【Management】グループポリシー基本設定 の「適用できなくなった場合はこの項目を削除する」って?

  • Article

GWのときこそメンテ時ですね!ということで、私も原稿が終わらなかったりとかいろいろで出社しています。

業務連絡
>O編集長 さま
すみません、いま少しお待ちを…

さて、グループポリシー基本設定(Group Policy Preferences)の各設定項目の中に「共通」オプションというものが用意されています。

この中に「適用できなくなった場合はこの項目を削除する」という設定があるのですが、これ、意味わかります?

image

正直、ちょっとわかりづらいですよね。ヘルプを読んでもいまいち…うーん…といったかんじです。

そこで、グループポリシー基本設定の中の「ローカルユーザー」を例にして解説してみます。

「ローカルユーザー」ポリシーは、ポリシーが適用されたときに、ユーザーを作成、変更、削除するためのものです。このポリシーによって、従来スタートアップスクリプトで行ってきたローカルユーザーの作成やパスワード変更等の設定を、ポリシーで一括管理できるようになります。

image

グループポリシー基本設定の特徴は、ログオンスクリプトやスタートアップスクリプト同様、本番環境に直接書き込んでしまうことです。(これを「タトゥー」と呼ぶことがあります。Windows NT 4.0 の頃のシステムポリシーも同様だったですね。)

そのため、例えば上記のようなユーザーを作成した場合には、削除用のポリシーを作成するか手動で削除しない限り、ユーザーはローカルコンピューターに残り続けます。

通常はそれでも問題ないと思いますし、必要であれば「アカウントを無効」にでもしておけばよいと思いますが、それだと不都合な場合もあります。

例えば、

クライアントがシステム部門に所属しているときだけ処理したい

といった場合。

グループポリシー基本設定は「タトゥー」ですから、クライアントがシステム部門OUからはずれても、一度作られたユーザーは削除されません。そこで使用するのが、「適用できなくなった場合はこの項目を削除する」です。

これをチェックしておけば、クライアントが、ポリシーがリンクされているOUから移動した場合、言い換えれば「ポリシーのスコープ外となった場合」に、自動的にユーザーを削除してくれます。

この「削除してくれる」処理ですが、正確に書くと「置換処理の際に再作成しない」という処理になります。

「適用できなくなった場合にはこの項目を削除する」が選択されると、操作モードが強制的に「置換」となり、これ以外を選択することができません。置換処理とは、「現在のオブジェクトを削除して、同じものを再作成する」という処理ですが、「同じものを再作成する」部分を実施しないことで事実上の削除を実現する、という処理になります。

image image

さて、スコープ外という状況は、OUを移動したときばかりではありません。

上の画面ショットをごらんいただきたいのですが、グループポリシー基本設定の「共通」タブには、「項目レベルでターゲットを設定する」という設定項目が用意されています。

これもちょいとわかりずらいのですが、要は「ポリシー適用先のフィルター」です。このフィルターから外れた状態も「スコープ外」と判断されます。

このフィルターが実に多彩でして。以下をご覧ください。

image 

コンピュータ名やIPアドレスだけでなく、特定のレジストリ値や、時間帯によってもフィルターをかけられるんですね!ログオンスクリプトでこれらを実現するために試行錯誤してきたエンジニアの方々には、垂涎ものの機能です。

「9時から17時までの間に起動された場合にはユーザーを作成し、それ以外の時間帯なら作らずに削除する」なんてことが可能です。

グループポリシー基本設定はとてもよい機能です。ログオンスクリプト代わりに是非ともお使いください。