ポリシー適用結果の事前確認

ここまでしばらく、Active Directoryにおけるグループポリシーの設定について解説してきた。

ところがグループポリシーで難しいのは、往々にして、意図した通りの適用結果が得られないことだ。その原因は、複数のGPOをリンクしたときの優先順位や、OUの階層における上書きのルールにある。しかも、優先順位を意図的に変更できたり、上書きや継承を意図的に切ったりできることが、さらに話を複雑にしている。

そこで今週は、ポリシー適用結果の事前確認について解説しよう。

GPMCを使用する方法

もっとも簡単な方法は、GPMC(Group Policy Management Console)、つまり[グループポリシーの管理]管理ツールを利用する方法だ。

GPMCの画面左側にあるツリー画面では、フォレストの下に[グループポリシーの結果]という項目がある。これを使用すると、ポリシー適用結果の事前確認が可能だ。操作手順は以下のようになる。

1. [グループポリシーの結果]を選択して、[操作]-[グループポリシーの結果ウィザード]、あるいは右クリックして[グループポリシーの結果ウィザード]を選択する。

1. ウィザード2画面目で、対象となるコンピュータを指定する。既定値は操作中のコンピュータだが、[別のコンピュータ]をクリックして、他のコンピュータを指定することもできる。

2. このとき、[選択されたコンピュータ用のポリシー設定を結果に表示しない]チェックボックスをオンにすると、[ユーザーの構成]の適用結果だけを表示する。

3. 次の画面で、対象となるユーザーを指定する。既定値はログオン中のユーザーだが、[特定のユーザーを選択する]を選択して、別のユーザーを指定することもできる。

4. このとき、[ユーザーポリシー設定を結果に表示しない]を選択すると[コンピュータの構成]の適用結果だけを表示する。

5. 次の画面で、設定内容を確認してから[次へ]をクリックすると、解析作業を開始する。

6. ウィザード最終画面で[完了]をクリックすると、GPMCに戻る。この時点で[グループポリシーの結果]以下には[<コンピュータ名> 上の <ユーザー名>]が加わっているはずだ。それをクリックすると、結果を画面に表示する。

GPRESULTコマンドを使用する方法

同様の機能を実現するコマンドラインツールとして、gpresultコマンドがある。「GroupPolicyのRESULT」と覚えればよい。コマンドラインツールをは実行結果を画面に出力するため、それをリダイレクトしてテキストファイルに保存できるメリットがある。

もっとも簡単な使い方は、何も引数を指定しない方法だ。この場合、操作中のコンピュータとログオン中のユーザーを対象として解析を行う。引数の指定によって、別のコンピュータ、あるいは特定のユーザーに適用するポリシー設定を解析させることもできる。

gpresultコマンドの構文

gpresult [/s  [/u [\] [/p []]]] [/scope {user | computer}] [/user ] [/v | /z]

gpresultコマンドの引数一覧

引数	解説
/s	適用対象となるコンピュータの名前、あるいはIPアドレスを指定する(先頭に「\\」は付けない)。省略すると、操作中のコンピュータを対象とする
/u [\]	コマンドの実行に使用する資格情報を指定する。ドメインアカウントを使用するときは「\」形式で指定する
/p	引数「/u」で指定したユーザーのパスワードを指定する
/scope {user computer}	「user」を指定するとユーザーの構成だけを、「computer」を指定するとコンピュータの構成だけを表示する。省略すると両方を対象とする
/user	適用対象となるユーザー名を指定する
/v、/z	出力の際に、詳細なポリシー情報を表示する。「/z」を指定したときの情報量は「/v」より多く、グループポリシーについて入手できるすべての情報を表示する。つまり、「省略時→/v→/z」の順に情報量が多くなる

その他の方法

このほか、MMCスナップインの[ポリシーの結果セット]を使用する方法もある。ただし、この方法を使用するにはMMCコンソールにスナップインを追加する作業が必要になることと、使い勝手の面ではGPMCの方が優れていることから、現在では積極的に利用する理由はないだろう。