Windowsの「グループポリシー」とは何ですか?
グループポリシーは、特にネットワーク管理者向けのさまざまな詳細設定を含むWindowsの機能です。ただし、ローカルグループポリシーを使用して、1台のコンピューターの設定を調整することもできます。
グループポリシーはホームユーザー向けに設計されていないため、WindowsのProfessional、Ultimate、およびEnterpriseバージョンでのみ使用できます。
一元化されたグループポリシー
Active Directory環境でWindowsコンピューターを使用している場合は、ドメインコントローラーでグループポリシー設定を定義できます。ネットワーク管理者は、ネットワーク上のすべてのコンピューターに対してさまざまなWindows設定を構成できる1つの場所を持っています。これらの設定は強制することもできるため、ユーザーはそれらを変更できません。たとえば、グループポリシーを使用して、ネットワーク管理者はWindowsコントロールパネルの特定のセクションへのアクセスをブロックしたり、特定のWebサイトをネットワーク上のすべてのコンピューターのホームページとして設定したりできます。
これは、コンピューターをロックダウンしたり、特定のフォルダー、コントロールパネルアプレット、およびアプリケーションへのアクセスを制限したりする場合に役立ちます。また、コントロールパネルから変更できないものや、レジストリの調整が必要なものなど、さまざまなWindows設定を変更するためにも使用できます。
多くのグループポリシー設定は、実際にはバックグラウンドでレジストリ値を変更します。実際、グループポリシー設定が変更するレジストリ値を確認できます。ただし、グループポリシーは、よりユーザーフレンドリーなインターフェイスとこれらの設定を適用する機能を提供します。
ローカルグループポリシー
ただし、グループポリシーは、企業や学校のコンピューターのネットワークに役立つだけではありません。プロフェッショナルバージョンのWindowsを使用している場合は、ローカルのグループポリシーエディターを使用して、コンピューターのグループポリシー設定を変更できます。
グループポリシーを使用すると、グラフィカルインターフェイスから通常は利用できないいくつかのWindows設定を微調整できます。たとえば、Windows 7でカスタムログイン画面を設定する場合は、レジストリエディターまたはグループポリシーエディターのいずれかを使用できます。グループポリシーエディターでこの設定を変更する方が簡単です。グループポリシーエディターを使用して、Windows 7の他の領域を微調整することもできます。たとえば、通知領域(システムトレイとも呼ばれます)を完全に非表示にすることができます。
エンタープライズネットワーク上のコンピューターをロックダウンするのと同じように、ローカルのグループポリシーエディターを使用してコンピューターをロックダウンすることもできます。これは、コンピューターを使用している子供がいる場合に役立ちます。たとえば、ユーザーに特定のプログラムのみの実行を許可したり、特定のドライブへのアクセスを制限したり、コンピューター上のパスワードの最小長の設定など、ユーザーアカウントのパスワード要件を適用したりできます。
ローカルグループポリシーの使用
Windowsコンピューターでローカルのグループポリシーエディターにアクセスするには(ホームバージョンではなく、WindowsのProfessionalエディション以降を使用している場合)、[スタート]メニューを開き、gpedit.mscと入力して、Enterキーを押します。
gpedit.mscアプリケーションが表示されない場合は、WindowsのHomeエディションを使用しています。
グループポリシーエディターを掘り下げて変更する設定を探すべきではないかもしれませんが、特定の目標を達成するためにグループポリシー設定を変更することを推奨する記事がウェブ上にある場合は、ここでそれを行うことができます。
グループポリシー設定は2つのセクションに分かれています。[コンピューターの構成]セクションはコンピューター固有の設定を制御し、[ユーザーの構成]セクションはユーザー固有の設定を制御します。
たとえば、Internet Explorerの設定は、管理用テンプレート\ Windowsコンポーネント\ InternetExplorerの下にあります。
設定を変更するには、ダブルクリックして新しいオプションを選択し、[OK]をクリックします。
これは、グループポリシーで実行できることのほんの一部にすぎません。また、グループポリシーエディターから監査を有効にして、誰がいつコンピューターにログインしたかを確認できるようにする方法についても説明しました。
これで、グループポリシー、それを使用して実行できること、および手動で設定を簡単に編集できるように設計されていないレジストリエディターとの違いについて理解を深めることができます。
