15.9 Windowsグループポリシー(ユーザパッケージおよびワークステーションパッケージ)

Windows 2000/XPワークステーション(ユーザパッケージおよびワークステーションパッケージ)およびWindows 2000/2003 Terminal Server(ユーザパッケージのみ)のグループポリシーを指定して編集できます。

メモ:Windowsグループポリシーは、ユーザパッケージとワークステーションパッケージのいずれにも収録されています。ユーザパッケージのWindowsグループポリシーを設定すると、このポリシーは、ユーザが使用するワークステーションに関係なく、すべての関連ユーザに適用されます。ワークステーションパッケージのWindowsグループポリシーを設定すると、このポリシーは、関連付けられているワークステーションにログインするすべてのユーザに適用されます。

詳細情報については、以下を参照してください。

15.9.1 Windowsグループポリシーの理解

Windowsグループポリシーは、Windows 2000/XPおよびActive Directoryに対応した拡張可能ポリシーの拡張機能です。WindowsグループポリシーとDesktop Management拡張可能ポリシーでは、[ユーザの構成]>[管理用テンプレート]の下位にある設定のように、一部のポリシー設定が異なります。拡張可能ポリシーの詳細については、セクション 15.2, 拡張可能コンピュータポリシー/拡張可能ユーザポリシー(ワークステーションパッケージ/ユーザパッケージ)を参照してください。

メモ:Windows 2000ドメインコントローラ上では、ConsoleOneを使用してグループポリシーを設定できません。ConsoleOneを通じてグループポリシーを編集する場合は、Windows 2000ワークステーションを使用してWindows 2000グループポリシーを編集し、Windows XPワークステーションを使用してWindows XPグループポリシーを編集します。

ワークステーションがActive Directoryドメインのメンバーになっているが、ワークステーションとActive Directoryドメインとの接続が解除されている場合、ユーザパッケージとワークステーションパッケージの両方に格納されているWindowsグループポリシーは適用されません。

予期しない動作が発生する可能性があるため、Active Directoryによってグループポリシーがすでに配布されているワークステーションまたはユーザに対して、ZENworks Desktop Managementを使用してグループポリシーを配布すること、またはその逆はサポートされていません。ZENworks Desktop Managementでは、Active Directoryの設定の配布はサポートされています。詳細については、セクション 15.9.5, Windowsグループポリシー(ユーザパッケージおよびワークステーションパッケージ)のインポートを参照してください。

このポリシーをDesktop Managementにインポートする場合は、次の理由から、ネットワークに割り当てられたドライブではなく、UNCパスを使用する必要があります。

  • ユーザが各自のログインスクリプトを変更して、ドライブの割り当てを変更することができる。
  • ワークステーションオブジェクトは、ユーザがログインする前にログインする場合が多いので、ドライブの割り当てを利用することができない。

UNCパスを使用しておけば、サーバが使用可能であれば、ポリシーを見つけることができます。

グループポリシーは、ZENworks for Desktops 3のリリース以降大幅に変更されています。詳細については、次の節を参照してください。

追加形式のグループポリシー

最新のグループポリシーは追加形式になりました。つまり、複数のWindowsグループポリシーの設定が、個別にではなく、累積的に有効になります。複数のWindowsグループポリシーの設定がユーザおよびワークステーションに影響する可能性があります。ポリシーの適用は、まずローカルWindowsグループポリシーの設定から開始され、ポリシーの検索順序とは逆方向に進められます。つまり、最初に適用されるポリシーの設定の優先度が最も低くなり、その値は、同じ設定を含む他のポリシーによって上書きされます。

セキュリティ設定は追加形式ではなく、最後に有効なポリシーによって設定されます。

リビジョンチェック

最新のWindowsグループポリシーでは、有効なポリシーのリビジョンが追跡されるようになりました。有効なポリシーのリストとそのリビジョンが同じである限り、Windowsグループポリシーは処理されず、キャッシュに入れられたグループポリシーが使用されます。

メモ:[ポリシーの編集]ボタンをクリックするたびに、Windowsグループポリシーのリビジョンが変更されるので、ポリシーの再処理を実行できます。

グループポリシーのキャッシュ

最後に処理されたWindowsグループポリシーは、ローカルのキャッシュに入れられます。これにより、必要な場合にのみWindowsグループポリシーが処理されるので、ネットワークトラフィックの軽減に役立ちます。ユーザAが新しいコンピュータにログインすると、そのユーザの有効なグループポリシーが処理され、キャッシュに入れられます。

ユーザAがログアウトした後、ユーザAと同じ有効なグループポリシーを持つユーザBがログインした場合は、Windowsグループポリシーが再処理されるのではなく、ローカルのキャッシュに入れられたグループポリシーが復元されます。有効なポリシーのリストに相違がある場合、またはいずれかのポリシーのリビジョンが変更された場合に、Windowsグループポリシーが再処理されます。

