しておくと、設定の手間や設定漏れを回避できる利点がある。
これを正確にいうと、ユーザーが独自に設定変更を加えたGPOをスターターGPOとして登録しておき、GPOを新規作成する際に選択肢に加える、という動作になる。要するにGPOのテンプレートである。そのスターターGPOの作成手順は以下の通りだ。
[グループポリシーの管理]管理ツールで、ドメイン名以下にある[スターターGPO]を選択して、[操作]-[新規]、あるいは右クリックして[新規]を選択する。
続いて表示するダイアログで、作成するスターターGPOの名前と説明を指定して[OK]をクリックする。
新しいスターターGPOがツリーの下に加わる。それを選択して、[操作]-[編集]、あるいは右クリックして[編集]を選択すると、ポリシーエディタが起動する。その状態で設定内容の変更を行える。
変更作業が完了したら、ポリシーエディタを終了する。これでスターターGPOができあがる。
こうして作成したスターターGPOは、GPOを新規作成する際に表示するダイアログで、既定のGPOとともに、選択肢としてリストボックスに提示される仕組みだ。
 |
[スターターGPO]を選択してから、右クリックして[新規]を選択する。ポリシーエディタで、作成したスターターGPOを必要に応じた内容に編集する |
 |
スターターGPOを作成すると、GPOを追加する際に、選択肢としてスターターGPOを選べるようになる |
ドメイン間移動はバックアップとインポートの組み合わせ
基本的には、ひとつの組織の中で複数のActive Directoryドメインを構成する方法は推奨されておらず、できるだけ単一のドメインにまとめる方がよいとされている。しかし、何かの事情で複数のドメインを構成している、あるいは子会社や関連会社の分まで管理している、といった事情から、複数のドメインを扱わなければならない場合も考えられる。
そして、その複数のドメインに対してある程度の共通性があるセキュリティ設定を適用しようとすると、グループポリシーを使用して、同じような内容を持つGPOをそれぞれのドメインに適用しなければならない。そこで設定の手間を省くために、GPOのドメイン間移動という話が出てくる。
といっても、実はそれほどややこしい話ではなく、基本的にはGPMC(Group Policy Management Console)が持つバックアップ機能とインポート機能の組み合わせによって実現できる。作業手順の概略は以下のようになるが、バックアップ、あるいはインポートの具体的な操作手順については、本連載の第48回を参照していただきたい。
- あるドメインで、GPOを作成・編集する
- そのGPOを、GPMCでバックアップする
- バックアップ先フォルダの内容を、移行先ドメインのドメインコントローラからアクセスできる場所に持って行く
- 移行先ドメインのドメインコントローラにログオンして、GPMCを使ってGPOのインポートを行う
つまり、バックアップやインポートの操作手順は同じで、操作対象が同一ドメイン内から異ドメイン間に変わるだけだ。
と、これで済めば話は簡単なのだが、そうは問屋が卸してくれない。というのは、ポリシー項目によってはドメイン名、ユーザー名、グループ名など、個々のドメインに依存する設定内容を持っている場合があるからだ。
たとえば、特定のユーザーアカウントやグループを対象にしたポリシー項目があった場合、ドメインが変わるとオブジェクトの名称やSIDも変わってしまう。そのため、そのままではポリシー項目の適用ができない。そのため、こうした項目を含むGPOはインポートを諦めるか、インポート後に設定を確認して修正する手間がかかる。
