グループポリシーとは何？わかりやすく解説 Weblio辞書

索引トップ用語の索引ランキングカテゴリー

グループポリシー

出典: フリー百科事典『ウィキペディア（Wikipedia）』 (2022/05/19 14:33 UTC 版)

グループポリシー（英: Group Policy）は、Microsoft Windows NT ファミリのオペレーティングシステムにある機能の1つ。Active Directory 環境内でコンピュータ群やリモートユーザ群の集中管理とコンフィギュレーションの手段を提供する。言い換えれば、ユーザーがそのコンピュータネットワーク内で何ができ、何ができないかを制御する。グループポリシーは企業内で使うことが多いが、他にも学校や小規模な団体でセキュリティ問題を発生する可能性のある行動を制限するために使う。例えば、Windows タスクマネージャーをブロックしたり、特定フォルダへのアクセスを制限したり、実行ファイルのダウンロードを禁止したりといった用途がある。

マイクロソフトのインテリミラーテクノロジーの一部であり、Windowsにおけるユーザーサポート経費を低減させることを目的としている。それらのテクノロジーは、ネットワークに接続していないマシンの管理やローミングユーザーの管理に関連し、ローミングプロファイル、フォルダリダイレクト、オフラインファイルを含む。

概要

グループポリシーは、対象オブジェクトのレジストリ、NTFSセキュリティ、監査およびセキュリティポリシー、インストール、ログイン/ログオフ時のスクリプト、フォルダリダイレクト、Internet Explorer設定を制御できる。ポリシー設定は Group Policy Object (GPO) に格納される。GPO は内部ではGUID (Globally Unique Identifier) で参照される。それぞれが複数のサイト、ドメイン、組織内単位にリンクすることもある。これにより、1つのGPOを更新するだけで複数のマシンやユーザーに対する更新ができ、管理コストを低減することができる。

グループポリシーは管理テンプレート (ADM/ADMX) ファイルを使ってポリシー設定をレジストリのどこに格納するかを記述する。管理テンプレートには基本的に、グループポリシー・オブジェクトエディタ・スナップインで管理者に表示されるユーザインタフェースを記述する。単一のワークステーションでは、管理テンプレートは %WinDir%\Inf フォルダに格納され、ドメインコントローラでは各ドメインGPO毎に Sysvol フォルダ内のグループポリシーテンプレート (GPT) という1つのフォルダに格納される。ADMX はXMLベースの新しいファイルフォーマットで、Windows Vista で導入された。ADMX には個々のGPOの設定が含まれる。

個々のユーザやコンピュータオブジェクトは Active Directory には1つだけ存在するが、複数のGPOに対応することが多い。ユーザやコンピュータオブジェクトは対応するGPOごとに適用する。GPO間の矛盾は属性レベルで解決する。

グループポリシーはコンピュータの起動時およびユーザのログオン時に解析され適用される。クライアントマシンはグループポリシーの設定を定期的に更新する。更新間隔は60分から120分で、グループポリシー設定のコンフィギュレーションで制御される。

グループポリシーは、Windows 2000、Windows XP Professional、Windows Vista（Business以上）、Windows 7（Professional以上）、Windows 8/8.1（各Pro以上）、Windows 10（Pro以上）、Windows Server 2003、Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016 でサポートされている。Windows XP Media Center Edition と Windows XP Professional では、ドメインに属していないコンピュータでもグループポリシー・オブジェクトエディタを使って個々のコンピュータのグループポリシーを設定できる。ただし、このようなローカルなグループポリシーは Active Directory による GPO に比べると機能が制限されている。

グループポリシーをUnix系OS（Mac OS X、Linux など）にまで強制するサードパーティ製ソフトウェア（Centrify DirectControl など）もある（Unix系クライアントマシン上で動作し、ポリシー設定を適用する）。

利用方法

グループポリシーを使用する場合、3つのフェーズがある。GPO作成、GPOの適用、GPOの利用である。

GPOの作成と編集

GPOの作成と編集は2つのツールで行う。グループポリシー・オブジェクトエディタ (GPEdit) と無料ダウンロード可能なグループポリシー管理コンソール (GPMC) である。GPEditは一度に1つのGPOの作成・編集しかできない。管理者が以前に配布したGPOの状況を把握するには Active Directory Users and Computers (ADUC) を使って個々の組織単位に問い合わせる必要があり、非常に時間もかかるし間違いやすい仕事である。GPMCはGPO管理を単純化し、複数のグループポリシーをまとめて管理できる。GPMCの機能として、GPO設定のサマライズ、グループフィルタリングの単純化されたセキュリティペイン、GPOバックアップ/リストア/クローンなど、ADUCを真似たGUIを提供する。GPMCからGPOを編集する際にはGPEditを起動している。GPOTool.exe を使うと、GPOのGUIDを指定して別名を調べることができる。このツールは全GPOのGUIDとそれぞれに対応する別名を出力する。

