GPOの作成と編集(2)

今週も先週に引き続き、Windows 2000 ServerとWindows Server 2003における、グループポリシーの設定方法について解説する。先週はグループポリシーオブジェクト(GPO)の作成と編集について取り上げたが、今秋は削除や無効化などについて取り上げる。

GPOの削除と無効化

Windows 2000 ServerやWindows Server 2003では、次回から取り上げるGPMC(Group Policy Management Console)と異なり、「GPO」と「リンク」の関係が明確になっていない。そのため、ドメインやOUのプロパティ画面で[グループポリシー]タブに移動してGPOの削除操作を行うと、GPOの削除とリンクの解除を一度に行う形になる。削除の手順自体は難しくなく、一覧で削除したいGPOを選択して[削除]をクリックするだけだ。

また、それぞれのGPOごとに[プロパティ]をクリックすると表示するダイアログで、[ユーザーの構成]あるいは[コンピュータの構成]について、ポリシーの適用を意図的に無効化できるようになっている。トラブルが発生したポリシー設定の適用をとりあえず中止したい、あるいはポリシー適用時間の短縮、といった使い方がある。

前者は、設定を残したままで適用だけを抑止できるため、後から原因を調べて対策を講じる際に有用だ。GPOを削除すると設定が残らないので、別途、紙にメモする等の対処が必要になってしまう。

後者は、[コンピュータの構成]と[ユーザーの構成]のうち、どちらか片方しか設定を行っていない場合に意味を持つ。既定値のままのGPOでも適用するために時間がかかってしまうので、それであれば適用を抑止して時間を節約する方がよい、という考え方だ。[コンピュータの構成]の適用を抑止するとクライアントPCの起動時間短縮に、[ユーザーの構成]の適用を抑止するとユーザーのログオン後に発生する待ち時間の短縮につながる。

GPOの名前変更や無効化など

GPOを作成した直後には名前を変更できる状態になっており、その場で内容がすぐに分かるような名前を設定するのが望ましい。

もっとも、GPOの名前は後から変更することもできる。ドメインやOUのプロパティ画面で[グループポリシー]タブに移動して、名前を変更したいGPOで右クリックして[名前の変更]を選択すると、新規作成直後と同様に、GPOの名前を入力できる状態になる。

また、左下にある[オプション]をクリックすると、選択したGPOについて、上位OUからの上書きを禁止する設定と、当該GPOの適用を禁止する設定が可能だ。特に後者は、GPOを残したままで適用だけを停止できるため、トラブルシュートに有用だろう。前述した「ユーザーの構成」「コンピュータの構成」という区別はなく、GPOをまるごと無効にする。

GPOの優先順位

グループポリシーでは、同じドメイン、あるいはOUに対して、複数のGPOをリンクすることができる。単一のGPOですべての設定を行ってもよいが、用途別・目的別にGPOを作成しておいて、複数のGPOを同じドメインやOUにリンクする方法もある。

その場合、リンクした複数のGPOの間で優先順位が発生する。GPO同士で設定内容が競合していなければ関係ない話だが、競合が発生したときには、優先順位の問題が関わってくる。そのため、意図した通りのポリシー設定が適用されないトラブルを生む原因になりやすい。慣れないうちは、GPOごとに変更する項目を使い分けて、設定を競合させない方が無難だろう。

Windows 2000 ServerやWindows Server 2003の場合、ドメインやOUのプロパティ画面にある[グループポリシー]タブで、優先順位を変えたいGPOを選択してから[上へ][下へ]をクリックすると優先順位の変更が可能だ。

ポリシー設定の継承無効化

また、本連載の55回目で取り上げた「上位OUからのポリシーの継承」を、意図的に切る設定も可能になっている。この設定はOUごとに行う。先に解説した、GPOごとに設定する無効化とは意味が異なるので、間違えないように注意したい。

Windows 2000 ServerやWindows Server 2003の場合、ドメインやOUのプロパティ画面にある[グループポリシー]タブで、[ポリシーの継承をしない]チェックボックスをオンにする。すると、上位OUからの継承を切って、当該OUにリンクしたGPOの設定だけを適用するようになる。