出来事-11 [日記]
本日の朝ごはんはおむすびとだしまきたまご。
これは良いですよ。お決まりのパターンですが。
きょうもゲンキいっぱい仕事をやっつけれそうです(^^)
ま、たまには紅茶だけでも良いか。
さて、気になったのがこちら
↓
グループポリシーでやるべきこと
グループポリシーでクライアントにさまざまな設定を適用する場合は、次の流れで設定を進める。
【詳細画像を含む記事】
1.適用する設定を「グループポリシーオブジェクト(GPO)」で作成する
2.作成したGPOの適用対象となるユーザー/コンピューターを定義する
3.ユーザー/コンピューターにグループポリシーを適用する
この3つの設定は言い方を変えると、「(1)どのような設定」を、「(2)だれに対して」、「(3)適用するか」ということになる。それでは、この3つについて効果的な設定方法を確認しよう。
■1.適用する設定をGPOで作成する
GPOを利用してクライアントにさまざまな設定を適用する場合、まず最初にGPOそのものを作成する必要がある。GPOの作成は管理ツールの「グループポリシーの管理」ツールを起動して、右ペインを[グループポリシーの管理]-[フォレスト]-[ドメイン]-[<ドメイン名>]-[グループポリシーオブジェクト]の順番で展開し、[グループポリシーオブジェクト]を右クリックしてメニューから[新規]を選択する。
▲「グループポリシーの管理」ツールでGPOを新規作成する
作成されたGPOを右クリックして[編集]を選択すれば設定画面が表示されるので、ここでユーザーやコンピューターに適用したい詳細を設定する。
ここで問題になるのが「適用したい設定」だろう。いきなり「適用したい設定」と言われても、グループポリシーを利用していない管理者には、そもそも「どのような設定ができるのか」がよくわからない。そこで、グループポリシーではどのような設定ができるかを調べるためのリソースをいくつか紹介しておこう。
・GPOのフィルターオプション
GPOの設定画面にある「管理用テンプレート」の項目を検索できるツール。[管理用テンプレート]を右クリックして[フィルターオプション]を選択すると、検索キーワードを「単語のフィルター」から設定できる。例えば、キーワードとして[IPv6]と入力して[OK]をクリックすると、IPv6の文字が含まれるグループポリシー設定項目だけが表示される。
▲「管理用テンプレート」のフィルターオプション。キーワードで該当するグループポリシーを絞り込み検索できる
・レジストリから参照
セキュリティ設定を行うときによく利用する[Windowsの設定]-[セキュリティの設定]-[ローカルポリシー]-[セキュリティオプション]項目を検索する場合は、レジストリの「HKEY_CURRENT_USER¥Software¥Classes¥Local Settings¥MuiCache¥1¥826182D0」が大いに役立つ。このレジストリを開くと、そこには[セキュリティオプション]の項目の名前が並んでいるので、これをtxt形式でエクスポートしておけば「メモ帳」などのテキストエディタの検索機能で探すことができる。
・リファレンス
英語のドキュメントになるが、グループポリシーオブジェクトの設定項目一覧がExcelファイルとして、マイクロソフトのWebサイト「Group Policy Settings Reference for Windows and Windows Server」([URL]http://www.microsoft.com/en-us/download/details.aspx?id=25250)で公開されている。英語ではあるが、組織のGPOに対してどのような設定を行ったかを記録しておくドキュメントとしても利用できるだろう。
■2.適用対象のユーザー/コンピューターを定義する
GPOを作成したら、適用対象となるユーザー/コンピューターを決定する。基本的にGPOは、OU(組織単位)またはドメインにリンクすることで適用対象が決定する。ドメインにリンクすればドメイン内のユーザーまたはコンピューターが対象となり、OUにリンクすればOU内のユーザーまたはコンピューターが対象になる。
▲GPOをドメインにリンクしている様子。このGPOはドメイン内のすべてのユーザー/コンピューターに適用される
しかし、実際の運用においては、ドメインやOUといった括りではない範囲でGPOを適用しなければならない場合があるだろう。例えば、ノートブックPCとデスクトップPCで、適用する内容を変更したい場合などが考えられる。そのときには、「WMIフィルター」を利用することをお勧めする。
WMIフィルターは、「WMI(Windows Management Instrumentation)」と呼ばれるWindows OSやハードウェアに関するさまざまな情報を取得したり、設定したりできる管理機能(インタフェース)に接続して、管理者が定義した条件に一致したユーザー/コンピューターだけにGPOを適用するものである。
WMIフィルターを設定する場合は、あらかじめ「グループポリシーの管理」ツールの[WMIフィルター]で条件を指定しておく。
▲WMIフィルターを設定する場合には、あらかじめ条件を指定しておく
