Active Directory のおさらいをしましょう! ~ グループポリシー編 ~ Cloud OS RoadShow 2014.5.24
自己紹介 宮川麻里 ( みやかわまり ) System Center Users Group Japan 所属 Microsoft Certified Trainer 主な担当コース Windows Server 関連 Active Directory Windows Server 2003 からの移行 Office 365 関連 SQL Server
アジェンダ グループポリシーのおさらい グループポリシーのうれしい機能 まとめ
グループポリシーの目的は? ユーザーやコンピューターの一元管理!
グループポリシーでできること ソフトウェアの インストールや制御 OR GPO ドメインコントローラー GPO GPO Windows 機能の制限 リムーバブル記憶 媒体の利用禁止
グループポリシーの作成箇所 グループポリシー管理コンソール GPMC) GPOの作成や バックアップなど 管理 P-01
グループポリシーの設定箇所グループポリシー管理エディタ コンピューターの構成 ユーザーの構成
グループポリシーの動作 GPO は作成しただけでは 動かない ドメイン/サイト /OU のいずれか へリンクする
グループポリシーの適用順序 ローカル LSDOU サイト ドメイン OU
グループポリシーの適用順序 レジストリ 操作禁止 有効 ローカル 有効 サイト ドメイン 有効 無効 Sales_OU OU レジストリ 操作禁止 は無効
グループポリシーの適用順序 レジストリ 操作禁止 有効 ローカル 有効 サイト ドメイン 有効 継承のブロック 無効 Sales_OU OU USB利用禁止 レジストリ操 作禁止
グループポリシーの適用順序 レジストリ 操作禁止 有効 ローカル 有効 サイト 強制 ドメイン 有効 有効 無効 Sales_OU OU レジストリ操 作禁止
グループポリシーの適用されるタイミング ログオン時または起動時に適用 コンピューターの構成 起動時/ユーザーの構成 ログオン時 GPUPDATE.EXE コマンドで強制適用 /Force オプションをつけると全ポリシーを更新 Invoke-GPUPDATE コマンドでリモート更新 Power Shell のコマンドレット
グループポリシーの適用されるタイミング Windows 8 Windows Server 2012 Invoke-GPUpdate -Computer <コンピューター名> -Force Windows ファイアウォールで以下の規制を有効 スケジュールされたリモートタスク管理 (RPC) スケジュールされたリモートタスク管理 (RPC-EPMAP) Windows Management Instrumentation (WMI受信)
Windows Server 2012 からといえば グループポリシーの設定項目数がさらに増えました!
Windows Server 2008 / Vista 管理用テンプレート :2,746 セキュリティ設定 :167 Windows Server 2008 R2 / Windows 7 管理用テンプレート :3,102 セキュリティ設定 :169 Windows Server 2012 R2 / Windows 8.1 管理用テンプレート :3,631 セキュリティ設定 : 181
日本語版のリファレンスがダウンロード可能 グループポリシーセッティングリファレンス http://technet.microsoft.com/jajp/windowserver/bb310732.aspx
管理用テンプレートといえば Windows Server 2008 Windows Vista からは ADMXファイル という形式になりました
管理用テンプレートファイル ADMXファイル *.admx 言語情報に依存しないファイル *.adml 言語依存情報ファイル 言語非依存情報 ファイル (*.admx) C: Windows PolicyDefinitions ja-jp 言語依存情報 ファイル (*.adml) テンプレートの追加は 管理用テンプレート ファイルを MSサイトからダウンロードして上記フォルダーに保存するだけでOK
管理用テンプレートファイル ADMX ファイルの形式になり 何がよくなったかというと
2003 XP 管理用テンプレートファイル までは ADM ファイルでは GPO 毎にテンプレートがコピー SYSVOL ポリシー テンプレート GPO ポリシー SYSVOL テンプレート GPO ポリシー ポリシー テンプレート テンプレート GPO GPO ポリシー ポリシー テンプレート テンプレート GPO GPO GPOの数が多いとレプリケーションの負荷
管理用テンプレートファイル ADMX ファイルでは中央ストアに確認して GPO が 参照する形式に 中央ストア テンプレート SYSVOL ポリシー コピー GPO ポリシー GPO ポリシー GPO レプリケーションの負荷軽減 C: Windows PolicyDefinitions
シナリオ例 1
シナリオ No.1 ユーザーには PC の Admin 権限を付与せずに情報システム部の管理としている企業にて 全社員の PC 新しいものに交換しておいて 80 台分設定しないと
ユーザーの PC の Administrators にドメインの情シスのヘルプデスク G を追加する 制限されたグループ
制限されたグループ
制限されたグループ
制限されたグループ 追加されます
制限されたグループ クライアント PC それぞれで設定する 必要がなくなり作業負担が軽減されます
シナリオ例 2
シナリオ No.2 社内環境でストアアプリ使用の禁止! P-01
方法 1 グループポリシーの ストア を利用 Windows Server 2012 の既定値では Windows ストアアプリに関する項目がない!