GPOの適用

GPOの対象への適用方法は条件によって2種類ある。1つはオブジェクトのリンクで、もう1つは Security Descriptor のカスタマイズである。GPOを作成すると、サイト、ドメイン、組織単位 (OU) のいずれかのオブジェクトにリンクできる。さらに、GPOのデフォルトの Security Descriptor をセキュリティフィルタ、Windows Management Instrumentation (WMI) フィルタ、または委任 (Delegation) を使って更新できる^[1]。

セキュリティフィルタは、GPOを適用すべきユーザやグループを選択することでスコープをカスタマイズする。

WMIフィルタは、適用すべきWMIフィルタを選択することでGPOのスコープをカスタマイズする。

委任は、特定ユーザおよびグループとそれぞれに適用される個々のパーミッションを割り当てることでGPOの Security Descriptor をカスタマイズする。セキュリティフィルタに比べると、適用と非適用の両方のパーミッションを修正できるため、より制御できる範囲が広い。

GPOの利用

グループポリシーのクライアントは「プル型」モデルで運用する。頻繁に（90分から120分のランダムな間隔、ただし変更可能）そのマシンに対応したGPOやログオンユーザに対応したGPOの一覧を更新する。そして、クライアントはマシンやユーザにGPOを適用し、対応するコンポーネントやアプリケーションの動作に影響を与える。

ローカルグループポリシー

ローカルグループポリシー (LGP) は、Active Directory で使うグループポリシーよりも基本的なバージョンである。Windows Vista 以前はローカルグループポリシーで単一のローカルコンピュータのグループポリシーを設定できたが、Active Directory のグループポリシーとは異なり、個別のユーザやグループについてのポリシーを作ることはできない。選択可能なオプションも Active Directory のグループポリシーより少ない。特定ユーザの制限は、レジストリエディタで HKEY_CURRENT_USERまたは HKEY_USERSキーに変更を加えることで変更できる。ローカルグループポリシーは単にレジストリのHKEY_LOCAL_MACHINEキーに変更を加えるので、全ユーザーに影響する。同じ変更をHKEY_CURRENT_USERまたはHKEY_USERSキーに加えれば、特定のユーザしか影響を受けない。Microsoft TechNet では、レジストリエディタを使ったグループポリシー設定方法が解説している^[2]。ローカルグループポリシーはドメインに属するコンピュータでも使え、Windows XP Home Edition でも使える。

Windows Vista は複数ローカルグループポリシー・オブジェクト (MLGPO) をサポートしており、ユーザ個人毎にローカルグループポリシーを設定できる^[3]。

セキュリティ問題

ユーザ単位のポリシーは、対象アプリケーションが自発的に受け入れるときだけ効果を発揮するという問題がある。悪意あるユーザはアプリケーションがグループポリシー設定を読み込むのを妨害したり（それによってセキュリティレベルが低いデフォルト状態になる）、任意の値を返す可能性もある。また、ユーザが書き込み可能な位置にアプリケーションをコピーし、ポリシー設定が無効化されるような変更を加えることもできる。

脚注・出典

^ "Jakob H. Heidelberg". “"Yes of course you can assign Group Policies to Security Groups!"”. "Blogspot.com". 2009年6月14日閲覧。
^ Group Policy Settings Reference
^ Step-by-Step Guide to Managing Multiple Local Group Policy Objects

外部リンク

Windows コンポーネント

管理ツール

アプリインストーラ
コマンドプロンプト
コントロールパネル
- アプレット
デバイスマネージャ
ディスククリーンアップ
デフラグ
Driver Verifier
DxDiag
イベントビューア
IExpress
管理コンソール
Netsh
パフォーマンスモニタ
リソースモニタ
設定
Sysprep
システム構成
システムファイルチェッカー
システム情報
システムポリシーエディター
システムの復元
タスクマネージャ
Windows エラー報告
Windows Ink
Windowsインストーラ
PowerShell
Windows Update
- Windows Insider
WinRE
WMI
スキャンディスク
- CHKDSK
問題の報告と解決

