グループポリシーとは、ユーザー環境やシステム設定を制御する機能です。たとえば、特定のプログラムが使用されないようスタートメニューに非表示にしたり、パスワードの有効期限を設定したりするなど、さまざまな制御設定が可能です。グループポリシーは Windows XP Professional 上でも個別設定できますが、Active Directory ドメイン環境においては、Windows 2000 Server 上で集中して設定、および管理をおこなうことができます。Windows XP Professional が Active Directory ドメインに参加している場合、Active Directory のグループポリシー設定を自動的に読み込みます。Windows XP Professional で個別設定した内容と、Active Directory 上でのグループポリシー設定項目が競合する場合、Active Directory での設定が優先されます。グループポリシーと Active Directory を併用すると、管理者が組織の管理ポリシーにあわせ、各ユーザーの作業環境やシステム設定を集中して制御することができます。これにより、ユーザーの設定変更によって引き起こされるトラブルを未然に防ぐなど、TCO(Total Cost of Ownership)の削減をはかることができます。
Active Directory ドメインにおいてグループポリシー設定をおこなうには、「Active Directory ユーザーとコンピュータ」管理ツールを使用します。グループポリシーは、Active Directory ドメイン全体で共通のものを構成することも可能です。既定値で、ドメイン全体のグループポリシーが自動作成されているので(Default Domain Policy)、必要な項目を編集するだけで、設定をおこなうことができます。
また、OU(Organizational Unit 組織単位)を使用して、OU ごとに個別のグループポリシーを作成することも可能です。(画面図2)たとえば、組織の部署ごとに OU を作成し、部署ごとのグループポリシーを定義することもできます。ドメインと OU のグループポリシー設定項目が競合した場合、既定値では OU の設定項目が優先します。
グループポリシーの編集は、「グループポリシーエディタ」を「Active Directory ユーザーとコンピュータ」から開くことができるので、ここで必要な項目を「有効」にします。設定を解除するには、解除したい項目を「未構成」にします。グループポリシーでは、さまざまな設定をおこなうことできます。たとえば、各クライアントユーザーが Windows XP Professional において構成を変更できないよう、コントロールパネルの使用をできなくすることができます。
設定手順は以上です。組織の管理ポリシーにあわせて、必要な項目を有効にするだけです。設定内容は、保存先を指定しなくても所定の場所に自動保存されます。また、グループポリシーにはセキュリティ機能があり、特定のユーザーにのみ適用されるよう設定したり、グループポリシーの管理を管理者以外のユーザーに委任したりすることもできます。
各 Windows XP Professional での個別設定は必要ありません。Active Directory ドメインに参加している Windows XP Professional は、起動時とログオン時に自動的に Active Directory 上のグループポリシー設定を読み込みます。ログオン中に設定が変更された場合も、既定値で 90〜120 分の間隔で、自動的に変更内容が読み込まれます。
グループポリシーでは、このほかにもさまざまなことができます。たとえば、アプリケーションの自動配布や、特定のフォルダ(マイドキュメントなど)のパス情報を書きかえるフォルダリダイレクトの機能もあります。詳細については、関連ドキュメントなどをごらんください。