デスクトップエクスペリエンス のインストール あるいは 管理用テンプレートを PolicyDefinitions フォルダにコピーする C: Windows PolicyDefinitions
ストア が表示されます P-01
ストア - ストアアプリをオフにする ー 有効
方法 2 AppLocker 機能を利用 AppLocker とは 特定のアプリケーションの実行を 禁止したり許可したりする方法 適用先 コンピューターの構成 のみ
方法 2 AppLocker 機能を利用 以下の環境から利用可能 Windows 7 Enterprise / Windows 8 EnterPrise Windows Server 2008 R2 Windows Server 2012 ( 全エディション ) Windows Server 2012 R2 Windows 7 Professional や Vista ならば ソフトウェアの制限のポリシー 機能が利用可能
ソフトウェアの制限のポリシーと APPLockerの違い 抜粋 ソフトウェアの 制限のポリシー APPLocker 対象範囲 全ユーザー 特定のユーザーや グループ 対象OS Windows XP Windows Server 2003 以降 Windows 7 Windows 8 EnterPrise Windows Server 2008 以 降 規制のインポート エクスポート 可能 PowerShell サポート 可能 Test-AppLockerPolicy コマンドでテストも可能
方法 2 の手順 コンピューターの構成 -ポリシー -Windowsの設定 -セキュリティの設定 -システムサービスー Application Identity
サービスのスタートアップモードを 自動 にする
コンピューターの構成 -ポリシー -Windowsの設定 -セキュリティの設定 -AppLocker
既定の規則の作成 を選ん で対象ユーザーに対して拒否 を選択
ストアアプリの実行がすべてブロックされます
シナリオ例 3
シナリオ No.3 社員のドキュメントもバックアップ の対象にしたい! P-01
個人の PC ではなく ユーザーに意識させずにサーバーにファイルを格納できればバックアップの対象にできる フォルダリダイレクト
フォルダリダイレクトの動作 サインイン サインアウト サーバー上のファイルを利用 サインイン
ユーザーの構成 - ポリシー - Windowsの設定 - フォルダーリダイレクト
ドキュメント - プロパティ 基本 ー全員のフォルダを同じ場所にリダイレクトする 詳細設定 ーセキュリティグループ別に場所を指定する
ターゲット タブ 設定 タブ 適用対象となるグループを指定 ドキュメントに対する設定
ユーザーは 利用する PC を意識せず作業ができる ファイル喪失に泣かずにすむ
シナリオ例 3
シナリオ No.3 ネットワークドライブのマウントとか Script で管理すると引き継ぎや PC への展開が面倒 マウント #net use v: sever01 share アンマウント #net use v: sever01 share
シナリオ No.3 スクリプトで実装していた機能が 基本設定 機能で可能になります GUIだし誰が見ても 解りやすい
Windows Server 2008 グループポリシー基本設定 グループポリシーの拡張機能
2008~ 基本設定の場所 コレ! コレ!