Desktop ManagementのWindowsグループポリシーの実装では、新しい機能が追加されました。ワークステーションがネットワークから切断された場合でも、ユーザパッケージおよびワークステーションパッケージのWindowsグループポリシー設定は、有効な状態を両方とも持続できます。

持続設定および一時設定

管理者は、Windowsグループポリシーが持続的または一時的のいずれであるかを調べます。持続設定では、Windowsグループポリシーの設定時に、ユーザがネットワークではなくワークステーションのみにログインしてしまった場合でも、その設定が維持されます。

一時設定では、次の場合に元のローカルなWindowsグループポリシー設定が復元されます。

  • ユーザがログアウトした場合(ユーザのグループポリシー設定は削除されます)
  • システムがシャットダウンした場合(ワークステーションのグループポリシー設定は削除されます)

ターミナルサーバでのグループポリシーの使用

管理者は、Windows 2000 Terminal ServerおよびWindows 2003 Terminal ServerのユーザパッケージにあるWindowsグループポリシーを設定できます。ターミナルサーバの管理を容易にするために、両方のプラットフォームに適用するポリシーを設定する場合は、[Windows 2000-2003 Terminal Server]プラットフォームページを使用することもできます。

ターミナルサーバにWindowsグループポリシーを設定する場合は、次の点を考慮してください。

  • [適用された設定タイプ]: ターミナルサーバに適用されるのは、[適用された設定タイプ]の下位にある[ユーザの環境設定]の設定のみです。[コンピュータの環境設定]および[セキュリティの設定]は、ターミナルサーバには使用できません。

  • [Logoff Scripts(ログオフスクリプト)]: ログオフスクリプトはターミナルサーバ環境ではサポートされていません。

15.9.2 ユーザパッケージのWindowsグループポリシーの設定

  1. ConsoleOneで、サーバパッケージを右クリックし、[プロパティ]をクリックしてから、対象のプラットフォームのページをクリックします。

    適切なプラットフォームページを選択するには、次の点を考慮してください。

    • [Windows NT]: Windows NTプラットフォームでのDesktop Managementのサポートに関する詳細については、『Novell ZENworks 7 Desktop Managementインストールガイド』の「Windows NT 4ワークステーションとの相互運用性」を参照してください。

    • [Windows NT-2000-XP]プラットフォームページ: Windows 2000とWindows XPでは、セキュリティ設定の保存方法が異なるため、[Windows NT-2000-XP]プラットフォームページを使用してWindowsグループポリシーを編集することはできません。Windows 2000の場合、セキュリティ設定はgpttml.infファイルに保存されますが、Windows XPではxpsec.datファイルに保存されます。いずれのファイルも\group policies\machine\microsoft\windows nt\seceditディレクトリにあります。

      ZENworks 7では、[Windows NT-2000-XP]プラットフォームページの[編集]オプションが無効になっているので、いずれかのプラットフォームページを使用してグループポリシーを編集する必要があります。

  2. [使用可能]列の下にある、Windowsグループポリシーのチェックボックスを選択します。

    この操作により、ポリシーが選択されると同時に有効になります。

  3. [プロパティ]をクリックして[Windowsグループポリシー]ページを表示します。

    [Windowsグループポリシー]ページ。

  4. 新規または既存のグループポリシーのネットワーク上の場所を指定します。

    このネットワーク上の場所にアクセスするための十分な権利をユーザが持っていることを確認します。

    [既存/新規のグループポリシーのネットワーク上の場所]フィールドに環境変数を使用する場合は、ConsoleOneを実行している管理ワークステーションと、グループポリシーを受け取るすべてのワークステーションで環境変数を設定しておく必要があります。ConsoleOneを終了して再起動すると、設定した環境変数が認識されます。

  5. (条件付き) Active Directoryからグループポリシーをインポートするには、[ポリシーのインポート]をクリックします。

    詳細については、セクション 15.9.5, Windowsグループポリシー(ユーザパッケージおよびワークステーションパッケージ)のインポートを参照してください。

  6. (条件付き)既存のグループポリシーを編集する場合は、[ポリシーの編集]をクリックします。

    詳細については、セクション 15.9.4, 既存のWindowsグループポリシー(ユーザパッケージおよびワークステーションパッケージ)の編集を参照してください。

  7. (省略可能)[ユーザのログアウト時にグループポリシーを無効にしない]チェックボックスを選択すると、ユーザがログアウトした後もローカルWindowsデスクトップ上で配布されたグループポリシーが引き続き有効になります。

    重要:ユーザグループポリシーが共通ワークステーション上の複数のユーザに配布される環境では、[ユーザのログアウト時にグループポリシーを無効にしない]の設定と[ユーザの環境設定をキャッシュする]の設定の両方を使用することはお勧めしません。

