グループポリシー再確認 Murachi Akira aka Hebikuzure

About me • Murachi Akira aka hebikuzure ( 村地 彰 ) • 株式会社エクシードワン 技術フェロー • 株式会社シーピーエス 技術教育スペシャリスト • 専門学校東京テクニカルカレッジ非常勤講師 • Microsoft MVP (Most Valuable Professional) • Since Apr. 2011 ( 14 Years! ) • Award Category: Windows and Devices - Windows Cloud and Datacenter Management – Windows Server • Expertise • Windows client / user management and security • Microsoft 365, Active Directory, Microsoft Endpoint Manager https://www.linkedin.com/in/akiramurachi/ https://www.facebook.com/amurachi/ https://x.com/hebikuzure 2025/03/22 2 Murachi Akira aka Hebikuzure

目次 • グループ ポリシーの概要 • グループ ポリシーの適用 • グループ ポリシーの編集 • 参考情報 • まとめ 2025/03/22 Murachi Akira aka Hebikuzure 4

グループ ポリシーの概要 2025/03/22 Murachi Akira aka Hebikuzure 5

グループ ポリシーとは • Windows を実行しているコンピューターで… • ユーザーとコンピューターの設定と構成管理する仕組み 2025/03/22 Murachi Akira aka Hebikuzure 6 グループ ポリシー コンピューターの構成 ユーザーの構成

ローカル ポリシーとドメイン ポリシー • グループ ポリシーはコンピューター単位でローカルに構成可能 ⇒「ローカル ポリシー」 • Active Directory ドメインでドメイン参加しているコンピューターと ユーザーを対象に構成可能 ⇒「ドメイン ポリシー」 2025/03/22 Murachi Akira aka Hebikuzure 7 ローカル ポリシー ドメイン ポリシー

グループ ポリシーと GPO • GPO（Group Policy Object、グループ ポリシー オブジェクト） • GPO • グループ ポリシー設定 • スコープ（ポリシーの適用対象） • セキュリティ権限 2025/03/22 Murachi Akira aka Hebikuzure 8

設定・スコープ・権限 2025/03/22 Murachi Akira aka Hebikuzure 9 スコープ 設定 権限(委任)

GPO の適用 • GPO はドメインの Active Directory コンテナーにリンクする • リンクされたコンテナー内のオブジェクトに GPO が反映される • GPO をリンクできる最下位のコンテナーは組織単位 (OU) 2025/03/22 Murachi Akira aka Hebikuzure 10 GPO OU GPO OU GPO OU ドメイン

コンテナーと GPO 2025/03/22 Murachi Akira aka Hebikuzure 11 OU OUにリンク されたGPO ドメイン ドメインに リンクされたGPO

組織単位 (OU) • Active Directory オブジェクトのコンテナー • ユーザー オブジェクト • コンピューター オブジェクト • 階層構造となる 2025/03/22 Murachi Akira aka Hebikuzure 12

OU の階層構造 2025/03/22 Murachi Akira aka Hebikuzure 13 親 OU 子 OU 子 OU 孫 OU OU OU OU OU OU

グループ ポリシーの構成要素 • 「コンピューターの構成」と「ユーザーの構成」 • 各「構成」の配下 • ポリシー • ソフトウェアの設定 • Windows の設定 • 管理用テンプレート • 基本設定（ドメイン ポリシーのみ） • Windows の設定 • コントロール パネルの設定 2025/03/22 Murachi Akira aka Hebikuzure 14

ポリシーと基本設定 ポリシー 基本設定 設定の強制 （ユーザーは変更できない） 設定の既定値の提供 （ユーザーは変更可） GPO 更新ごとに適用 一度だけ適用、 または GPO更新ごとに適用 OU 対象、WMI フィルター構成可能 OU、WMI フィルターに追加して 対象設定可能 2025/03/22 Murachi Akira aka Hebikuzure 15

グループ ポリシーの実体 • ドメインの Sysvol 共有に保存される • ¥¥¥SYSVOL¥domain¥Policies 配下に保存 • GPO ごとにフォルダー分けして保存されている • フォルダー名は GPO の「一意な ID」 • ドメイン コントローラー間で複製され、すべてのドメイン コントローラーで 同じ情報が保持される 2025/03/22 Murachi Akira aka Hebikuzure 16

グループ ポリシーの適用 2025/03/22 Murachi Akira aka Hebikuzure 17

ポリシーの適用順序 1. ローカル ポリシーの適用 2. サイトにリンクされている GPO の適用 3. ドメインにリンクされている GPO の適用 4. 組織単位 (OU) にリンクされている GPO の適用 組織単位 (OU) がネストされている場合 ① 親組織単位にリンクされた GPO の適用 ② 子組織単位にリンクされた GPOの適用 2025/03/22 Murachi Akira aka Hebikuzure 18

