【連載】

にわか管理者のためのActive Directory入門

【第69回】ポリシー適用結果の事前確認

[2009/11/30 09:00]井上孝司 ブックマーク ブックマーク

  • サーバ/ストレージ

サーバ/ストレージ

ここまでしばらく、Active Directoryにおけるグループポリシーの設定について解説してきた。

ところがグループポリシーで難しいのは、往々にして、意図した通りの適用結果が得られないことだ。その原因は、複数のGPOをリンクしたときの優先順位や、OUの階層における上書きのルールにある。しかも、優先順位を意図的に変更できたり、上書きや継承を意図的に切ったりできることが、さらに話を複雑にしている。

そこで今週は、ポリシー適用結果の事前確認について解説しよう。

GPMCを使用する方法

もっとも簡単な方法は、GPMC(Group Policy Management Console)、つまり[グループポリシーの管理]管理ツールを利用する方法だ。

GPMCの画面左側にあるツリー画面では、フォレストの下に[グループポリシーの結果]という項目がある。これを使用すると、ポリシー適用結果の事前確認が可能だ。操作手順は以下のようになる。

  1. [グループポリシーの結果]を選択して、[操作]-[グループポリシーの結果ウィザード]、あるいは右クリックして[グループポリシーの結果ウィザード]を選択する。

GPMCでは、ツリー画面の[グループポリシーの結果]で右クリックして[グループポリシーの結果ウィザード]を選択すると、ウィザード形式でポリシー適用結果のシミュレートを指示できる

  1. ウィザード2画面目で、対象となるコンピュータを指定する。既定値は操作中のコンピュータだが、[別のコンピュータ]をクリックして、他のコンピュータを指定することもできる。

  2. このとき、[選択されたコンピュータ用のポリシー設定を結果に表示しない]チェックボックスをオンにすると、[ユーザーの構成]の適用結果だけを表示する。

  3. 次の画面で、対象となるユーザーを指定する。既定値はログオン中のユーザーだが、[特定のユーザーを選択する]を選択して、別のユーザーを指定することもできる。

  4. このとき、[ユーザーポリシー設定を結果に表示しない]を選択すると[コンピュータの構成]の適用結果だけを表示する。

  5. 次の画面で、設定内容を確認してから[次へ]をクリックすると、解析作業を開始する。

  6. ウィザード最終画面で[完了]をクリックすると、GPMCに戻る。この時点で[グループポリシーの結果]以下には[<コンピュータ名> 上の <ユーザー名>]が加わっているはずだ。それをクリックすると、結果を画面に表示する。

作成した設定はツリーに登録した状態になり、それをクリックするだけで、いつでも適用結果を確認できる

GPRESULTコマンドを使用する方法

同様の機能を実現するコマンドラインツールとして、gpresultコマンドがある。「GroupPolicyのRESULT」と覚えればよい。コマンドラインツールをは実行結果を画面に出力するため、それをリダイレクトしてテキストファイルに保存できるメリットがある。

もっとも簡単な使い方は、何も引数を指定しない方法だ。この場合、操作中のコンピュータとログオン中のユーザーを対象として解析を行う。引数の指定によって、別のコンピュータ、あるいは特定のユーザーに適用するポリシー設定を解析させることもできる。

gpresultコマンドの構文

gpresult [/s <システム> [/u [<ドメイン名>\]<ユーザー名> [/p [<パスワード>]]]] [/scope {user | computer}] [/user <ターゲット>] [/v | /z]

gpresultコマンドの引数一覧

引数 解説
/s <システム> 適用対象となるコンピュータの名前、あるいはIPアドレスを指定する(先頭に「\\」は付けない)。省略すると、操作中のコンピュータを対象とする
/u [<ドメイン名>\]<ユーザー名> コマンドの実行に使用する資格情報を指定する。ドメインアカウントを使用するときは「<ドメイン名>\<ユーザー名>」形式で指定する
/p <パスワード> 引数「/u」で指定したユーザーのパスワードを指定する
/scope {user computer} 「user」を指定するとユーザーの構成だけを、「computer」を指定するとコンピュータの構成だけを表示する。省略すると両方を対象とする
/user <ターゲット> 適用対象となるユーザー名を指定する
/v、/z 出力の際に、詳細なポリシー情報を表示する。「/z」を指定したときの情報量は「/v」より多く、グループポリシーについて入手できるすべての情報を表示する。つまり、「省略時→/v→/z」の順に情報量が多くなる

その他の方法

このほか、MMCスナップインの[ポリシーの結果セット]を使用する方法もある。ただし、この方法を使用するにはMMCコンソールにスナップインを追加する作業が必要になることと、使い勝手の面ではGPMCの方が優れていることから、現在では積極的に利用する理由はないだろう。

847
2
【連載】にわか管理者のためのActive Directory入門 [69] ポリシー適用結果の事前確認
今週は、ポリシー適用結果の事前確認について解説しよう。
https://news.mynavi.jp/itsearch/2015/10/14/ad069/index.top.jpg
今週は、ポリシー適用結果の事前確認について解説しよう。

会員新規登録

初めてご利用の方はこちら

会員登録(無料)

マイナビニュース スペシャルセミナー 講演レポート/当日講演資料 まとめ
人事・経理・総務で役立つ! バックオフィス系ソリューション&解説/事例記事まとめ

一覧はこちら

今注目のIT用語の意味を事典でチェック!

一覧はこちら

ページの先頭に戻る