  8. (省略可能)[ユーザの環境設定をキャッシュする]チェックボックスを選択します。

    ユーザの環境設定をキャッシュに入れることは、[ユーザのログアウト時にグループポリシーを無効にしない]チェックボックスを選択することとは異なります。

    [ユーザのログアウト時にグループポリシーを無効にしない]オプションを設定すると、管理者は、最後にログオンしたユーザのグループポリシー設定を維持できます。この方法に伴う制限は、ローカルに(ワークステーションにのみ)ログインしたすべてのユーザに、同じワークステーション上でネットワークにログインした最後のユーザのグループポリシー設定が渡されることです。ある特定のワークステーション上でネットワークにログインした最後のユーザが管理者であった場合、それ以降ローカルにログインするすべてのユーザは管理者のポリシー設定を受け取ることになります。

    この状況を避けるには、[ユーザの環境設定をキャッシュする]チェックボックスをオンにして、各ユーザの設定をキャッシュできるようにします。

    ユーザパッケージのWindowsグループポリシーでキャッシュ設定を有効にする場合は、次の点を考慮してください。

    • ユーザ設定のキャッシュ機能は、NetWareまたはWindowsのいずれでもバックエンドで機能します。バックエンドでWindowsサーバを使用する場合は、次のことを考慮してください。
      • ユーザは、キャッシュに入れられたドメインアカウントではなく、ローカルユーザアカウントでログインする必要があります。Windowsグループポリシー設定は、ユーザがドメインにログインしている限り、ドメインアカウントに適用されます。ユーザがドメインにログインしないで、キャッシュに入れられたドメインアカウントを使用した場合、Desktop ManagementのWindowsグループポリシー設定は適用されません。
      • アクティブディレクトリサーバ上にグループポリシーファイルを保存する場合、アクティブディレクトリのユーザ名およびパスワードとeDirectoryのアカウント情報が一致する必要があります。
    • ユーザは、一意のローカルユーザアカウントを持つ必要があります。Windowsグループポリシー設定は、ローカルユーザのプロファイル内のキャッシュに入れられます。したがって、ユーザの持つ有効なWindowsグループポリシーが異なる場合、そのユーザは異なるローカルユーザアカウントを持つ必要があります。
    • 各ユーザは、設定をキャッシュに入れるコンピュータ上にプロファイルを持つ必要があります。ローカルユーザアカウントを使用するか、またはDLU (ダイナミックローカルユーザ)アカウントを使用することにより、このプロファイルを提供できます。ただしこのアカウントを削除することはできません。一時的ユーザアカウントを使用したか、またはキャッシュに入れられた期限切れの一時的ユーザアカウントを使用したために、DLUポリシーによってローカルユーザアカウントが削除されると、ユーザはローカルにログインできなくなります。
    • \user\registry.polファイルに含まれている設定のみがキャッシュに入れられます。この設定は、グループポリシーエディタ内の[ユーザ設定]にほぼ相当します。ただし、\userのScriptsフォルダに保存されるためにキャッシュに入れられないログオン/ログオフスクリプトは除きます。

    [ユーザの環境設定をキャッシュする]チェックボックスを選択すると、各ユーザの有効なWindowsグループポリシーのユーザ環境設定が各ユーザのローカルプロファイルに保存されます。各ユーザがローカルにログインすると、そのユーザのプロファイル内でキャッシュに入れられたregistry.polのコピーからユーザ設定が読み込まれたうえで適用されます。\userフォルダ内のregistry.polファイルに保存されている設定のみがキャッシュに入れられます。ログオン/ログオフスクリプト、コンピュータ設定、セキュリティ設定などのその他の設定はキャッシュに入れられません。

    重要:ユーザグループポリシーが共通ワークステーション上の複数のユーザに配布される環境では、[ユーザのログアウト時にグループポリシーを無効にしない]の設定と[ユーザの環境設定をキャッシュする]の設定の両方を使用することはお勧めしません。

  9. [適用された設定タイプ]グループボックスで、目的のオプションを有効にします。

    これらのオプションでは、Windowsのユーザ、コンピュータ、およびセキュリティの設定がユーザポリシーまたはワークステーションポリシーと共に配布されます。この動作は、ユーザ設定がユーザパッケージと共に配布され、コンピュータ設定およびセキュリティ設定がワークステーションパッケージと共に配布されていた以前のリリースの動作とは異なります。

    [ユーザの環境設定]: [ユーザの環境設定]の下位にある設定をWindowsグループポリシーと共に配布する場合に選択します。

    [コンピュータの環境設定]: [コンピュータの環境設定]([セキュリティの設定]を除く)の下位にある設定をWindowsグループポリシーと共に配布する場合に選択します。

