OUと異なったグループ単位にポリシーを設定したい

対象プラットフォーム

質問

Windows 2000 の Active Directory を使おうとして、現在設計を行なっております。 ユーザに利用を許可するソフトウェアの管理を行なうのに、グループポリシーオブジェクト(GPO)を利用しようと考えています。
Active Directory の設計は図1 のように、組織毎に OU を作成して、OU 毎に、GPO を利用して、その組織が利用可能なソフトウェアの設定を行なっていくことを考えています。


図1: OUの設計

しかし、管理職だけが利用可能なソフトウェアの設定がうまく行なえません。
管理職は全ての組織(OU)に数名ずついるのですが、OU に対して GPO を設定すると、一般の社員も含めた全員にソフトウェアの利用が可能となってしまいます。OU の設計自体を管理職と社員という形にしてしまうと、権限の委任がうまく行なえないという別の問題が発生してしまいます。

管理職全員がメンバーのセキュリティグループを作成してみたのですが、GPO をセキュリティグループに対して割り当てることも出来ず、困っています。同じように、人事部 OU と 総務部 OU だけに存在する 採用スタッフに対するポリシーの適用もうまくいきません。
なにか、よい対処策はないでしょうか。

回答

Active Directory 設計の上で、グループポリシーオブジェクト(GPO) をどのように割り当てていくかは悩みの種だと思います。 GPO は基本的に OU に割り当てるものです(ただし、ドメインやサイトに対して設定を行なうことも可能です)。しかし、ユーザやコンピュータが複数の OU に所属することは出来ないため、どのように OU の設計を行なっても、通常は、今回のようにどこかに歪みが発生してしまいます。
このような場合に、うまく GPO を適用していくには、ちょっとしたテクニックが必要になります。

GPO だけにある特殊なアクセス権

実は、グループポリシーオブジェクト(GPO)には、特殊なアクセス権が存在します。まずは GPO のアクセス権を確認してみましょう。通常は、図2のように、認証済のすべてのユーザを表す Authenticated Users という 特殊なセキュリティグループに対して、「グループポリシーの適用」権限が設定されています。


図2: GPOのアクセス権

このため、ある OU に GPO を設定した場合、今回のようにその OU 以下に所属する全てのアカウントやコンピュータなどのオブジェクトに対して、GPOが適用されるわけです。つまり、このアクセス権を変更することで、特定のユーザやグループだけに GPO を適用させることが可能になります。

特定のグループに GPO を適用するテクニック

それでは、管理職全員が所属している「管理職」グローバルセキュリティグループだけに GPO を適用する方法を例にとって説明して行きましょう。
まず、ドメインのプロパティを開いてドメインの GPO を新規に作成します。名前は何でも構いませんが, その GPO の内容が分かるようにしましょう。今回は「管理職用ソフトウェア配布」という名称にしました。

次に、先ほどの図2のようにして、今作成した GPO のプロパティを開きます。
ここで、図3のように Authenticated Users を削除し、「管理職」グローバルセキュリティグループを追加してから、「グループポリシーの適用」にチェックを入れます。もちろん GPO自体を修正する必要がある、Enterprise Admins 等のグループに対するアクセス権は、「フルコントロール」のままにしておきます。


図3: GPOのアクセス権の修正

これで、この GPO は「管理職」グローバルセキュリティグループに所属するアカウントだけに適用されるようになりました。GPO 自体はドメインに対して設定されていますので、結果的にこのドメインの「管理職」ゴローバルセキュリティグループに所属するユーザは、どの OU に所属していても、この GPO が適用されることになります。

複数 OU で一つのポリシーを利用する方法も

このように、ドメインに対して設定したポリシーに適切なアクセス権を設定することで、ユーザやグループ単位にポリシーを適用することは可能になります。しかし、人事部OU と総務部OU の間だけで共有できれば良い採用WGスタッフに対する GPO のように、一部の OU 間だけで共有したい GPO をドメインに対して設定するのは、管理上あまり好ましいことではないでしょう。
こうした場合のテクニックとして、1つの GPO を複数の OU に設定してみましょう。

まず、「総務部」の OU で例えば「採用スタッフ用ソフトウェア設定」という名前でグループポリシーを作成します。ここまでは通常の手順と同じです。次に、人事部の OU のプロパティを開いて、GPO の設定をします。ここで、新規に GPO を作成せずに、「追加」ボタンを押してみましょう。


図4: GPOのリンク

ここで「すべて」というタブを選択すると、図4のように、このドメインで作成された GPO の一覧が表示されますので、先程作成した「採用スタッフ用グループポリシー」という GPO を選択します。 これで、この GPO が総務部 OU と人事部 OU の両方に対して適用されます。
最後に OU 内で適用するユーザを限定するために、前述したように採用スタッフのグループのみに「グループポリシーの適用」権限を設定します。

安易な利用は混乱の元に

このように、同じ GPO を複数の OU に対して設定したり、GPO のアクセス権を利用することで、特定のセキュリティグループやユーザにポリシーを適用することが可能になります。 しかし、現在は GPO の適用状況を簡単に確認するツールがないこともあって、余り複雑な設定を行なってしまうと後々のメンテナンスが非常に大変になってしまいますし、思わぬ所で副作用が出てしまうことも考えられます。
安易にアクセス権による GPO 適用範囲の制限を利用せず、まずはしっかりと OU の設計を行ない、管理しやすいディレクトリの構築を心がけていきましょう。

注記・補足

  1. 本文書は、日経 Windows 2000 2000 年 7 月号の「誌上コンサルティング」に掲載された「OUとは異なったグループにポリシーを設定したい」の草稿を筆者の方で HTML 化して掲載しているものです。

Copyright (C) 1998-2009 TAKAHASHI, Motonobu
Last update: 2003-06-25 02:55:56 JST
webmaster@monyo.com