Reading Time: 1 minutes
この記事の所要時間: 約 3分

【目次】 連載:ADについて学ぼう

今回はActive Directoryのグループポリシーについて説明してきます。

◆ Point
・ グループポリシーのメリットについてご紹介
・ GPOの適用順位をご紹介

 

「グループポリシー」とは、Active Directoryが提供している機能の一つであり、ドメインに所属するコンピューターの使用環境を制限することが可能となっています。

近年、大企業の顧客情報流出など、セキュリティ関係の事件が増加しています。情報が流出する経路や要因は様々あり、ネットワークを介して流出するケース、あるいは盗難や紛失による物理的な要因などが挙げられます。ネットワークから流出するケースとしては、例えば特定の社員に対してコンピューターウイルスを添付したメールを送信する「標的型サイバー攻撃」や、辞書などに掲載されている単語を組み合わせて、パスワードなどを推測する「辞書攻撃」などがあります。それらの攻撃は、企業の規模の大小に関係なく、常に攻撃の標的となる危険があるのです。

万が一、そのような攻撃にあり情報流出などの事件が起きた場合、企業は社会的な信頼を著しく失うことになり、最悪倒産につながります。そのような惨事を未然に防ぐため、多くの企業は、何かしらの対策を打っているのではないかと思います。Active Directoryにおける対策の一つとして、用意されている機能が「グループポリシー」です。

グループポリシーを設定するメリット

グループポリシーを使用するメリットは2つあります。

1つ目は、上で述べたように、使用環境を制限することによるセキュリティ面の強化です。
そして2つ目は、コンピューターを、より便利に、より効率よく使用するための環境が設定可能という点です。例えば、プリンタの場合、通常はパソコンを起動し、ログオンした時点ではプリンタの設定は行われていないので、ユーザーが各自でプリンタを追加する必要があります。しかし、管理者が予め使用して欲しいプリンタをグループポリシーで定義することにより、ドメインに所属するユーザーはログオン後、すぐにプリンタを使用することが可能になるのです。このようにユーザー一人ひとりがプリンタを追加する必要がないというのは、作業の効率化にもつながりますね。

GPOの適用と適用順位

グループポリシーを使用することで様々なルールや制限を定義することが出来ますが、一つ一つのルールや制限のことを「ポリシー」といい、さらにポリシーの集合体を「グループポリシーオブジェクト(GPO)」と呼びます。なお、GPOは作成しただけではユーザーやコンピューターにルールや制限が適用されません。作成したGPOを適用対象に「リンク」させることにより、初めてグループポリシーが対象に適用されるのです。ここでいう「リンク」とは、グループポリシーの適用対象に対するGPOの関連付けをいいます。

%e5%9b%b36

作成したGPOをドメインにリンクすると、ドメイン内のユーザーやコンピューターがその影響を受けます。GPOをOUにリンクすると、OU内のユーザーやコンピューターがその影響を受けます。このようにGPOのリンク先を調整することで、経営方針に合わせた柔軟な構成が可能となります。

%e5%9b%b33

またグループポリシーには適用順位が決まっており、以下の順序で適用されます。%e5%9b%b37例えば社内全体のルールに基づきGPOを作成し、それをドメインにリンクしたとします。その後、各部署のルールを定めたGPOを作成し、それを部署OUにリンクします。この場合、もしドメインにリンクしたGPOと部署OUにリンクしたGPOの設定値が異なっていた場合、ポリシーは後から適用したものによって上書きされるため、最終的にはOUにリンクしたGPOが有効となります。したがってローカルコンピューターのポリシーが最も優先順位が低く、OUのGPOの優先順位が最も高いのです。

policy

以上がグループポリシーについての説明でした。

<< 基礎編(5) Active DirectoryにおけるDNSの役割
>> 基礎編(7) Active Directoryのアカウントポリシーとは?



関連ホワイトペーパーのご紹介

Active Directory 特権アクセスに対するセキュリティ対策ソリューション

Active Directoryの特権アカウントに対するセキュリティを向上させるためには、どこに注意し、どう対策をとるべきかを多方面から解説しています。特権アカウントに対するセキュリティを向上させたいという方、特権アカウントに対するコントロール不足を課題に感じている方に特におすすめです。

▼▼ダウンロードはこちら ▼▼
特権アクセスに対するセキュリティ対策ソリューション



【他シリーズのActive Directory連載記事はこちら】
MicrosoftのMVP解説!Active Directoryのハウツー読本第1回 Active Directoryの必要性
MicrosoftのMVP解説!AzureADの虎の巻
第1回 AzureADを利用する意味

Comments are closed.