    セキュリティの設定: Windowsのセキュリティ設定をWindowsグループポリシーと共に配布する場合に選択します。このオプションを選択すると、[アカウントポリシー][ローカルポリシー][公開キーのポリシー][ローカルコンピュータのIPセキュリティポリシー]など、[コンピュータの構成]>[Windowsの設定]>[セキュリティの設定]の下位にあるすべてのセキュリティ設定が適用されます。個々のポリシーを適用することはできません。ポリシーは追加形式ではありません。

    ターミナルサーバに適用されるのは、[適用された設定タイプ]の下位にある[ユーザの環境設定]の設定のみです。[コンピュータの環境設定]および[セキュリティの設定]は、ターミナルサーバには使用できません。

  10. [ポリシースケジュール]タブをクリックし、スケジュールの種類を選択します。

    • パッケージスケジュール
    • イベント
    • 曜日

    [詳細設定]をクリックすると、[完了][フォルト][偽装][優先度][時間制限]など、追加設定を指定できます。これらの各設定の詳細については、それぞれのページで[ヘルプ]ボタンをクリックしてください。

  11. [OK]をクリックしてポリシーを保存します。

  12. このパッケージの全ポリシーの設定が終了したら、セクション 15.13, ユーザパッケージまたはワークステーションパッケージの関連付けの手順を実行し、ポリシーパッケージを関連付けます。

15.9.3 ワークステーションパッケージのWindowsグループポリシーの設定

  1. ConsoleOneで、ワークステーションパッケージを右クリックし、[プロパティ]をクリックして、該当するプラットフォームページをクリックします。

    適切なプラットフォームページを選択するには、次の点を考慮してください。

    • [Windows NT]: Windows NTプラットフォームでのDesktop Managementのサポートに関する詳細については、『Novell ZENworks 7 Desktop Managementインストールガイド』の「Windows NT 4ワークステーションとの相互運用性」を参照してください。

    • [Windows NT-2000-XP]プラットフォームページ: Windows 2000とWindows XPでは、セキュリティ設定の保存方法が異なるため、[Windows NT-2000-XP]プラットフォームページを使用してWindowsグループポリシーを編集することはできません。Windows 2000の場合、セキュリティ設定はgpttml.infファイルに保存されますが、Windows XPではxpsec.datファイルに保存されます。いずれのファイルも\group policies\machine\microsoft\windows nt\seceditディレクトリにあります。

      ZENworks 7では、[Windows NT-2000-XP]プラットフォームページの[編集]オプションが無効になっているので、いずれかのプラットフォームページを使用してグループポリシーを編集する必要があります。

  2. [使用可能]列の下にある、Windowsグループポリシーのチェックボックスを選択します。

    この操作により、ポリシーが選択されると同時に有効になります。

  3. [プロパティ]をクリックして[Windowsグループポリシー]ページを表示します。

    [Windowsグループポリシー]ページ。

  4. 新規または既存のグループポリシーのネットワーク上の場所を指定します。

    このネットワーク上の場所にアクセスするための十分な権利をユーザが持っていることを確認します。

    [既存/新規のグループポリシーのネットワーク上の場所]フィールドに環境変数を使用する場合は、ConsoleOneを実行している管理ワークステーションと、グループポリシーを受け取るすべてのワークステーションで環境変数を設定しておく必要があります。ConsoleOneを終了して再起動すると、設定した環境変数が認識されます。

  5. (条件付き) Active Directoryからグループポリシーをインポートするには、[ポリシーのインポート]をクリックします。

    詳細については、セクション 15.9.5, Windowsグループポリシー(ユーザパッケージおよびワークステーションパッケージ)のインポートを参照してください。

  6. (条件付き)既存のグループポリシーを編集する場合は、[ポリシーの編集]をクリックします。

    詳細については、セクション 15.9.4, 既存のWindowsグループポリシー(ユーザパッケージおよびワークステーションパッケージ)の編集を参照してください。

  7. (省略可能)[ワークステーション設定を保持する]チェックボックスを選択します。

    このオプションを設定すると、ワークステーションパッケージのWindowsグループポリシー内でDesktop Managementによってサポートされているすべてのワークステーション設定(ユーザ、コンピュータ、およびセキュリティの設定)を、ネットワーク接続の有無にかかわらず、有効な状態で維持(キャッシュに格納)できます。

