ローカル ポリシーとは、Windows OS 端末のシステム設定を行うことができる機能です。
Active Directory ドメイン環境では、グループ ポリシーを利用して、ドメインに参加している端末にシステム設定を配布することができます。一方、端末固有のグループ ポリシーの設定を適用したい場合に、ローカル ポリシーを設定します。
端末のローカルで固有のグループ ポリシーを設定する機能となるので、厳密には「ローカル ポリシー」ではなく、「ローカル グループ ポリシー」が正式な名称となります。ただし、本サイトでは、グループ ポリシーと混同しないように、シンプルに「ローカル ポリシー」と記載しています。
今回は、ローカル ポリシーの一般的な仕組みと設定方法について紹介します。
ローカル ポリシーとは?
ローカル ポリシーとは、Windows OS 端末にて固有のシステム設定を行うことができる機能です。
ローカル ポリシーの仕組みは、Active Directory のグループ ポリシーの仕組みと基本的には同じです。Active Directory のドメイン環境におけるグループ ポリシーは、ドメインに参加している端末にシステム設定を配布する目的で利用されます。しかしながら、他の端末に影響を与えず、特定の端末に固有のグループ ポリシーの設定を行いたいというシナリオがあると思います。
ローカル ポリシーは、AD のグループ ポリシーと同様のポリシーの設定を、ローカルのみで展開できる機能のことです。グループ ポリシーとは異なり、ローカル ポリシーは適用対象の端末上で設定し、またローカル ポリシーの設定もローカルで保持しています。
ローカル ポリシーを適用する仕組みについては、AD のグループ ポリシーの仕組みを利用しています。ドメインに参加している端末は、ローカル ポリシーを適用した後にグループ ポリシーを適用します。ワークグループの端末については、ローカル ポリシーを適用します。
グループ ポリシーの適用の仕組みについては、以下の記事で紹介しております。
Active Directory ドメイン サービスでは、管理機能の一つとして、ユーザーやコンピューター、アプリケーションにおけるシステム設定を一元的に管理・配布する仕組みが用意されています。これは「グループ ポリシー」と呼ばれる機能で実現[…]
ローカル ポリシーの設定方法
ローカル ポリシーは、端末ごとに設定します。ローカル ポリシーの基本的な設定方法は以下の通りです。
1) 管理者権限をもつユーザーでログオンします。
2) [ファイル名を指定して実行] を開き、gpedit.msc と入力します。
3) [ローカル グループ ポリシー エディター] が開いたら、変更したいポリシーを設定します。
ローカル ポリシーの保存場所
ローカル ポリシーは、定義されたポリシーの設定の情報はローカルで管理されています。ローカル グループ ポリシーの保存場所は以下の通りです。
ローカル ポリシーの展開方法
ローカル ポリシーは、端末固有に適用されるポリシーとなり、設定も端末ごとに行う必要があります。もし、同じ設定のローカル ポリシーを複数の端末に展開する場合、端末1台ごとに管理者ユーザーが手動で設定していたら多くの作業工数ががかかります。同じローカル ポリシーの設定を、各端末に簡易的に設定する方法として、2通りの方法が有効です。
①GroupPolicy フォルダのコピー
任意の Windows 端末にて、配布したいローカル ポリシーの設定を行います。全てのポリシーを定義したら、ローカル ポリシーの実体である以下の GroupPolicy のフォルダをそのままコピーします。
エクスプローラーの既定の表示オプションでは、GroupPolicy は表示されません。フォルダ オプションの [表示] タブにて、[ファイルおよびフォルダー] – [ファイルとフォルダの表示] – [隠しファイル、隠しフォルダー、および隠しドライブを表示する] のオプションを有効にしてください。
②LGPOで定義ファイルをロード
LGPO.exe とは、ローカル ポリシーの定義ファイルを読み込むことができるコマンドラインのツールです。
ローカル ポリシーの管理用テンプレートの設定(registry.pol)や、セキュリティ ポリシー(GptTemp.inf)、詳細な監査設定(audit.csv) を、LGPO を利用して設定を読み込み、端末のローカル ポリシーに反映させることができます。
LGPO.exe のツールは、マイクロソフトのダウンロード センターから入手することができます。以下の URL から、[Download] をクリックし、”LGPO.zip” をダウンロードしてください。