ポリシーの優先順位 • 後から適用されたポリシーが優先される • 優先順位は適用順の逆 ① 子 OU にリンクされた GPO ② 親 OU にリンクされた GPO ③ ドメイン にリンクされた GPO ④ フォレスト にリンクされた GPO ⑤ ローカル GPO 2025/03/22 Murachi Akira aka Hebikuzure 19

「優先される」とは • 先に適用されたポリシーと同じ項目が後から適用されるポリシーで構成 されていた場合、後から構成されるポリシーの内容で上書きされる 2025/03/22 Murachi Akira aka Hebikuzure 20 [管理用テンプレート] - [システム] - [Ctrl+Alt+Del オプション] - [ログオフを削除する] ローカル ポリシー 「有効」 [管理用テンプレート] - [システム] - [Ctrl+Alt+Del オプション] - [ログオフを削除する] ドメイン ポリシー 「無効」 [管理用テンプレート] - [システム] - [Ctrl+Alt+Del オプション] - [ログオフを削除する] ポリシーの結果 「無効」 （下位） （上位）

有効・無効・未構成 • 有効 • そのポリシー設定を有効にする • 優先順位により下位の設定を上書する • 無効 • そのポリシー設定を無効にする • 優先順位により下位の設定を上書する • 未構成 • そのポリシー設定を構成しない • 下位の設定を変更しない 2025/03/22 Murachi Akira aka Hebikuzure 21

グループ ポリシーの適用 • フォアグラウンド処理 • Windows 起動時にグループ ポリシー クライアント サービス (GPSVC) が起動 • winlogon が RPC を通じて GPSVC を呼び出す • GPSVC がグループ ポリシーの処理を行う • 同期実行/非同期実行を選択可能 • バックグラウンド処理 • GPSVC が定期的（既定では90分+α の間隔）に処理を行う • 常に非同期実行 • フォアグラウンド処理でのみ適用されるポリシーもある （フォルダー リダイレクトなど） 2025/03/22 Murachi Akira aka Hebikuzure 22

フォアグラウンド処理の同期/非同期選択 • グループ ポリシーで構成可能 • コンピューターの構成 - 管理テンプレート - システム - ログオン - コンピューターの起動およびログオンで常にネットワークを待つ • 有効：同期実行 • 無効：非同期実行（既定値） 2025/03/22 Murachi Akira aka Hebikuzure 23 参考: Windows の高速ログオン最適化機能の説明 - Microsoft サポート

低速リンクの例外 • 低速回線の場合、自動的に非同期処理を行うポリシー • コンピューターの構成 - 管理テンプレート - システム - グループ ポリシー - 低速回線が検出されたときに、グループ ポリシーの処理が 非同期で実行されるように変更します。 • 低速回線＝既定では 500 Kbps 以下 2025/03/22 Murachi Akira aka Hebikuzure 24

低速リンクに関連するポリシー • コンピューターの構成 - 管理テンプレート - システム - ユーザー プロファイル - ユーザー プロファイル用の低速回線接続のタイムアウトを 制御する および - 低速回線接続の検出を無効にする 2025/03/22 Murachi Akira aka Hebikuzure 25

バックグラウンド処理間隔の変更 • グループ ポリシーで構成可能 • コンピューターの構成 - 管理テンプレート - システム - グループ ポリシー - コンピューターのグループ ポリシーの更新間隔を設定する • 分単位で構成（0～44640） ※ 0 にすると 7秒間隔 2025/03/22 Murachi Akira aka Hebikuzure 26

優先順位の例外 • 継承のブロック • 子コンテナーで親コンテナーの GPO からの継承をブロック • WMI フィルターとセキュリティ フィルター 2025/03/22 Murachi Akira aka Hebikuzure 27

WMI フィルター • Windows Management Instrumentation クエリで GPO の適 用対象を制限する • WMI：Windows ベースのオペレーティング システム上の管理データと操作の インフラストラクチャ。ハードウェアやオペレーティングシステムの情報が取得できる。 • 例：Windows 11 PC にのみ適用 Select * from Win32_OperatingSystem where Caption like "Microsoft Windows 11%" この WMI フィルターが構成されている GPO は、リンクされている OU 内の Windows Server や Windows 10 には適用されない 2025/03/22 Murachi Akira aka Hebikuzure 28

WMI フィルターの適用 2025/03/22 Murachi Akira aka Hebikuzure 29

WMI を調べる • PowerShell • Get-WmiObject –list で WMI クラスを一覧 • Get-WmiObject -Class <クラス名> でプロパティを一覧 • WMI Explorer • https://github.com/vinaypamnani/wmie2 2025/03/22 Murachi Akira aka Hebikuzure 30

セキュリティ フィルター • GPO の適用対象となるユーザー・グループ・コンピューターを絞り込む • リンクと異なり、グループで指定できる • ビルトイン グループでも作成したグループでも可 2025/03/22 Murachi Akira aka Hebikuzure 31