    ワークステーションパッケージのWindowsグループポリシーでキャッシュ設定を有効にする場合は、次の点を考慮してください。

    • ワークステーション設定の保持機能は、NetWareまたはWindowsのいずれでもバックエンドで機能します。バックエンドでWindowsサーバを使用しており、同時にWindowsグループポリシーファイルをWindowsサーバに保存する場合は、ワークステーションをそのドメインのメンバーにする必要があります。
    • ワークステーションの保持設定を使用するには、設定をキャッシュに格納する対象のワークステーションに関連付けられたWindowsグループポリシー内で、[グループポリシーのループバックサポート]オプションを有効にできません(これには、[置換モード]オプションまたは[統合モード]オプションのいずれかが含まれます)。ループバックサポートを有効にしないことで、ユーザのポリシー内の環境設定とワークステーションパッケージのWindowsグループポリシー内の環境設定で矛盾する設定が存在する場合は、常にユーザのポリシー内の環境設定が優先されます。

    [ワークステーション設定を保持する]チェックボックスを選択すると、ワークステーションがワークステーションオブジェクトとしてネットワークにログインできない場合でも(たとえば、ワークステーションのネットワークへの接続が解除されている場合)、windows_directory\system32\group policy.wkscache内にすでに保存されている、ワークステーションの有効なWindowsグループポリシー設定が適用されます。

  8. [適用された設定タイプ]グループボックスで、目的のオプションを有効にします。

    これらのオプションでは、Windowsのユーザ、コンピュータ、およびセキュリティの設定がユーザポリシーまたはワークステーションポリシーと共に配布されます。この動作は、ユーザ設定がユーザパッケージと共に配布され、コンピュータ設定およびセキュリティ設定がワークステーションパッケージと共に配布されていた以前のリリースの動作とは異なります。

    [ユーザの環境設定]: [ユーザの環境設定]の下位にある設定をWindowsグループポリシーと共に配布する場合に選択します。

    [コンピュータの環境設定]: [コンピュータの環境設定]([セキュリティの設定]を除く)の下位にある設定をWindowsグループポリシーと共に配布する場合、このオプションを選択します。

    セキュリティの設定: Windowsのセキュリティ設定をWindowsグループポリシーと共に配布する場合、このオプションを選択します。このオプションを選択すると、[アカウントポリシー][ローカルポリシー][公開キーのポリシー][ローカルコンピュータのIPセキュリティポリシー]など、[コンピュータの構成]>[Windowsの設定]>[セキュリティの設定]の下位にあるすべてのセキュリティ設定が適用されます。個々のポリシーを適用することはできません。ポリシーは追加形式ではありません。

  9. (省略可能)[グループポリシーのループバックサポート]チェックボックスを選択して、モードを選択します。

    このオプションを有効にすると、ワークステーションパッケージポリシーがユーザパッケージポリシーよりも優先されます。ループバックサポートには、次に示す置換と統合の2つのモードがあります。

    [ユーザのポリシー設定を適用しない(置換モード)]: すべてのユーザポリシー設定を無視し、ワークステーションポリシー設定を適用する場合、このオプションを選択します。

    [ワークステーションのポリシー設定を最後に適用する(統合モード)]: 最初にユーザポリシー設定を適用し、次にワークステーションポリシー設定を適用する場合、このオプションを選択します。このモードでは、ユーザ設定が適用されますが、ワークステーション設定と競合する設定は、ワークステーション設定によって置き換えられます。矛盾しないユーザ設定は有効な状態で保持されます。

  10. [ポリシースケジュール]タブをクリックし、スケジュールの種類を選択します。

    • パッケージスケジュール
    • イベント
    • 曜日

    グループポリシー設定がロードされる前にWindowsデスクトップファイルのロードが完了するため、ワークステーションパッケージ内のグループポリシーによっては、それがユーザログイン時に実行されるようにスケジュールされている場合に奇妙な動作を示すことがあります。特に、ログインスクリプトを使用することによってユーザのログイン時にプログラムが実行されるようスケジュールを設定した場合、デスクトップ設定の変更([マイネットワーク]の非表示や、デスクトップ上の全アイコンの非表示など)は適用されず、プログラムは実行されません。ユーザがログオフして再びログオンすると、設定は正しく表示されます。

    このような動作を防止するには、ワークステーションパッケージ内で、ユーザログイン時に実行されるようにグループポリシーを設定することを避けます。その代わりに、システム起動時、日単位またはその他の定期的なスケジュールでグループポリシーを実行するように設定します。

    起動スクリプトを実行するようグループポリシーを設定し、これらのポリシーがシステムの起動時に実行されるようにスケジュールを設定する場合は、ステップ 7[ワークステーション設定を保持する]オプションを選択します。Windows 2000/XPによる起動スクリプトの検索と実行は、Workstation Managerがポリシーを認証して適用する前に行なわれるため、起動スクリプトの実行を設定したグループポリシーをシステムの起動時に実行するようにスケジュールすると、実行できない場合があります。[ワークステーション設定を保持する]オプションを選択すると、ワークステーションパッケージグループポリシーの設定(および起動スクリプト)は、キャッシュに格納され、次のシステム起動時に正常に適用されます。