アプリ

3Dビューア
アラーム & クロック
電卓
カメラ
外字エディタ
Cortana
Edge
FAX とスキャン
フィードバック Hub
サポートに問い合わせる
拡大鏡
メール/カレンダー
地図
メッセージング
映画&テレビ
モビリティセンター
ナレーター
メモ帳
OneDrive
OneNote
ペイント
ペイント3D
Pay
アドレス帳
People
フォト
クイックアシスト
スマホ同期
切り取り & スケッチ
音声認識
Skype
Sticky Notes
Microsoftストア
Windows Media Player
ボイスレコーダ
ワードパッド
WinSAT
文字コード表
リモートアシスタンス

シェル

Aero
ClearType
エクスプローラ
Windows サーチ
スタートメニュー
- タスクバー
- 特殊フォルダ
- 関連付け
- シェル名前空間（英語版）

サービス

サービスコントロールマネージャー
CLFS
BITS
Wireless Zero Configuration
シャドウコピー
自動再生
タスクスケジューラ
マルチメディアクラススケジューラ

ファイルシステム

CDFS
DFS
exFAT
FAT12
FAT16
FAT32
IFS
NTFS
- ジャンクション
- マウントポイント
- リパースポイント
- シンボリックリンク
- TxF
- EFS
ReFS
UDF

サーバ

Active Directory
DFS レプリケーション
DNS
IIS
MSDTC
NAP
AD RMS
SharePoint
Windows Media Services
WSUS
移動ユーザープロファイル
グループポリシー
ドメイン
リモートデスクトップサービス (Remote Desktop Protocol)

アーキテクチャ

NT系のアーキテクチャ
スタートアッププロセス (Vista)
CSRSS
DLL
EXE
HAL
I/O
Ntoskrnl.exe
Svchost.exe
WinPE
NTLDR/ブートマネージャー
アイドルプロセス
カーネルパッチ保護
レジストリ
IRP
KTM
LSASS
SMSS
Windows リソース保護
オブジェクトマネージャー
Win32コンソール
Winlogon
セキュリティアカウントマネージャー（SAM）（英語版）
論理ディスクマネージャー

セキュリティ

互換性

API

.NET Framework
COM
- OLE
- OLE オートメーション（英語版）
- DCOM
- ActiveX
- 構造化ストレージ
- MTS
DirectX
DWM
GDI
Protected Media Path（英語版）
PlayReady
Windows Imaging Component
Windows Imaging Format
Windows Script Host
- VBScript
- JScript

開発終了

ゲーム	リバーシピンボールインクボール Chess Titans Mahjong Titans Purble Place スパイダソリティアソリティアハーツフリーセルマインスイーパ
アプリ	Windowsアドレス帳 Anytime Upgrade Windows Calendar(Vista) CardSpace DVD メーカー Internet Explorer Windows Journal 画像とFAXビューア(XP) Windows Mail(Vista) Media Center Messenger Microsoft ActiveSync Windows Mobile デバイスセンター NetMeeting Outlook Express Snipping Tool WinHelp Write サウンドレコーダーデスクトップガジェットハイパーターミナルバックアップと復元センターフォトギャラリープログラムマネージャミーティングスペースムービーメーカーリソースメーター
その他	UNIX サブシステム Interix Video for Windows

カテゴリ

ウィキペディア小見出し辞書

索引トップ用語の索引ランキング

グループポリシー

出典: フリー百科事典『ウィキペディア（Wikipedia）』 (2020/09/06 22:33 UTC 版)

「Microsoft Windows Installer」の記事における「グループポリシー」の解説

以下のグループポリシーの設定で複数のシステムにおけるロギングを管理することができる。コンピュータの構成 -> 管理テンプレート -> Windowsコンポーネント -> Windows インストーラ -> ロギング

※この「グループポリシー」の解説は、「Microsoft Windows Installer」の解説の一部です。
「グループポリシー」を含む「Microsoft Windows Installer」の記事については、「Microsoft Windows Installer」の概要を参照ください。

ウィキペディア小見出し辞書の「グループポリシー」の項目はプログラムで機械的に意味や本文を生成しているため、不適切な項目が含まれていることもあります。ご了承くださいませ。お問い合わせ。

>> 「グループポリシー」を含む用語の索引
グループポリシーのページへのリンク

グループポリシーとは？わかりやすく解説

グループポリシー

目次

概要