Active Directory GPO管理

GPOを表示

ADManager PlusはGPOを表示するさまざまな方法を提供し、管理者は要件に応じてビューを選択できます。GPOとこれらにリンクされているオブジェクトを表示するさまざまな方法は次のとおりです:

ドメイン内の利用可能なすべてのGPOを表示します。

管理者は、このオプションを使用して、ドメインで使用可能なすべてのGPOのリストを表示できます。

手順:

ドメインで使用可能なGPOは、[GPOを管理]ページで利用可能な[ドメインを選択]を使用して表示できます。

ステップ:

ドメインで利用可能なすべてのGPOを表示するには:

  1. [管理]タブをクリックします。
  2. [GPO管理]で、[GPOを管理]をクリックします。
  3. [ドメインを選択]を使用して必要なドメインを選択します。

特定のドメイン/OU/サイトにリンクされているすべてのGPOを表示します。

管理者は、このオプションを使用して、特定のドメイン/OU/サイトにリンクされているすべてのGPOのリストを即座に表示できます。

手順:

[GPOリンクを管理]ページで[選択]を使用すると、特定のドメイン、OU、またはサイトにリンクされたGPOを表示できます。

ステップ:

ドメイン、OU、またはサイトにリンクされているすべてのGPOを表示するには:

  1. [管理]タブをクリックします。
  2. [GPO管理]で、[GPOリンクを管理]をクリックします。
  3. 「選択」を使用して、必要なドメイン、OU、またはサイトを選択します。
  4. これにより、選択したドメイン、OU、またはサイトにリンクされているすべてのGPOが一覧表示されます。「リンクステータス」、「強制ステータス」、「GPO継承ステータス」、「GPOステータス」などのその他の詳細も表示できます。

GPOがリンクされているすべてのOU/サイトを表示します。

このオプションにより、管理者は、GPOがリンクされているOU/サイトを知ることができます。

手順:

GPOがリンクされているOU/サイトを表示するには、「ドメインを選択」を使用して生成されたGPOのリストから特定のGPOをクリックします。

ステップ:

GPOがリンクされているすべてのOU/サイトを表示するには:

  1. [管理]タブをクリックします。
  2. [GPO管理]で、[GPOを管理]をクリックします。
  3. [ドメインを選択]を使用して必要なドメインを選択します。
  4. リンクされたOU/サイトを表示する必要があるGPOをクリックします。
  5. また、リンクされているOUおよびサイトごとに、この特定のGPOの「リンクステータス」および「強制ステータス」ステータスを表示することもできます。

GPOを作成

ADManager Plusを使用して新しいGPOを作成できるため、ADManager Plusを実行するマシンにGPMCをインストールする必要がなくなります。

手順:

[GPOを管理]ページの右上隅にある[新しいGPOを作成]を使用して、管理者はGPOを作成し、それらをOU、サイト、またはドメインにリンクできます。

ステップ:

新しいGPOを作成するには:

  1. [管理]タブをクリックします。
  2. [GPO管理]で、[GPOを管理]をクリックします。
  3. ページの右上隅にある[新しいGPOを作成]をクリックします。
  4. 開いた[GPOを作成]ウィンドウで、[GPO名]の横のテキストボックスに新しいGPOの名前を入力します。
  5. [後でリンク]をクリックして、後で新しいGPOをドメイン、OU、またはサイトにリンクします。
  6. [今すぐリンク]をクリックして、GPOの作成時に新しいGPOをドメイン、OU、またはサイトにリンクします。
    • 新しいGPOをOUまたはドメインにリンクするには、「OU/ドメイン」を選択します。チェックボックスを使用して、リンクするドメインまたはOUを選択します。
    • 新しいGPOをサイトにリンクするには、「サイト」を選択します。チェックボックスを使用して、リンクするサイトを選択します。

GPOを編集

ユーザーとコンピュータ構成両方の管理テンプレート設定、重要なセキュリティ設定、すなわち、コンピュータ構成のアカウントポリシー、ローカルポリシー、イベントログ、制限付きグループ、システムサービス、レジストリ、およびファイルシステムは、ADManager Plusを使って、編集できます。

手順:

各GPOの横にあるアクション列の[GPO設定を編集]を使って、各GPOに関連付けられている管理テンプレートとセキュリティ設定を編集できます。

ステップ:

GPOの設定を編集するには:

  1. [管理]タブをクリックします。
  2. [GPO管理]で、[GPOを管理]をクリックします。
  3. [ドメインを選択]を使用して、必要なGPOが配置されているドメインを選択します。
  4. 表示されているGPOから、編集するGPOのアクション列にある[GPOを編集]アイコンをクリックします。
  5. 開いた[GPO設定を編集]ウインドウで、
    • GPO名のコンピュータ構成のセキュリティ設定の設定を修正するには。[コンピュータ構成] → [ポリシー] → [Windows設定] → [セキュリティ設定]の順に移動します。
    • 注意: ページ上部にある検索オプションを使用して、フォルダ内の希望の設定に移動するか、探すこともできます。
    • GPO名のコンピュータ構成の管理テンプレート設定を修正するには。[コンピュータ構成] → [ポリシー] → [管理テンプレート設定]の順に移動します。
      注意: ページ上部にある検索オプションを使って、希望の設定に移動するか、
    • 探すこともできます。
    • GPO名のユーザー構成の管理テンプレート設定を修正するには。[ユーザー構成] → [ポリシー] → [管理テンプレート]の順に移動します。
      注意: ページ上部にある検索オプションを使って、基部の設定に移動するか、探すこともできます。
  6. 修正する設定に基づいて、適切なフォルダを選択し、編集する設定をクリックします。
  7. 開いたウインドウで、「有効にする」、「無効にする」、「構成しない」、または「設定で必要な変更を行う」を選択できます。
  8. 変更を行ったら、[適用]をクリックして、変更内容を保存および更新します。
  9. [次へ]をクリックして次の設定に移動します。

GPOの有効化及び無効化

ADManager Plusの[GPO管理]では、管理者は必要なドメインで複数のGPOを一度に有効または無効にできます。また、必要に応じて管理者はGPOを完全にまたは部分的に(ユーザー構成またはコンピューター構成のいずれかの設定)有効/無効にすることもできます。管理者はまた、1つまたは複数のGPOを一括で有効/無効にすることもできます。

手順:

[GPOの管理]で[ドメインの選択]に行き、すべてのGPOのリストを取得して、必要に応じてそれらを完全または部分的に有効/無効にします。

手順:

GPOを有効/無効にする方法:

  1. [管理]タブをクリックします。
  2. [GPO管理]で、[GPOを管理]をクリックします。
  3. [ドメインを選択]を使用して、必要なGPOが配置されているドメインを選択します。
  4. 必要なGPOを選択します。(このページの上部にある検索オプションを使用して、必要なGPOを見つけることもできます)
  5. GPOは、次のように完全または部分的に有効にできます。
    • GPOを完全に有効にする方法:GPOリストの上にある[管理]オプションから[有効]を選択して、GPOを完全に有効にするか、各GPOの横にあるトグルボタンを使用して[ユーザー構成設定]と[コンピューター構成設定]の両方を有効にします。
    • ユーザー構成のみを有効にする方法:GPOリストの上にある[管理]オプションから[ユーザー構成を有効にする]を選択するか、各GPOの横にあるトグルボタンを使用して[ユーザー構成設定]を有効にし、[コンピューター構成設定]を無効にします。
    • コンピューター構成のみを有効にする方法:GPOリストの上にある[管理]オプションから[コンピューター構成を有効にする]を選択するか、各GPOの横にあるトグルボタンを使用して[コンピューター構成設定]を有効にし、[ユーザー構成設定]を無効にします。
  6. GPOは、次のように完全または部分的に無効にできます。
    • GPOを完全に無効にする方法:GPOリストの上にある[管理]オプションから[無効]を選択して、GPOを完全に無効にするか、各GPOの横にあるトグルボタンを使用して[ユーザー構成設定]と[コンピューター構成設定]の両方を無効にします。
    • ユーザー構成のみを無効にする方法:各GPOの横にあるトグルボタンを使用して、[ユーザー構成設定]を無効にし、[コンピューター構成設定]を有効にします。
    • コンピューター構成のみを無効にする方法:[コンピューター構成設定]を無効にし、各GPOの横にあるトグルボタンを使用して[ユーザー構成を有効にする]設定を有効にします。