基本設定 の さらなる特徴
適用対象範囲への柔軟なフィルタ コンピュータ名やIPアドレスなど多数のフィルタ条件が用意 されています (以下は抜粋 バッテリの存在でターゲットを設定する コンピューター名でターゲットを 設定する CPU 速度でターゲットを設定する 日付の一致でターゲットを 設定する オペレーティング システムで ターゲットを設定する 環境変数でターゲットを設定する IP アドレスの範囲でターゲットを 設定する 言語でターゲットを設定する MAC アドレスの範囲でターゲットを 設定する ポータブル コンピューターで ターゲットを設定する ネットワーク接続でターゲットを 設定する ユーザーでターゲットを設定する http://technet.microsoft.com/ja-jp/library/cc733022.aspx
たとえばこんなフィルタ
通常のグループポリシーは PC のグループポリシー専用の レジストリ領域を操作する エンドユーザーによる変更はできない グループポリシーを無効にすると設定は解除される
基本設定は PC のレジストリを直接変更 エンドユーザーによる変更が可能 原則としてポリシーを無効にしても設定は残る (タトゥ 効果
基本設定は 設定を一度だけ適用したり 適用対象外 になった時に設定を削除できる タトゥー効果を 防ぐには ココをチェック
たとえば Webシステムの勤怠管理ソフトをユーザーが自分の PC にログオンしたら 一度だけブラウザを立ち上げて表示させたい P-01
一度だけ 基本設定
ユーザーの構成 基本設定 -Windows の設定 レジストリ
新規作成 - レジストリ項目 全般 タブ
アクション : ハイブ : キーのパス : 全般タブの入力項目 更新 HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion RunOnce 値の名前 : 値の種類 : 値のデータ : 適宜 ここでは IEAUTO REG_SZ iexplore.exe < 表示したい URL> ここではBing P-01
共通タブの入力項目 1 度だけ適用し 再適用しない のチェックを入れて [OK] をクリックします
デスクトップにログオンすると ドメインに参加しているクライアントから ドメインユーザーで RunOnce レジストリキーに登録されているエントリを読み込み IE が立ち上がって指定されたページが一度だけ表示されます
まとめ グループポリシーはさまざまな機能が存在します うまく組み合わせればシステム管理者の負荷が軽減できます! ぜひ使いこなしましょう!
ご清聴ありがとうございました
株式会社 IP イノベーションズ 一社向けコース一覧 ( 抜粋 )(2014 年度版 ) IP イノベーションズでは 下記のコースを中心に テクニカル研修を行っております ご多忙な技術者の方々にも受講いただけるよう 時間や日数をカスタマイズしたり ご要望に合わせたカリキュラムを設計することが可能でございます また 貴社の求める人材像に合わせて 技術研修を設計することも可能です お問い合わせ お待ちしております Microsoft 関連コース [Office 365 / Microsoft Office] コースコードコース名日数例学習形態 MI127 すぐに始められる Office 365 管理の基礎 (#50563) 6 時間 1 日間講義 + 実機演習 MI130 Office 365 Outlook と Exchange Online の活用 (#50581) 6 時間 1 日間講義 + 実機演習 MI131 Office 365 SharePoint Online の活用 (#50582) 6 時間 1 日間講義 + 実機演習 http://www.ipii.co.jp e-mail:sc@ipii.co.jp TEL:03-5577-8350 MI137 最新版 Office ユーザートレーニング Office 365 ProPlus / Office 2013 ご相談ください講義 + 実機演習 Microsoft 関連コース [Windows 7/Windows 8] コースコードコース名日数例学習形態 MI101 Windows 7 クライアントのインストールおよび構成 (#10226) 6 時間 3 日間講義 + 実機演習 MI141 Windows 7 展開環境の計画と管理 (#50498) 6 時間 3 日間講義 + 実機演習 MI145 Windows 8 の構成 (#23687) 6 時間 5 日間講義 + 実機演習 Microsoft 関連コース [Server 関連 ] コースコードコース名日数例学習形態 MI105 Windows Server 2008 Active Directory の基礎 (#6858) 6 時間 3 日間講義 + 実機演習 MI106 Windows Server 2008 のサーバーの計画と管理 (#6749) 6 時間 5 日間 講義 + 実機演習 MI108 Windows Server 2008 ネットワークインフラストラクチャの構成とトラブルシューティング (#6743) 6 時間 5 日間 講義 + 実機演習 MI111 Windows Server 2008 Active Directory ドメインサービスの構成およびトラブルシューティング (#6239B) 6 時間 5 日間 講義 + 実機演習 MI138 Microsoft SQL Server 2008 システム管理 (#50497) 6 時間 3 日間 講義 + 実機演習 MI139 早わかり!Windows Server 2012 の新機能 ~ここが変わった Windows Server 2012 ~ 6 時間 1 日間 講義 + 実機演習 MI142 Windows Server 2012 のインストールおよび構成 (#23410) 6 時間 5 日間 講義 + 実機演習 MI143 Windows Server 2012 の管理 (#23411) 6.5 時間 5 日間講義 + 実機演習 Windows Server 2003 から Windows Server 2012 への移行 6 時間 1 日間講義 + 実機演習