    [詳細設定]をクリックすると、[完了][フォルト][偽装][優先度][時間制限]など、追加設定を指定できます。これらの各設定の詳細については、それぞれのページで[ヘルプ]ボタンをクリックしてください。

  11. [OK]をクリックしてポリシーを保存します。

  12. このパッケージの全ポリシーの設定が終了したら、セクション 15.13, ユーザパッケージまたはワークステーションパッケージの関連付けの手順を実行し、ポリシーパッケージを関連付けます。

15.9.4 既存のWindowsグループポリシー(ユーザパッケージおよびワークステーションパッケージ)の編集

  1. ConsoleOneで、ユーザパッケージまたはワークステーションパッケージを右クリックし、[プロパティ]をクリックして、該当するプラットフォームページをクリックします。

  2. [使用可能]列の下にある、Windowsグループポリシーのチェックボックスを選択します。

    この操作により、ポリシーが選択されると同時に有効になります。

  3. [プロパティ]をクリックして[Windowsグループポリシー]ページを表示します。

  4. 新規または既存のグループポリシーのネットワーク上の場所を指定します。

  5. [ポリシーの編集]をクリックします。

    [ポリシーの編集]ボタンをクリックすると、MMCエディタが起動します。このエディタを使用して、ユーザパッケージポリシーやワークステーションパッケージポリシーを編集できます。詳細については、ダイアログボックスの[ヘルプ]をクリックしてください。ポリシーの編集が終わったら、[閉じる]ボタンをクリックします。

    グループポリシーを編集する際には、次の点に注意してください。

    • ディレクトリパス: 正しいディレクトリパスを選択していることを確認してください。パスを間違えると、データが破損する場合があります。選択したディレクトリのすべてのファイルと、\adm\user、および\machineの各サブディレクトリにあるすべてのファイルが削除され、その後に、選択したディレクトリにアクティブディレクトリグループポリシーがコピーされます。

    • Windows XPで編集できないセキュリティ設定: Windows XPに変更があったために、現時点ではDesktop Managementを使用して次のWindows XPセキュリティ設定を編集できません。

      • [コンピュータの環境設定]>[Windows設定]>[セキュリティの設定]>[アカウントポリシー]>[パスワードポリシー]:

         [パスワードは要求する複雑さを満たす]    [暗号化を元に戻せる状態でドメインのすべてのユーザのパスワードを保存する]

      • [セキュリティの設定]>[ローカルポリシー]>[セキュリティオプション]:

         [ネットワークアクセス]:匿名のSIDと名前の変換を許可する]    [アカウント:[アカウント: Administratorアカウントの状態]    [アカウント:Guestアカウントの状態]

    • ZENworks 7におけるオペレーティングシステムのバージョンおよびサービスパックレベルのチェック: ZENworks 7には、グループポリシーを編集するすべてのプラットフォーム(Windows 2000、Windows XP、およびWindows Server 2003)において、グループポリシーの編集中にオペレーティングシステムのバージョンおよびサービスパックレベルをチェックする新しい機能が追加されました。たとえば、Windows XP SP1以前のワークステーションで作成されたグループポリシーをWindows XP SP2ワークステーションで編集しようとすると、ZENworksが警告ダイアログボックスを表示します。ZENworksでも、Windows XPまたはWindows XP SP1がインストールされているワークステーションを使用している場合、Windows XP SP2ワークステーションで作成されたグループポリシーを編集できないようになっています。

    • ZENworks 7を使用したグループポリシー設定の無効化: ZENworks 7では、特定のグループポリシー設定を無効にした後も、ポリシーの編集が可能になる機能が追加されました。

      以前のバージョンのZENworksでは、特定の設定を無効にするとグループポリシーエディタが無効になり、それからはそのポリシーを編集できなくなりました。その設定を次に示します(OSやサービスパックレベルによっては、表示されない設定もあります)。

      • [ユーザの環境設定]>[管理用テンプレート]>[Windows Components(Windowsコンポーネント)]>[Microsoft Management Console(Microsoft管理コンソール)]:

          [Restrict the user from entering author mode (ユーザが作成モードに入るのを制限する)]    [Restrict users to the explicitly permitted list of snap-ins (ユーザがスナップインの明示的に許可されたリストに含まれることを制限する)]

      • [ユーザの環境設定]>[管理用テンプレート]>[Windows Components (Windowsコンポーネント)]>[Microsoft Management Console (Microsoft管理コンソール)]>[Restricted/Permitted Snap-ins (制限/許可されたスナップイン)]>[Group Policy (グループポリシー)]:

          [Group Policy Management (グループポリシー管理)]    [Group Policy Object Editor (グループポリシーオブジェクトエディタ)]

