オラクる。

oracle専門ブログにしてみようかな~っと

カテゴリ:Active Directory > GPO

GPOを同一ドメイン内でコピーしたり、フォレスト内の異なるドメインでコピーしたりすることが出来ます。
全く同じ内容のGPOをゼロから作らないで済むので便利です。

今回は同一ドメイン内でGPOをコピーしてみます。

000058

グループポリシーの管理を開き、グループポリシー上で右クリックして、コピーを選択します。

000059
 
次に「グループポリシーオブジェクト」で右クリックして、「貼り付け」を選択します。

000060

新しいGPOに対するアクセス許可を指定してOKボタンをクリックします。

000061

コピーの進捗状況を示す画面が表示されます。

000062
 
コピーが完了しました。
「コピー:GPO名」という名前になっています。

000064

なお、上記のように「セキュリティフィルター処理」を設定した場合

000065
 
「既定のアクセス許可を新しいGPOに使用する」を指定するとセキュリティフィルターの内容は引き継がれません。

000066

「既定のアクセス許可を保持する」を指定すると、セキュリティフィルター処理は引き継がれます。 

ActiveDirectoryのドメイン環境を構築すると既定で「Default Domain Policy」と「Default Domain Controllers Policy」という2つのGPOが作成されます。
これらのGPOに変更を加え、後になって元の状態に戻したいとなったとき、Dcgpofix.exeというコマンドが使えます。

 000052

Default Domain Policyに色んな変更を加えた状態で元の状態に戻してみます。

000053
 
Default Domain Policyを戻したい場合はDcgpofix.exe /Target:Domain、 Default Domain Controllers Policyを戻したい場合はDcgpofix.exe /Target:DC、両方戻したい場合はDcgpofix.exe /Target:BOTHと指定します。
今回はDefault Domain Policyを戻してみます。

000054
000055
 
何度か確認を求めるメッセージが出力されますが、Yと入力してEnterキーを押下します。

000056
 
実行が完了しました。
これでDefault Domain Policyは元の状態に戻っています。 

000057
 
実際にGPOの中身を見てみても、問題ありません。 

GPOには間違って変更してしまったり、削除してしまった場合に備えて、設定をバックアップ・リストアする機能があります。

2_000044

グループポリシーの管理を開いたら、「グループポリシーオブジェクト」上で右クリックして、「すべてのバックアップ」を選択します。
登録されている全てのGPOのバックアップを取得します。
またGPO個別にバックアップを取得することも可能です。

2_000045

バックアップの保管先を指定します。
バックアップボタンをクリックして、バックアップを開始します。

2_000046

バックアップ中です。

2_000047

バックアップが完了しました。

2_000048

バックアップの格納先として指定したフォルダはこんな感じに、各GPOのバックアップがフォルダに分かれて格納されています。

2_000049

リストアする時は、同じように「グループポリシーオブジェクト」で右クリックして、「バックアップの管理」を選択します。

2_000050

バックアップの一覧が表示されています。
戻したいGPOを選択して、復元ボタンをクリックします。

2_000051

リストアが完了しました。
  

Windows Server 2008以降のGPOには「基本設定」というポリシーが用意されました。
このポリシーで従来ログオンスクリプトなどによって処理していたネットワークドライブの割り当てや、プリンターのマッピングを行なうことが出来ます。
今日は、ネットワークドライブを割り当てる手順を紹介します。
 
2_000038
 
グループポリシー管理エディタを開き、ユーザーの構成→基本設定→Windowsの設定→ドライブマップを選択します。

2_000039

右クリックして、新規作成→マップされたドライブを選択します。

2_000040

「新しいドライブのプロパティ」画面を開きます。
ここでネットワークドライブの場所やユーザー名、パスワードを設定します。

2_000041

一通り設定し終えたら、OKボタンをクリックして設定を完了します。

2_000042

設定したネットワークドライブの情報が反映されています。
 

GPOを利用することで、次のタイミングでスクリプトを実行することが出来ます。

・スタートアップ時
・ログオン時
・ログオフ時
・シャットダウン時

 2_000028

ログオン、ログオフ時のスクリプト実行設定は、「ユーザーの構成」→「ポリシー」→「Windowsの設定」→「スクリプト(ログイン/ログオフ)で行ないます。

2_000029

スタートアップ/シャットダウン時のスクリプト実行設定は、「コンピューターの構成」→「ポリシー」→「Windowsの設定」→「スクリプト」(スタートアップ/シャットダウン)で行ないます。

2_000030

例えば、こちらはログオンスクリプトの実行設定画面です。
追加ボタンをクリックして、実行するスクリプトを追加します。

2_000032

参照をクリックして、スクリプトの実行パスを指定します。

2_000033

スクリプトを選択して「開く」ボタンをクリックします。

2_000034

OKボタンをクリックします。

2_000035

スクリプトが追加されました。 

このページのトップヘ