GPOの削除。

管理者は、ADManager Plusの[削除]オプションにて、不要になったGPOを削除できます。

手順:

[GPO管理]ページの[ドメインの選択]にて必要なドメインを選択した後、削除するGPOを選択します。GPOリストの上にある[管理]オプションから[削除]を選択します。

手順:

GPOを削除する方法:

  1. [管理]タブをクリックします。
  2. [GPO管理]で、[GPOを管理]をクリックします。
  3. [ドメインを選択]を使用して、必要なGPOが配置されているドメインを選択します。
  4. 削除するGPOを選択します。(このページの上部にある検索オプションを使用して、必要なGPOを見つけることもできます)
  5. GPOリストの上にある[管理]オプションから[削除]を選択して、GPOを削除します。

GPO範囲

GPOの範囲は、サイトまたはドメインあるいはOUにリンクして、定義することができます。デフォルトでは、GPOは、狭い範囲に限定していないかぎり、リンクされたオブジェクト全体に適用されます。GPO範囲を狭くする一般的な方法の1つは、セキュリティやWMIフィルタリング等のフィルタを使うことです。

GPOフィルタを構成するステップ

  1. ADManager Plusにログインします。
  2. [管理]タブ → [GPO管理] → [GPOを管理].の順に移動します。
  3. GPOが属するドメインを選択します。
  4. 選択したドメインのGPOのリストから、修正するGPO横の[リンクされたオブジェクト]ボタンをクリックします。
  5. [範囲]タブに移動し、リンクされたオブジェクトテーブル下部にある[詳細設定]をクリックします。
  6. セキュリティフィルタリングセクションで、GPOの適用先のオブジェクト(ユーザー、グループまたはコンピュータ)を追加または削除します。
  7. WMIフィルタリングセクションで、ドロップダウンメニューから希望のWMIフィルタを選択できます。
  8. [更新]をクリックして、変更内容を保存します。

GPO委任

次のステップにしたがって、希望のセキュリティについてGPO許可を表示または構成することができます。

GPO委任許可を構成するステップ

  1. ADManager Plusにログインします。
  2. [管理]タブ > [GPO管理] > [GPOを管理].の順に移動します。
  3. GPOが属するドメインを選択します。
  4. 選択したドメインのGPOのリストから修正するGPO横の[リンクされたオブジェクト]ボタンをクリックします。
  5. [委任]タブに移動します。
  6. 許可選択セクションから、希望のアカウントを選択し、ドロップダウンメニューから適切な許可を選択します。
    • 設定を編集 - GPO設定を編集できます
    • 設定を修正 - GPOのセキュリティ許可を修正できます
    • 読取 - GPOを表示できます
    • 削除 - GPOを削除できます
  7. [更新]をクリックして、変更内容を保存します。

GPOリンクの追加/削除。

このオプションは、管理者がGPOをドメイン、サイト、またはOUに適用したり、特定のドメイン、サイト、またはOUに不要になったGPOリンクを削除したりするのに役立ちます。

手順:

[GPOリンクの管理]ページで[GPOをリンク]を選択し、GPOを必要なドメイン、サイト、またはOUにリンクします。GPOリンクは、[管理]オプションから選択可能の[リンクの削除]を使用して削除できます。

手順:

GPOをリンクする方法:

  1. [AD管理]をクリックします。
  2. [GPO管理]で、[GPOリンクの管理]をクリックします。
  3. [選択]にて、必要なドメイン/ OU /サイトを選択します。
  4. GPOのリストの右上にある[GPOをリンク]オプションをクリックします。
  5. 表示される[リンクするGPOの選択]ウィンドウで、[GPOをリンク]オプションを選択し、GPOをリンクするドメイン、OU、またはサイトを選択します。
  6. リンクしたいGPOを選択し、[GPOをリンク]をクリックします。追加されたGPOリンクについて、リンクステータスとともに実行されたアクションの概要が表示されます。

GPOリンクの削除方法:

  1. [AD管理]をクリックします。
  2. [GPO管理]で、[GPOリンクの管理]をクリックします。
  3. [選択]にて、必要なドメイン/ OU /サイトを選択します。
  4. リンクを削除したいGPOを選択します。
  5. リンクされたGPOのリストのすぐ上にある[管理]ボタンをクリックします。
  6. オプションから[リンクの削除]をクリックして、指定されたGPOリンクを削除します。