WMIフィルターは条件として、「Select * From <WMIクラス> Where <条件>」のように記述する必要がある。例えば、日本のタイムゾーンを使用しているコンピューターだけにGPOを適用したい場合は、以下のように記述すればよい。
Select * From Win32_TimeZone Where Bias = 540
このとき、問題になるのは自分の設定したい項目をどうやって探せばよいか、ということである。WMIは「WMIクラス」と呼ばれるジャンルと、「プロパティ」と呼ばれる項目から構成されている。
まず、WMIクラスとしてどのようなものが用意されているかを調べるには、Windows PowerShellから「Get-WmiObject -list」というコマンドレットを実行する。すると、WMIクラスの一覧が表示されるので、その中から自分が求めているであろうWMIクラスの名前を探す。
続いて、使用するWMIクラスの中にあるプロパティを探すときは、同じくWindows PowerShellから「Get-WmiObject -Class <クラス名>」というコマンドレットを実行する。すると、利用可能なプロパティが表示される。
例えば、下の画面のように「Win32_TimeZone」クラスで利用可能なプロパティを表示すると、タイムゾーンは「Bias」というプロパティで表されることが確認できる。また、値が「540」ならば日本のタイムゾーンを表していることがわかる。
▲「Get-WmiObject -Class Win32_TimeZone」コマンドレットを実行した様子
こうしてできあがったWMIフィルターは、リンクしたGPOの[WMIフィルター処理]で設定すれば完了だ。
▲WMIフィルターをGPOに設定した様子
参考までに、よく使われることが予想されるWMIフィルターをいくつか紹介しよう。
・デスクトップPCだけにGPOを適用する
Select * From Win32_SystemEnclosure Where ChassisTypes >=?3 and ChassisTypes <=7
(ChassisTypesが3、4、5、6、7の場合はデスクトップPC)
・仮想マシンだけにGPOを適用する
Select * From Win32_NetworkAdapter Where ServiceName = "netvsc"
■3.ユーザー/コンピューターにグループポリシーを適用する
GPOを作成し、適用するユーザーやコンピューターが決定したら、あとはGPOを実際に適用するだけだ。GPOの作成とリンクが完了すれば、コンピューターの起動時やユーザーのログオン時などに自動的に適用されるため、管理者としては特に何もする必要はない。
しかし、テスト目的で設定した内容を適用して確認したい場合や、トラブルシューティング目的ですぐにでも適用したい場合があるだろう。そうした場合には、「gpupdate /force」というコマンドをコンピューター上で実行し、今すぐグループポリシーを適用という方法があるが、Windows Server 2012またはWindows 8を利用しているのであれば、リモートから「gpupdate」コマンドが実行できるWindows PowerShellコマンドレット「Invoke-GPUpdate」を活用しよう。Invoke-GPUpdateコマンドレットは次のように実行する。
Invoke-GPUpdate -Computer <コンピューター名> -Force
複数のコンピューターに対してまとめて実行するときは、次の方法で行う。
Get-ADComputer ?filter * -Searchbase "cn=computers, dc=Contoso,dc=com" | foreach{ Invoke-GPUpdate ?computer $_.name -force}
(Contoso.comドメインのComputersコンテナにコンピューターオブジェクトが保存されている場合)
なお、このコマンドレットを実行するには「Windowsファイアウォール」で以下の規則が有効になっていることが前提となるので注意してほしい。
・スケジュールされたリモートタスク管理(RPC)
・スケジュールされたリモートタスク管理(RPC-EPMAP)
・Windows Management Instrumentation(WMI受信)
将来的にこの機能を使う予定があるのならば、あらかじめこれらのファイアウォールの規則自体もGPOで設定しておけばよいだろう。
▲GPOでファイアウォール規則を設定しておく
(国井傑/ソフィアネットワーク)
(この記事はComputerworldから引用させて頂きました)
で、今日のランチは、池尻のジョナサンによりました。
雰囲気が良いんですよ。ハンバーグランチとマンゴージュース。めっちゃハマってます。
佐藤さんもファンだそうで。
あ、それから御好評の最安値サイトの部分なんですけど、
今日もヤフーオークションが良いと思います。
まだ在庫があるかは1度ご確認下さい。
ていうかいつもどおりヤフーショッピングは相変わらずですねww
さて、本日のばんごはんは、焼レバーとわかめスープ。
食後のスイーツはサークルkサンクスのバナナクレープ。ちょっと贅沢でしょ?
つーことで、本日の更新はこれにて終了。
本日もありがとうございました。
コメント 0