始めに
本記事では以下条件を満たしている人向けに記事を書いています。
条件①:仮想環境を用意し、Windows Active Directory構築済みの方
条件②:1台以上ドメイン参加にてクライアントWindows OSのPCをご用意の方(仮想環境で問題ありません。)
条件③:Active Directoryユーザーとコンピューターを少しは触った方
Active Directoryドメインサービスのインストール手順は写真付きでPC初心者の方にも躓きポイントがないように作っているので、よろしければご参考にしてください。
グループポリシーとは
グループポリシーとは
ドメインに参加しているPCの設定を一括で設定するActive Directoryの機能になります。
平たく言えば、会社で使うPCの設定はすべてactive directory上で構成したポリシーを配布することでIT管理者が想定するセキュリティ設定を構築することが可能です。
ストーリー形式で補足していきたいと思います。
例えば、あなたがある会社の情報システム部門だとします。
その部門はあなた含めて2人しかいません。それに比べてその会社には100人の社員がいます。
その100人全員がITリテラシーのある社員とは限りません。
そのような状況下ですべての社員にPCの設定を1台ずつ管理するのは非効率的ですよね。作業後に勝手にPCの設定を変える社員もいるかもしれません。
そこで登場するのがグループポリシーになります。
グループポリシーは後ほど操作画面で説明しますが、グループポリシーオブジェクトと言われる設定ファイルのようなものをOUとリンクさせることで設定を適用できます。以下はActive Directory自体の説明イラストにはなってしまいますが、ご覧頂ければと思います。
グループポリシーを活用すれば、以下2つのメリットがあります!
以上の2点より、会社のセキュリティを底上げすることが可能になります。
ちなみにドメインの補足を下記に記載します。
ドメイン
ドメインとはざっくりいうと、
Active Directoryを構築している環境において管理用のサーバーが管理している範囲のことを指します。
「よくIPアドレスを人間が分かりやすいように文字列にしたもの」とドメインの説明で出てきがちですが、Active Directoryにおけるドメインは少し毛色の違う意味なんだなと覚えると混乱せずに済むと思います。
GPO作成手順:コントロールパネル禁止
では実際に触っていきましょう!
まずはサーバーマネージャーの右隅にあるツール(T)をクリックしてください。
ツールの中のグループポリシーの管理をクリックしてください。
クリックするとグループポリシーの管理が開きます。
その中で赤枠で記載したマークをクリックしてください。
そうすると、以下4つがフォルダの階層構造で出てきます。
・ドメイン
・サイト
・グループポリシーのモデルを作る
・グループポリシーの結果
階層構造ってのは、要はマトリョーシカ的なノリでフォルダがフォルダの中に入ってますよ構造のことですね。
先ほどと同じようにドメインフォルダ左の赤枠をクリックします。するとあなたが設定したドメイン名が表示されます。
筆者はdog.jpをドメイン名として登録したため、下記画像ではdog.jpとなってます。
ちなみにここから先は、フォルダではなくOUと呼称するのでご注意ください。
Active Directoryの世界では、ユーザーIDやコンピューターIDのことをオブジェクトと呼びます。そしてオブジェクトを格納する箱のことをOUと呼びます。
グループポリシーの設定では以下イラストのように、グループポリシーオブジェクトをOUとリンクさせることでポリシーを適用させる形になります。
赤枠をクリックすると下記画像のようなOU構成になるはずです。
以下がすべてのOUを展開した写真になります。この中でグループポリシーオブジェクトの名前のOUがありますよね。
ここに全てのグループポリシーオブジェクトが格納される形になります。デフォルトでは、下記2つのポリシーが入っています。
・Default Domain Controllers policy
・Default Domain Policy
巻物みたいなアイコンで表記されているイラストがグループポリシーオブジェクトになります。
基本的には、先ほども話したようにグループポリシーオブジェクトとOUをリンク(くっつける)することでグループポリシーを適用する形になります。
グループポリシーを適用したいOUを右クリックしてください。
今回は予めTest-gp-コントロールパネル抑止という名前のOUをつくりました。