GPOリンクの有効化/無効化。

管理者は、このオプションを使用して、特定のドメイン、サイト、またはOUへのGPOの適用を有効または無効にできます。

手順:

指定されたドメイン/ OU /サイトで利用可能なGPOのリストから、リンクを有効または無効にする必要なGPOを選択します。[管理]にて使用可能なオプションを利用して、リンクを有効または無効にします。

手順:

GPOリンクを有効/無効にする方法:

  1. [AD管理]をクリックします。
  2. [GPO管理]で、[GPOリンクの管理]をクリックします。
  3. [選択]にて、必要なドメイン/ OU /サイトを選択します。
  4. リンクを有効または無効にするGPOを選択します。
  5. 利用可能なGPOのリストのすぐ上にある[管理]オプションをクリックします。[リンクを有効にする]または[リンクを無効にする]オプションを選択して、選択されたGPOリンクを有効または無効にします。

GPOリンクの強制の実施または削除方法。

このオプションを使用すると、管理者は単一のアクションで、指定されたターゲットコンテナーに適用する必要があるGPOを指定できます。強制削除オプションを使用すると、GPOのこの強制適用を取り消すことができます。

手順:

選択されたドメイン、OU、またはサイトにリンクされているすべてのGPOのリストから、必要なGPOを選択し、必要に応じて強制を実施または削除します。

手順:

GPOリンクの強制を実施または削除する方法:

  1. [AD管理]をクリックします。
  2. [GPO管理]で、[GPOリンクの管理]をクリックします。
  3. [選択]にて、必要なドメイン/ OU /サイトを選択します。
  4. 必要なGPOを選択します。
  5. 強制を実施または削除するには、[管理]オプションから[強制]または[強制を削除]をクリックします。

GPOインヘリタンスのブロックまたはブロック解除。

管理者はこのオプションを使用して、OUまたはドメインによる親コンテナからのGPO設定の継承をブロック/ブロック解除できます。

手順:

GPO設定の継承をブロックまたはブロック解除したいOUまたはドメインを選択し、必要に応じて継承をブロックまたはブロック解除します。

手順:

必要なドメインまたはOUのGPO設定の継承をブロック/ブロック解除する方法:

  1. [AD管理]をクリックします。
  2. [GPO管理]で、[GPOリンクの管理]をクリックします。
  3. [選択]にて、必要なドメイン/ OU /サイトを選択します。
  4. GPOの継承をブロックまたはブロック解除するには、[管理]オプションから[継承をブロック]または[継承をブロック解除]をクリックします。

トラブルシューティング。

  1. 新しいGPOの作成中に[アクセスが拒否されました - 80070005]エラーが発生した場合、ドメイン設定で構成されたユーザーアカウントに、目的のドメインでGPOを作成するために必要な権限があることを確認してください。

    推奨事項:ベストプラクティスとして、ADManager Plusを実行するアカウントに、目的のドメインでGPOを作成するために必要な権限があることを確認してください。

  2. 「ネットワークアクセスが拒否されました - 80070041」のエラーが発生した場合、ADManager Plusがインストールされているマシンで次のアクションを実行します。
    • Gpedit.mscを実行します。
    • [コンピューター] → [管理テンプレート] → [ネットワーク] → [ネットワークプロバイダー] → [強化されたUNCパス]の順に移動します。
    • 「有効」を選択します。
    • [オプション]で[表示]をクリックします。
    • [値名]の下に、「\\*\SYSVOL」と入力します(引用符なし)。
    • 「値」の下に、「RequireMutualAuthentication=0, RequireIntegrity=0, RequirePrivacy=0」と入力します(引用符なし)。
    • OKをクリックして変更を適用します。
    • コマンドプロンプトを開き、「gpupdate /force」を実行して、行った変更を適用します。
  3. 「レジストリ設定を取得できません」エラーが発生した場合、GPMCを使用してそのレジストリ設定を「未構成」に変更します。その後、AD Manager Plusを使用してレジストリ設定を表示または変更できます。(このエラーは、GPMCとAD Manager Plusで使用可能な特定のレジストリ設定のadmxファイルの違いが原因で発生します。)