ループバック処理モード • コンピューターに適用される GPO でユーザーに適用される GPO を 上書きする（マージ モード・統合モード）、 または • コンピューターに適用される GPO のみ処理する（置換モード） • 共用 PC などコンピューターの用途に応じたポリシー設定をサインインす るユーザーに関わらず適用したい場合に有用 2025/03/22 Murachi Akira aka Hebikuzure 32

ループバック処理モードの構成 • グループ ポリシーで構成可能 • コンピューターの構成 - 管理テンプレート - システム - グループ ポリシー - ユーザー グループポリシー ループバックの処理モードを構成する • モード：置換 / 統合 2025/03/22 Murachi Akira aka Hebikuzure 33

ポリシーの編集 2025/03/22 Murachi Akira aka Hebikuzure 34

ポリシーの編集方法 • ローカル ポリシー • ローカル コンピューターでローカル グループ ポリシー エディターを利用する • gpedit.msc • ドメイン ポリシー • ドメイン コントローラーで「グループポリシーの管理」を開き、編集対象の GPO を選択して、右クリック⇒ [編集] • ドメイン参加クライアント上で、RSAT のグループ ポリシー管理ツールから 「グループポリシーの管理」を開き、編集対象の GPO を選択して、 右クリック⇒ [編集] 2025/03/22 Murachi Akira aka Hebikuzure 35

グループ ポリシー管理エディター 2025/03/22 Murachi Akira aka Hebikuzure 36

管理用テンプレート • 「管理用テンプレート」はレジストリ ベースのポリシー設定のテンプレート • .admx ファイル：グループ ポリシーの設定が含まれるファイル • .adml ファイル：各言語ごとのの項目名や説明が含まれるファイル • Windows の機能が更新・追加されるとテンプレートも更新される • 追加のコンポーネント用の管理用テンプレートも別途利用可能 • Office / Microsoft Edge / OneDrive など • サードパーティー製品のテンプレートもサードパーティーから提供されてい るものがある（Google Chrome など） 2025/03/22 Murachi Akira aka Hebikuzure 37

ポリシーの編集に利用されるテンプレート • 既定では、ポリシーを編集している（グループ ポリシー エディターを起動 している）コンピューターにある管理用テンプレート • 古いバージョンのコンピューターで編集すると、新しいバージョン用のポ リシーが編集できない場合がある • 追加のコンポーネント用のテンプレートを、編集するコンピューターごと にインストールする必要がある • セントラル ストアを構成して、管理用テンプレートを一括管理できる • セントラル ストアの作成と管理 - Windows 2025/03/22 Murachi Akira aka Hebikuzure 38

ローカルのテンプレート • %windir%¥PolicyDefinitions 2025/03/22 Murachi Akira aka Hebikuzure 39

代表的な追加できるテンプレート • Office • https://www.microsoft.com/en-us/download/details.aspx?id=49030 • Microsoft Edge（最新版のテンプレート） • https://www.microsoft.com/ja-jp/edge/business/download • OneDrive • （OneDrive のインストール フォルダー内内の adm フォルダー • Google Chrome • https://dl.google.com/dl/edgedl/chrome/policy/policy_templates.zip 2025/03/22 Murachi Akira aka Hebikuzure 40

セントラル ストア • ¥¥¥SYSVOL¥domain¥Policies¥PolicyDefinitions に .admx ファイルと .adml ファイルを格納してセントラル ストアを 作成する • ドメイン ポリシーの編集ではセントラル ストアからテンプレートが 読み込まれる • ドメイン内のどのコンピューターで編集しても常に同じテンプレートが 利用できる 2025/03/22 Murachi Akira aka Hebikuzure 41

セントラル ストアの代わりに ローカル テンプレートを使用する • ローカルのテンプレートを使用して編集したいコンピューターで レジストリ値を構成する • キー： HKLM¥SOFTWARE¥Policies¥Microsoft¥Windows¥Group Policy • 名前：EnableLocalStoreOverride • 種類：REG_DWORD • データ：1 2025/03/22 Murachi Akira aka Hebikuzure 42

参考情報 2025/03/22 Murachi Akira aka Hebikuzure 43

参考情報 • Windows のグループ ポリシーの概要 | Microsoft Learn • Windows のグループ ポリシー処理 | Microsoft Learn • [MS-GPOD]: Group Policy Protocols Overview | Microsoft Learn • 管理用テンプレートの更新 | Microsoft Japan Windows Technology Support Blog • Group Policy Search 2025/03/22 Murachi Akira aka Hebikuzure 44

まとめ 2025/03/22 Murachi Akira aka Hebikuzure 45

グループ ポリシー • グループ ポリシーの概要 • グループ ポリシーの適用 • グループ ポリシーの編集（管理用テンプレート） • 続きは次回以降の .NET ラボ勉強会にて！ • ソフトウェアの構成 • Windows の構成 • 基本設定 • クライアント サイド拡張（CSE） 2025/03/22 Murachi Akira aka Hebikuzure 46

2025/03/22 Murachi Akira aka Hebikuzure 47 ありがとうございました