このドメインにGPOを作成し、このコンテナーにリンクする(C)をクリックしてください。
すると下記画像のようにGPOの名前を入力する画面になります。
この名前は何でもいいです。ただ今後もGPOを作成することを考えるとわかりやすい命名規則でつけるのがいいかと思います。
私は英語でイキりたい気分だったので、以下のような名前にしました。意味はコントロールパネル抑止になります。
命名規則としてはPolicy + 設定内容です。
名前を付けた後にOKをクリックすると、先ほどのTest-gp-コントロールパネル抑止OUの配下にPolicy Control Panel Suppressionがリンクされました。
この状態では、単に何も設定の入っていないグループポリシーオブジェクトがOUとリンクしているだけですので、グループポリシーオブジェクトの設定を行ってきましょう。
Policy Control Panel Suppressionオブジェクトを右クリックしてください。すると右クリックメニューの中に編集(E)があるのでクリックします。
そうするとグループポリシー管理エディターが開きます。この画面から設定項目を選んでいきます。
非常に設定項目があるので、最初は面食らうと思いますが我慢して慣れてください(笑)
グループポリシーには大きく分けて2つの設定項目があります。今回はユーザーの設定を行います。
①コンピューターの構成
②ユーザーの構成
ユーザーの設定を開いてください。そうすると以下画像のように3つの設定ファイルが出現するはずです。その中の管理用テンプレートを開いてください。
- ソフトウェアの設定
- Windowsの設定
- 管理用テンプレート
さらに、コントロールパネルを開いてください。
コントロール パネルをクリックすると以下写真のように右画面に設定項目が表示されます。
コントロールパネル設定画面の中のコントロールパネルとPC設定へのアクセスを禁止するをダブルクリックしてください。
そうすると、以下画像のような設定画面が表示されますので、有効を選択して、適用(A)とOKをクリックします。
設定が終わったら、グループポリシー管理エディターを一旦すべて閉じて、グループポリシーの管理画面を開きます。
その中で先ほどあなたが作ったグループポリシーオブジェクトをクリックします。そして、設定タブをクリックします。
※筆者の場合はPolicy Control Panel Suppressionが作ったグループポリシーオブジェクトに該当します。
※下記画像のようにInternet Explorerの警告画面が表示されたら閉じるをクリックしてください。
設定タブを開くと、先ほど設定したグループポリシーオブジェクトの詳細が確認できるため、一番下までスクロールしてください。
一番下まで行くと、ユーザーの設定(有効)項目があります。
その中のコントロール パネルは以下のポリシーが有効になっていれば、設定は完了です!
クライアントPC側での動作確認
クライアントPCの動作確認は2つのフェーズに分けていこうと思います。
①グループポリシー適用前
②グループポリシー適用後
いきなりグループポリシーを当てて動作を確認するのもいいですが、違いを分かりやすくみていただく為、あえてポリシーを当てる前と後で動作確認を行います。
グループポリシー適用前
まずはデスクトップ上でWindowsキー+Rキーを同時に押してください。念のため、キーボードの押す位置を下記イラストに載せておきます。
ファイル名を指定して実行が出てきます。
controlと入力して、OKをクリックしてください。
そうするとコントロールパネルが開きます。
今からこの画面を開けないようにポリシーを当てていきます。
ポリシー適用後
先ほどと同じ手順でファイル名を指定して実行を開きます。
cmdと入力し、OKをクリックしてください。
そうすると黒い画面が表示されます。これはコマンドプロンプトといいます!詳細は省きますが、PC操作をコマンドで入力できる画面だと思って頂ければいいのかなと思ってます。そこで下記コマンドを入力してください。入力が終わったら、Enterキーを押します。
コマンド:gpupdate /force
すると、以下画面のような文字が表示されますので、コンピューターポリシーの更新が正常に完了しました。が表示されるまで待ちます。
終わったら、コマンドプロンプトを閉じて、ファイル名を指定して実行を開きます。そして、controlを入力して、OKをクリックします。
下記画像のように、制限する表示画面が表示されれば、設定は完了です!
コメント