グループポリシーを学ぶ - SE（しがないエンジニア）のブログ

グループポリシー自体はあくまでも Active Directory（以下AD）内でコンフィギュレーション管理をするための手段であり、その AD がいつ頃から存在したのかを知る必要があります。下記の記事が歴史を知る上で非常に良くまとまっていて参考になります。

最新の Windows Server 2019 でも勿論 AD の機能は主要機能として存在していますし、初期の 2000 の頃から考えても、優れた設計思想で作られたということに関心します。

ちなみに、AD を運用している企業内のクライアントPCはドメインというユーザーやコンピュータの管理体に参加してデータベース化されます。そのデータベース化されたユーザーやコンピューターに対して制御を行うものがグループポリシーになります。（かなり噛み砕いた説明になりますが）

仮に10人の組織体の場合であれば同じ設定を10回施すだけで良いのですが、100人の組織体に同じ設定をしてくださいどうぞ、となった場合は作業コストを考えるだけでゾッとしてしまいます。これを100人に対して実施してくれるのが前述の仕組みです。

実は当ブログの過去記事でもこのグループポリシーを利用した制御を数例挙げているのですが改めて挙動を含め調べてみたいと思い、原点に立ち返った記事を作成してみました。

これはほんの一例であり、2012 R2 / 8.1 での組み合わせの際で管理用テンプレートが「3631」だったとのことで今は 2019 になっていますしその数は「4000」を超えているのかなと。それくらい細かく制御できるということなのですね。

ちなみに、グループポリシーを学ぶ上で下記の分類は押さえた方が良さそうです。

・ポリシー

・基本設定（GPP　･･･　Group Policy Preference）

f:id:btsn:20200113001859p:plain

実は「基本設定」の方は全く利用していなかったのですが、2者には4つの違いがあります。

☆強制力

「ポリシー」➡一部の例外を除きクライアント側の設定画面で変更不可。強制力有。

「基本設定」➡設定した項目はクライアント側で設定変更可能。強制力無。

☆適用範囲

「ポリシー」➡GPOをリンクしたコンピューター／ユーザーアカウントすべて

「基本設定」➡「ターゲット」機能で特定の条件に当てはまるものに絞れる

☆設定方法

「ポリシー」➡定型画面から「有効」・「無効」にて切り替える

「基本設定」➡ポリシーより細かい設定が必要

☆復元性

「ポリシー」➡GPOのリンクを削除・無効にした場合は適用前に戻る

「基本設定」➡設定が戻らないので適用前に戻すためには再設定が必要

4点目の復元性に関してなぜこのようなことが起きるかというとポリシーは通常のレジストリ領域に触れるのに対して基本設定はポリシー向けのレジストリ領域に触れています。（この辺は別記事で検証してみる予定です）

ちなみに上記の GPO（Group Policy Object）に関しては「ポリシー」とはまた別の意味でポリシーや基本設定を集めた集合体として捉えて頂ければ大丈夫です。

これは古くから変わっていないようなのですが、

☆コンピュータ　･･･　コンピュータの起動時（レジストリ：HKLM）

☆ユーザー　･･･　ユーザーのサインイン時（レジストリ：HKCU）

以降は 90～120 分の更新間隔で更新がかかります。（ドメイン間の更新間隔は5分）

f:id:btsn:20200113004443p:plain

［コンピュータの構成］➡［ポリシー］➡［管理用テンプレート］➡［システム］➡［グループポリシー］に変更できる項目もありますのでよかったらご参照下さい。なお、即時反映したい場合はみんな大好き？な下記コマンドをクライアント側で実行することにより適用可能です。（要管理者権限）

gpupdate /force

ちなみに、ポリシーの適用はプッシュではなくプルです！「ガチガチの設定にするためにプッシュで送り込んでるんやろ！」というイメージは持ちませんように。。

プルされたものは「%systemroot%\System32\GroupPolicy」に構成され、最終的にレジストリへ適用される形となります。

ちょっぴり（十分？）マニアックではありますが下記のサイトからダウンロードできる Excel 表にてレジストリとの対応表を確認することが可能です。

と、ここまでで取り上げている部分はあくまでもグループポリシーの導入部分なのでまだまだ奥の深い世界、これからも追い続けたいと思います！（継承他　etc...）