GPOの初期化とスターターGPOの作成

グループポリシーの扱いに慣れていないと往々にして、Active Directoryを新規構成した時点で作成される2個のGPOを編集してしまうものだ。GPOを新規作成した場合、設定ミスによってトラブルが生じても、リンクを切る、あるいはGPOを削除する方法で元に戻すことができるが、当初から存在するGPOについては、Active Directory既定のセキュリティ設定に影響が出るため、この方法は使えない。

そこで、その2個のGPOを初期化して設定内容を元に戻す方法と、関連する話題として、Windows Server 2008の新機能であるスターターGPOについて解説しよう。

ドメインのGPOを初期状態に戻す

Active Directoryを構成した時点で、2個のGPOが自動的に作成される。

・Default Domain Policy : ドメインにリンクしてあるGPO。管理ツールの[ドメインセキュリティポリシー]で設定を変更すると、このGPOに反映される
・Default Domain Controllers Policy : ドメインコントローラが所属するOU[Domain Controllers]にリンクしてあるGPO。管理ツールの[ドメインコントローラセキュリティポリシー]で設定を変更すると、このGPOに反映される

これらのGPOは、GPOを新規作成したときとは異なる設定内容になっており、ドメイン、あるいはドメインコントローラに最適化したセキュリティ設定を行っている。そのため、これらのGPOを削除したりリンクを切ったりするのは、セキュリティの見地からすると好ましくない。すると、これらのGPOを変更してトラブルを起こした場合のリカバリーが難しくなってしまう。

そこで、dcgpofixというコマンドがある。これは、[Default Domain Policy]と[Default Domain Controllers Policy]のGPO×2個に限定して、初期状態に戻す機能を提供するコマンドだ。ただし、戻せるのは初期状態だけで、任意のタイミングの状態に戻せるわけではない。dcgpofixコマンドの実行例を以下に示す。

[Default Domain Policy]と[Default Domain Controllers Policy]の両方を初期化する

dcgpofix /target:both

[Default Domain Policy]だけを初期化する

dcgpofix /target:domain

[Default Domain Controllers Policy]だけを初期化する

dcgpofix /target:dc

スターターGPOの作成(Windows Server 2008)

一方、Windows Server 2008から加わった新機能として、スターターGPOがある。これは、GPOを新規作成したときの初期設定を任意の内容に変更できるというものだ。

正確には、既定のものに加えてユーザーが独自に設定変更を加えたGPOをスターターGPOとして登録しておき、GPOを新規作成する際に選択肢に加える、という動作になる。

GPOを追加する度に、特定の項目を既定値から変更する場合、それを反映させたスターターGPOを用意しておくと、設定の手間や設定漏れを回避できる利点がある。

スターターGPOの作成手順は以下の通りだ。

1. [グループポリシーの管理]管理ツールで、ドメイン名以下にある[スターターGPO]を選択して、[操作]-[新規]、あるいは右クリックして[新規]を選択する。

1. 続いて表示するダイアログで、作成するスターターGPOの名前と説明を指定して[OK]をクリックする。

2. 新しいスターターGPOがツリーの下に加わる。それを選択して、[操作]-[編集]、あるいは右クリックして[編集]を選択すると、ポリシーエディタが起動する。その状態で設定内容の変更を行える。

1. 変更作業が完了したら、ポリシーエディタを終了する。これでスターターGPOができあがる。

こうして作成したスターターGPOは、GPOを新規作成する際に表示するダイアログで、既定のGPOとともに、選択肢としてリストボックスに提示される仕組みだ。