Reading Time: 1 minutes
【目次】 連載:ADについて学ぼう
今回はActive Directoryのグループポリシーについて説明してきます。
・ GPOの適用順位をご紹介
「グループポリシー」とは、Active Directoryが提供している機能の一つであり、ドメインに所属するコンピューターの使用環境を制限することが可能となっています。
近年、大企業の顧客情報流出など、セキュリティ関係の事件が増加しています。情報が流出する経路や要因は様々あり、ネットワークを介して流出するケース、あるいは盗難や紛失による物理的な要因などが挙げられます。ネットワークから流出するケースとしては、例えば特定の社員に対してコンピューターウイルスを添付したメールを送信する「標的型サイバー攻撃」や、辞書などに掲載されている単語を組み合わせて、パスワードなどを推測する「辞書攻撃」などがあります。それらの攻撃は、企業の規模の大小に関係なく、常に攻撃の標的となる危険があるのです。
万が一、そのような攻撃にあり情報流出などの事件が起きた場合、企業は社会的な信頼を著しく失うことになり、最悪倒産につながります。そのような惨事を未然に防ぐため、多くの企業は、何かしらの対策を打っているのではないかと思います。Active Directoryにおける対策の一つとして、用意されている機能が「グループポリシー」です。
グループポリシーを設定するメリット
グループポリシーを使用するメリットは2つあります。
1つ目は、上で述べたように、使用環境を制限することによるセキュリティ面の強化です。
そして2つ目は、コンピューターを、より便利に、より効率よく使用するための環境が設定可能という点です。例えば、プリンタの場合、通常はパソコンを起動し、ログオンした時点ではプリンタの設定は行われていないので、ユーザーが各自でプリンタを追加する必要があります。しかし、管理者が予め使用して欲しいプリンタをグループポリシーで定義することにより、ドメインに所属するユーザーはログオン後、すぐにプリンタを使用することが可能になるのです。このようにユーザー一人ひとりがプリンタを追加する必要がないというのは、作業の効率化にもつながりますね。
GPOの適用と適用順位
グループポリシーを使用することで様々なルールや制限を定義することが出来ますが、一つ一つのルールや制限のことを「ポリシー」といい、さらにポリシーの集合体を「グループポリシーオブジェクト(GPO)」と呼びます。なお、GPOは作成しただけではユーザーやコンピューターにルールや制限が適用されません。作成したGPOを適用対象に「リンク」させることにより、初めてグループポリシーが対象に適用されるのです。ここでいう「リンク」とは、グループポリシーの適用対象に対するGPOの関連付けをいいます。
作成したGPOをドメインにリンクすると、ドメイン内のユーザーやコンピューターがその影響を受けます。GPOをOUにリンクすると、OU内のユーザーやコンピューターがその影響を受けます。このようにGPOのリンク先を調整することで、経営方針に合わせた柔軟な構成が可能となります。
またグループポリシーには適用順位が決まっており、以下の順序で適用されます。
例えば社内全体のルールに基づきGPOを作成し、それをドメインにリンクしたとします。その後、各部署のルールを定めたGPOを作成し、それを部署OUにリンクします。この場合、もしドメインにリンクしたGPOと部署OUにリンクしたGPOの設定値が異なっていた場合、ポリシーは後から適用したものによって上書きされるため、最終的にはOUにリンクしたGPOが有効となります。したがってローカルコンピューターのポリシーが最も優先順位が低く、OUのGPOの優先順位が最も高いのです。
以上がグループポリシーについての説明でした。
<< 基礎編(5) Active DirectoryにおけるDNSの役割
>> 基礎編(7) Active Directoryのアカウントポリシーとは?
関連ホワイトペーパーのご紹介
Active Directory 特権アクセスに対するセキュリティ対策ソリューション
Active Directoryの特権アカウントに対するセキュリティを向上させるためには、どこに注意し、どう対策をとるべきかを多方面から解説しています。特権アカウントに対するセキュリティを向上させたいという方、特権アカウントに対するコントロール不足を課題に感じている方に特におすすめです。
▼▼ダウンロードはこちら ▼▼
特権アクセスに対するセキュリティ対策ソリューション
フィードバックフォーム
当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。