グループポリシー(GPO)運用
グループポリシー(GPO)とは
グループポリシー(Group Policy Object:GPO)は、Active Directory環境でユーザーやコンピュータの設定を一元的に制御する仕組みです。数百台のPCに対して、一貫したセキュリティ設定やデスクトップ環境を適用できるため、ひとり情シスにとって最も強力な管理ツールのひとつです。
GPOの仕組み
GPOは以下の2つのコンポーネントで構成されます。
| コンポーネント | 保存場所 | 内容 |
|---|---|---|
| GPC(Group Policy Container) | Active Directory(LDAPデータベース) | GPOの属性情報、リンク情報、ACL |
| GPT(Group Policy Template) | SYSVOL共有(\\ドメイン\SYSVOL) | 実際のポリシー設定ファイル、スクリプト、ADMXテンプレート |
クライアントPCは起動時とユーザーログオン時にGPOをダウンロードし、設定を適用します。その後も90〜120分間隔(ランダムなオフセットを含む)でバックグラウンド更新が行われます。
LSDOU適用順序
GPOは複数のレベルにリンクでき、以下の順序で適用されます。後から適用されたポリシーが優先されます。
| 順序 | レベル | 説明 |
|---|---|---|
| 1 | L: ローカルポリシー | 各PC固有の設定(gpedit.msc)。最初に適用され、最も優先度が低い |
| 2 | S: サイト | ADサイトにリンクされたGPO。拠点単位の設定に使用 |
| 3 | D: ドメイン | ドメインにリンクされたGPO。全社共通の設定(パスワードポリシーなど) |
| 4 | OU(組織単位) | OUにリンクされたGPO。部署・用途別の設定。最後に適用され、最も優先度が高い |
ポイント:LSDOU(ローカル→サイト→ドメイン→OU)の順序を覚えておけば、GPOの競合時にどの設定が有効になるか予測できます。OUの階層が深い場合は、子OUのGPOが親OUのGPOより優先されます。
GPOの特殊な制御
| 制御方法 | 説明 | 使用場面 |
|---|---|---|
| 強制(Enforced) | 上位のGPOの設定を下位のOUで上書きさせない | 全社必須のセキュリティポリシーを例外なく適用したい場合 |
| 継承のブロック | 上位のGPO設定をそのOUに適用させない | テスト用OUで本番ポリシーを除外したい場合 |
| セキュリティフィルタリング | 特定のユーザー・グループ・コンピュータのみにGPOを適用 | 同一OU内で一部のPCだけに設定を適用したい場合 |
| WMIフィルタリング | WMIクエリの条件に合致するPCのみにGPOを適用 | Windows 11のみ、ノートPCのみなどの条件付き適用 |
⚠️ 注意
「強制」と「継承のブロック」が競合した場合は、「強制」が勝ちます。つまり、親ドメインで「強制」を設定したGPOは、子OUで継承をブロックしても適用されます。この仕様を理解しておかないと、意図しないポリシー適用が発生します。
よく設定するGPO項目
パスワードポリシー
パスワードポリシーはドメインレベルのGPOでのみ有効です(Default Domain Policy推奨)。
| 設定項目 | 推奨値 | 設定パス |
|---|---|---|
| パスワードの最小長 | 14文字以上 | コンピュータの構成 → ポリシー → Windowsの設定 → セキュリティの設定 → アカウントポリシー |
| パスワードの複雑さ | 有効 | 同上 |
| パスワードの有効期間 | 0(無期限)または365日 | 同上 |
| アカウントロックアウトのしきい値 | 5〜10回 | 同上 |
| ロックアウト期間 | 30分 | 同上 |
ポイント:NISTの最新ガイドライン(SP 800-63B)では、定期的なパスワード変更の強制は推奨されなくなりました。代わりに十分な長さ(14文字以上)と、漏洩検知時の即時変更を推奨しています。頻繁な変更強制はユーザーが単純なパスワードを使い回す原因になります。
デスクトップ・ブラウザ制御
- 壁紙の統一:ユーザーの構成 → 管理用テンプレート → デスクトップ → デスクトップの壁紙
- コントロールパネルの制限:ユーザーの構成 → 管理用テンプレート → コントロールパネル
- USBストレージの無効化:コンピュータの構成 → 管理用テンプレート → システム → リムーバブル記憶域へのアクセス
- Windows Update設定:コンピュータの構成 → 管理用テンプレート → Windowsコンポーネント → Windows Update
- Edge/Chromeのポリシー:ADMXテンプレートを追加することで制御可能
ソフトウェア制限
- AppLocker:実行可能なアプリケーションをホワイトリスト/ブラックリストで制御
- ソフトウェアの制限のポリシー(SRP):AppLockerの前身。Windows Pro editionでも使用可能
ログオンスクリプト
GPOでログオン時・ログオフ時・起動時・シャットダウン時にスクリプトを実行できます。
📋 具体例
ネットワークドライブの自動マッピング(ログオンスクリプト例):
@echo off
net use Z: \\fileserver\share /persistent:no
net use Y: \\fileserver\department\%USERNAME% /persistent:no
※ 現在はGPOの「ドライブマッピング」(グループポリシー基本設定)を使う方法がスクリプトより推奨されます。ユーザーの構成 → 基本設定 → Windowsの設定 → ドライブマップ で設定できます。
GPOのトラブルシューティング
GPOが期待通りに適用されない場合の調査手順です。
| コマンド | 説明 | 使用例 |
|---|---|---|
| gpresult /r | 現在適用されているGPOの概要を表示 | コマンドプロンプトで実行 |
| gpresult /h report.html | 詳細なGPO適用結果をHTML形式で出力 | ブラウザで開いて詳細確認 |
| gpupdate /force | GPOを即座に再適用 | 設定変更後の即時反映に使用 |
| rsop.msc | ポリシーの結果セット(RSoP)をGUIで確認 | どのGPOの設定が有効か視覚的に確認 |
GPOが適用されない主な原因は以下の通りです。
- リンク先の間違い:GPOがユーザー/コンピュータが存在するOUにリンクされていない
- セキュリティフィルタリング:対象オブジェクトにGPOの読み取り権限がない
- WMIフィルタリング:WMIクエリが条件に合致しない
- レプリケーション遅延:ドメインコントローラー間のレプリケーションが完了していない
- SYSVOL同期の問題:GPTファイルが正しくレプリケートされていない
ひとり情シスの視点:GPOのトラブル対応で最も重要なのはgpresult /h report.htmlです。HTMLレポートには、適用されたGPO、拒否されたGPO、各設定項目の由来が明記されるため、問題の原因を効率的に特定できます。新しいGPOを作成したらまずテスト用OUで検証し、問題がないことを確認してから本番OUに適用しましょう。
✅ 完了済み