タイトル:Microsoft Security Compliance Toolkit 1.0
url:https://www.microsoft.com/en-us/download/details.aspx?id=55319
定義ファイルの準備
各端末に反映するローカル ポリシーの定義ファイルを準備します。
1) 任意の Windows 端末に、管理者権限をもつユーザーでログオンします。
2) [ファイル名を指定して実行] を開き、gpedit.msc と入力して [OK] をクリックします。
3) [ローカル グループ ポリシー エディター] にて、配布したいローカル ポリシーの設定を行います。(マスターの設定となります)
4) ローカルの任意のフォルダに、入手した LGPO.exe をコピーします。
5) 以下のコマンドを実行して、registory.pol のデータをエクスポートします。
/m オプションはコンピューターの構成、/u オプションはユーザーの構成の管理用テンプレートの設定をエクスポートするコマンドとなります。
LGPO.exe /parse /u C:\Windows\System32\GroupPolicy\User\registry.pol > exportusersettings.txt
定義ファイルの読み込み
マスター設定の定義ファイルから、ローカル ポリシーに設定を反映させます。
1) ローカル ポリシーの設定を行う端末に管理者権限をもつユーザーでログオンします。
2) 定義ファイル(txt、inf、csv ファイル)を任意のフォルダにコピーします。
3) LGPO.exe を定義ファイルと同じフォルダにコピーします。
4) 管理者権限でコマンド プロンプトを開きます。
5) 以下のコマンドを実行して、定義ファイルを読み込みます。
LGPO.exe /r exportcomputersettings.txt /w C:\Windows\System32\GroupPolicy\Machine\registry.pol
LGPO.exe /r exportusersettings.txt /w C:\Windows\System32\GroupPolicy\User\registry.pol
LGPO.exe /s secpolicy.inf /ac audit.csv
※各定義ファイルのファイル名は、指定したファイル名を指定してください。
6) gpupdate /force コマンドを実行して、反映されたローカル ポリシーの設定を反映させます。
MLGPO とは?
MLGPO(Muptiple Local GPO)は、ドメインに所属していないコンピューターを管理するための機能で、ローカル ポリシーについて複数のポリシーを扱うことができます。複数のポリシーとして、以下のローカル ポリシーを扱うことができます。
- ローカル ポリシー
コンピューター ポリシーの設定、また全てのローカル ユーザーに適用されるユーザー ポリシー - 管理者ローカル ポリシー
管理者グループに所属するユーザーに適用されるユーザー ポリシー - 非管理者ローカル ポリシー
管理者グループに所属しない、一般ユーザーに適用されるユーザー ポリシー - 固有ユーザーローカル ポリシー
特定のユーザーに適用されるユーザーポリシー
ローカル ポリシーのユーザー ポリシー([ユーザーの構成]配下の設定)は、MLGPO を使用することで、適用されるローカル ユーザーを制限することができるようになります。
MLGPO を設定する手順は以下の通りです。
1) 対象の端末に管理者権限をもつユーザーでログオンします。
2) [ファイル名を指定して実行] を開き、mmc と入力して [OK] をクリックします。
3) メニューから、[ファイル] – [スナップインの追加と削除] をクリックします。
4) [利用できるスナップイン] から [グループ ポリシー オブジェクト エディター] を選択して、[追加] をクリックします。
5) [グループ ポリシー オブジェクトの選択] にて、[参照] をクリックします。
6) [グループ ポリシー オブジェクトの参照] にて、[ユーザー] タブを選択します。
7) 適用対象とするローカル アカウントを選択して、[OK] を選択します。
8) [グループ ポリシー オブジェクトの選択] にて、[完了] をクリックします。
9) [スナップインの追加と削除] にて、[OK] をクリックします。
10) 選択したユーザーに適用されるユーザー ポリシーの設定を行います。
ポチップ
