【Management】Windows Vista / XP 用 Starter Group Policy Objects (GPOs)

今日も天気が良いです。こんな日は新宿オフィスでセミナーでもしたいですね。 

スターターGPO(Group Policy Object) ってご存知でしょうか。Windows Server 2008 から実装された機能で、いわばポリシーの「テンプレート」的なものです。ただ、「管理テンプレート」という言葉は既に存在するので、ちょっとまぎらわしですね。英語の説明では以下のように書かれています。

Starter Group Policy objects (GPOs), introduced in Group Policy for Windows Server 2008, are collections of configured Administrative template (.admx) policy settings that you can use to create a live GPO. Each of the two packages in this download contains four starter GPOs.

「目的に応じて値が埋め込まれた管理テンプレートであり、これをベースにしてGPOを発行できる」ってものです。 

スターターGPOを使用すると、事前に必要な定義を埋め込んでおくことができます。たとえば、ドメインが複数存在する環境に置いて、共通のセキュリティ設定を徹底したい場合には、従来は「GPO設定値一覧」を作成して、それぞれのドメイン管理者に通知する必要がありました。しかし、本当にその設定をしてくれるかどうかは保証の限りではありません。

そこで、一番偉い管理者が「スターターGPO」と呼ばれるグループポリシーオブジェクトを作成します。

スターターGPOは「エクスポート」することができるので、これを各ドメインの管理者に配布し、「これに独自の設定を追加するように」と告知することができます。

各ドメインの管理者は、一番偉い管理者からもらった スターターGPO を自身のドメインにインポートして使用することができるため、設定項目一覧を紙で配布するよりもはるかに信頼性があがります。

スターターGPOの詳細については以下をご覧ください。

TechNet : スターターGPOの操作
 https://www.microsoft.com/japan/technet/windowsserver/2008/library/0d5cdca4-4835-4439-9082-752e10b86a6c.mspx?mfr=true

で、ここからが本論。  

マイクロソフトのダウンロードセンターでは、スターターGPO そのものが配布されています。

Starter Group Policy Objects (GPOs)
https://www.microsoft.com/downloads/details.aspx?FamilyID=ae3ddba7-af7a-4274-9d34-1ad96576e823&DisplayLang=en

ここで配布されているのは、「セキュアなクライアント(Vista または XP)を配布するためのスターターGPO」です。言い換えれば、このスターターGPOを使用すると、マイクロソフトが発行しているセキュリティガイドに沿ったクライアント環境を構築することができます。

このスターターGPOのベースとなっているのが、以下のドキュメントです。

Windows Vista セキュリティガイド
https://www.microsoft.com/japan/technet/windowsvista/security/guide.mspx

Windows XP セキュリティ ガイド
https://www.microsoft.com/japan/technet/security/prodtech/windowsxp/secwinxp/xpsgch01.mspx

 それぞれのドキュメントには、「エンタープライズクライアント (Enterprise Client: EC)」と「セキュリティ特化 - 機能制限 (Specialized Security – Limited Functionality: SSLF)」という2種類のクライアントタイプについて、推奨される設定について解説されています。用意されているスターターGPOも、EC と SSLF それぞれに用意されています。

以下は、EC および SSLF それぞれの GPO の設定一覧ですので、参考にしてみてください。いずれも、Windows Server 2008 の GPMC(グループポリシー管理コンソース) から「レポートの保存」機能を使用して保存したHTMLファイルです。

Windows Vista EC(Enterprice Computer) コンピュータ用設定

Windows Vista EC(Enterprise Computer) ユーザー用設定

Windows Vista SSLF(Specialized Security – Limited Functionality)コンピュータ用設定

Windows Vista SSLF(Specialized Security – Limited Functionality) ユーザー用設定