      • [ユーザの環境設定]>[管理用テンプレート]>[Windows Components (Windowsコンポーネント)]>[Microsoft Management Console (Microsoft管理コンソール)]>[Restricted/Permitted Snap-ins (制限/許可されたスナップイン)]>[Group Policy (グループポリシー)]>[Group Policy snap-in extensions (グループポリシースナップイン拡張)]:

          [Administrative Templates (Computers)(管理用テンプレート(コンピュータ))]    [Administrative Templates (Users)(管理用テンプレート(ユーザ))]    [Folder Redirection (フォルダのリダイレクト)]    [Internet Explorer Maintenance (Internet Explorerのメンテナンス)]    [Remote Installation Services (リモートインストールサービス)]    [Scripts (Logon/Logoff)(スクリプト(ログオン/ログオフ))]    [Scripts (Startup/Shutdown)(スクリプト(起動/シャットダウン))]    [セキュリティの設定]    [Software Installation (Computers)(ソフトウェアのインストール(コンピュータ))]    [Software Installation (Users)(ソフトウェアのインストール(ユーザ))]    [Wireless network (IEEE 802.11) Policies(ワイヤレスネットワーク(IEEE 802.11)ポリシー)]

      以上のいずれかの設定を無効にした後でポリシーを編集しようとすると、ポリシーによってスナップインが制限されたという内容のエラーメッセージが表示されます。さらに、グループポリシーエディタは開きません。

      ZENworks 7ではこの問題を回避するために、これらの設定がグループポリシーから削除され、ローカルの一時的な場所に保存されます。ユーザがエディタを閉じると、新しく設定されたグループポリシーの設定と一時ファイルの設定が統合されます。エディタを使用している間にこれらの設定を変更し、それが一時ファイルに保存されている設定と競合した場合には、一時ファイルに移動された元の設定ではなく新しい設定が優先されます。

  6. [OK]をクリックしてポリシーを保存します。

15.9.5 Windowsグループポリシー(ユーザパッケージおよびワークステーションパッケージ)のインポート

  1. ConsoleOneで、ユーザパッケージまたはワークステーションパッケージを右クリックし、[プロパティ]をクリックして、該当するプラットフォームページをクリックします。

  2. [使用可能]列の下にある、Windowsグループポリシーのチェックボックスを選択します。

    この操作により、ポリシーが選択されると同時に有効になります。

  3. [プロパティ]をクリックして[Windowsグループポリシー]ページを表示します。

  4. 新規または既存のグループポリシーのネットワーク上の場所を指定します。

  5. Active Directoryからグループポリシーをインポートする場合は、[ポリシーのインポート]をクリックし、フィールドに入力します。

    1. 次のインポートオプションを選択します。

      [Active Directoryフォルダ全体をインポートする]: このオプションを選択すると、Active Directoryフォルダにあるすべてのグループポリシーをインポートできます。このオプションを選択した場合は、[ソースの場所]フィールドを使用して、Active Directoryで作成したグループポリシーのうち、[グループポリシーの移行先]フィールドに表示されているディレクトリに移行するグループポリシーが格納されているフォルダへのUNCパスを指定します。アクティブディレクトリグループポリシーのインポート元にするディレクトリについて一意の名前を知っているか、参照することが必要です。一意な名前は、アクティブディレクトリグループポリシーのプロパティで確認できます。

      [Import Security Settings (セキュリティ設定のインポート)]: このオプションを選択すると、ファイルからセキュリティ設定をインポートできます。このオプションを選択した場合は、[ソースの場所]フィールドを使用して、Active Directoryで作成したセキュリティ設定のうち、[グループポリシーの移行先]フィールドに表示されているディレクトリに移行するセキュリティ設定が格納されているファイルへのUNCパスを指定します。グループポリシーにインポートするファイルの一意の名前を知っているか、参照することが必要です。

      インポートされたセキュリティ設定を使用すると、管理者は他のセキュリティ設定には影響を与えずに、特定のセキュリティ設定だけを設定できます。セキュリティ設定は、アクティブディレクトリグループポリシーからインポートするか、またはMMC (Microsoft管理コンソール)のセキュリティテンプレートスナップインを使用して生成することができます。詳細については、MMC(Microsoft管理コンソール)のセキュリティテンプレートスナップインを使用したセキュリティ設定の作成を参照してください。

      セキュリティ設定が格納されているアクティブディレクトリグループポリシーをインポートするか、セキュリティ設定ファイルをインポートすると、インポートされた設定は、zensec.infという新しいファイルに保存されます。

      zensec.infのセキュリティ設定は、MMCでグループポリシーを編集するときに表示される通常のセキュリティ設定の代わりに使用されます。MMCに表示されるセキュリティ設定は正確ではなく、変更内容が適用されません。インポートされたセキュリティ設定がグループポリシーの編集時に検出されると、メッセージボックスが表示され、zensec.infのセキュリティ設定が通常のセキュリティ設定の代わりに使用されることと、ユーザはzensec.infファイルの設定を表示できることが通知されます。

      重要:グループポリシーに対しては、割り当て済みのドライブではなく、UNCパスを使用してください。

    2. [インポート]をクリックします。

      この操作により、[グループポリシーの移行先]フィールドに指定したディレクトリにアクティブディレクトリグループポリシーがコピーされます。指定したディレクトリが存在しない場合、そのディレクトリは作成されます。

      警告:[グループポリシーの移行先]フィールドには必ず正しいディレクトリパスを選択してください。間違ったパスを選択するとデータが壊れる可能性があります。選択したディレクトリのすべてのファイルと、\adm\user、および\machineの各サブディレクトリにあるすべてのファイルが削除され、その後に、選択したディレクトリにアクティブディレクトリグループポリシーがコピーされます。

  6. [OK]をクリックしてポリシーを保存します。

MMC(Microsoft管理コンソール)のセキュリティテンプレートスナップインを使用したセキュリティ設定の作成

MMCでは、既存のセキュリティ設定を編集するのではなく、設定を新規作成することをお勧めします。既存のセキュリティ設定を編集する場合、不要なデフォルト設定が含まれているため、処理に多大な時間がかかる場合があります。設定を新規作成することで、こうした問題を回避できます。

メモ:セキュリティテンプレートを作成するには、管理者またはAdministratorsグループのメンバーとしてログインする必要があります。また、ネットワークポリシー設定によっては、セキュリティテンプレートを作成できない場合があります。

セキュリティテンプレートスナップインを使用してセキュリティ設定を新規作成する

  1. [スタート]ボタンをクリックしてから、[ファイル名を指定して実行]をクリックします。

  2. mmc」と入力して[OK]をクリックします。

  3. [ファイル]>[スナップインの追加と削除]の順にクリックして[スナップインの追加と削除]ダイアログボックスを表示します。

  4. [スタンドアロン]ページで、[追加]をクリックします。

  5. [スタンドアロンスナップインの追加]ダイアログボックスで、[セキュリティテンプレート]をクリックして[追加]をクリックした後、[閉じる]をクリックして[スタンドアロンスナップインの追加]ダイアログボックスを閉じます。

  6. [スナップインの追加と削除]ダイアログボックスで、[OK]をクリックします。

  7. (オプション)コンソールツリーで[セキュリティテンプレート]を右クリックし、[新しいテンプレートの検索パス]をクリックして、新しい場所を選択します。

    新しい場所のパスにあるフォルダがコンソールツリーに表示されます。

  8. 新しいテンプレートを保存するフォルダを右クリックし、[新しいテンプレート]をクリックします。

  9. テンプレート名と説明を入力し、[OK]をクリックします。

  10. コンソールツリーで、新しいセキュリティテンプレートをダブルクリックしてセキュリティ領域を表示し、設定するセキュリティ設定が右側のペインに表示されるまで移動します。

  11. 設定するセキュリティ設定をダブルクリックし、[テンプレート]チェックボックスの[このポリシーの設定を定義する]をオンにし、設定を編集してから[OK]をクリックします。

  1. [スタート]ボタンをクリックしてから、[ファイル名を指定して実行]をクリックします。

  2. mmc」と入力して[OK]をクリックします。

  3. [ファイル]>[スナップインの追加と削除]の順にクリックして[スナップインの追加と削除]ダイアログボックスを表示します。

  4. [スタンドアロン]ページで、[追加]をクリックします。

  5. [スタンドアロンスナップインの追加]ダイアログボックスで、[セキュリティテンプレート]をクリックして[追加]をクリックした後、[閉じる]をクリックして[スタンドアロンスナップインの追加]ダイアログボックスを閉じます。

  6. [スナップインの追加と削除]ダイアログボックスで、[OK]をクリックします。

  7. (オプション)コンソールツリーで[セキュリティテンプレート]を右クリックし、[新しいテンプレートの検索パス]をクリックして、新しい場所を選択します。

    新しい場所のパスにあるフォルダがコンソールツリーに表示されます。

  8. 新しいテンプレートを保存するフォルダを右クリックし、[新しいテンプレート]をクリックします。

  9. テンプレート名と説明を入力し、[OK]をクリックします。

  10. コンソールツリーで、新しいセキュリティテンプレートをダブルクリックしてセキュリティ領域を表示し、設定するセキュリティ設定が右側のペインに表示されるまで移動します。

  11. 設定するセキュリティ設定をダブルクリックし、[テンプレート]チェックボックスの[このポリシーの設定を定義する]をオンにし、設定を編集してから[OK]をクリックします。