【Windows】ローカル ポリシーとは?基礎概念や仕組みについて

ローカル ポリシーとは、Windows OS 端末のシステム設定を行うことができる機能です。

Active Directory ドメイン環境では、グループ ポリシーを利用して、ドメインに参加している端末にシステム設定を配布することができます。一方、端末固有のグループ ポリシーの設定を適用したい場合に、ローカル ポリシーを設定します。

端末のローカルで固有のグループ ポリシーを設定する機能となるので、厳密には「ローカル ポリシー」ではなく、「ローカル グループ ポリシー」が正式な名称となります。ただし、本サイトでは、グループ ポリシーと混同しないように、シンプルに「ローカル ポリシー」と記載しています。

今回は、ローカル ポリシーの一般的な仕組みと設定方法について紹介します。

 

ローカル ポリシーとは?

ローカル ポリシーとは、Windows OS 端末にて固有のシステム設定を行うことができる機能です。

ローカル ポリシーの仕組みは、Active Directory のグループ ポリシーの仕組みと基本的には同じです。Active Directory のドメイン環境におけるグループ ポリシーは、ドメインに参加している端末にシステム設定を配布する目的で利用されます。しかしながら、他の端末に影響を与えず、特定の端末に固有のグループ ポリシーの設定を行いたいというシナリオがあると思います。

ローカル ポリシーは、AD のグループ ポリシーと同様のポリシーの設定を、ローカルのみで展開できる機能のことです。グループ ポリシーとは異なり、ローカル ポリシーは適用対象の端末上で設定し、またローカル ポリシーの設定もローカルで保持しています。

ローカル ポリシーを適用する仕組みについては、AD のグループ ポリシーの仕組みを利用しています。ドメインに参加している端末は、ローカル ポリシーを適用した後にグループ ポリシーを適用します。ワークグループの端末については、ローカル ポリシーを適用します。

グループ ポリシーの適用の仕組みについては、以下の記事で紹介しております。

あわせて読みたい!

Active Directory ドメイン サービスでは、管理機能の一つとして、ユーザーやコンピューター、アプリケーションにおけるシステム設定を一元的に管理・配布する仕組みが用意されています。これは「グループ ポリシー」と呼ばれる機能で実現[…]

 

ローカル ポリシーの設定方法

ローカル ポリシーは、端末ごとに設定します。ローカル ポリシーの基本的な設定方法は以下の通りです。

1) 管理者権限をもつユーザーでログオンします。

2) [ファイル名を指定して実行] を開き、gpedit.msc と入力します。

3) [ローカル グループ ポリシー エディター] が開いたら、変更したいポリシーを設定します。

 

ローカル ポリシーで設定できるポリシー項目は、AD のグループ ポリシーと同じです。
ただし、Kerberos ポリシー、フォルダ リダイレクトなど、一部、ローカル ポリシーにはない設定項目もあります。

 

ローカル ポリシーの保存場所

ローカル ポリシーは、定義されたポリシーの設定の情報はローカルで管理されています。ローカル グループ ポリシーの保存場所は以下の通りです。

C:¥Windows¥system32¥GroupPolicy
GroupPolicy フォルダの配下のフォルダやファイルの構造は、SYSVOL にある各 GPO のフォルダと同じです。
ローカル ポリシーの適用も、AD のグループ ポリシーと基本的には同じです。グループ ポリシーの適用間隔で、ローカル ポリシーも自動的に適用されます。ローカル ポリシーの場合は、C:¥Windows¥system32¥GroupPolicy 配下の gpt.ini を参照します。gpt.ini のバージョンと端末に適用済みのバージョンと比較した結果、変更がある場合は、gpt.ini に記載されている CSE を利用して、各 CSE はポリシーにある各設定を端末に適用処理します。

 

ローカル ポリシーの展開方法

ローカル ポリシーは、端末固有に適用されるポリシーとなり、設定も端末ごとに行う必要があります。もし、同じ設定のローカル ポリシーを複数の端末に展開する場合、端末1台ごとに管理者ユーザーが手動で設定していたら多くの作業工数ががかかります。同じローカル ポリシーの設定を、各端末に簡易的に設定する方法として、2通りの方法が有効です。

①GroupPolicy フォルダのコピー

任意の Windows 端末にて、配布したいローカル ポリシーの設定を行います。全てのポリシーを定義したら、ローカル ポリシーの実体である以下の GroupPolicy のフォルダをそのままコピーします。

エクスプローラーの既定の表示オプションでは、GroupPolicy は表示されません。フォルダ オプションの [表示] タブにて、[ファイルおよびフォルダー] – [ファイルとフォルダの表示] – [隠しファイル、隠しフォルダー、および隠しドライブを表示する] のオプションを有効にしてください。

C:¥Windows¥system32¥GroupPolicy
設定を配布する端末にログオンし、ローカル ポリシーの実体の GroupPolicy フォルダを、コピーした GroupPolicy に置き換えします。同じフォルダを置き換えした後、gpupdate /force コマンドを実行すると、同じローカル ポリシーが設定されます。

 

②LGPOで定義ファイルをロード

LGPO.exe とは、ローカル ポリシーの定義ファイルを読み込むことができるコマンドラインのツールです。

ローカル ポリシーの管理用テンプレートの設定(registry.pol)や、セキュリティ ポリシー(GptTemp.inf)、詳細な監査設定(audit.csv) を、LGPO を利用して設定を読み込み、端末のローカル ポリシーに反映させることができます。

LGPO.exe のツールは、マイクロソフトのダウンロード センターから入手することができます。以下の URL から、[Download] をクリックし、”LGPO.zip” をダウンロードしてください。

タイトル:Microsoft Security Compliance Toolkit 1.0
url:https://www.microsoft.com/en-us/download/details.aspx?id=55319

 
定義ファイルの準備

各端末に反映するローカル ポリシーの定義ファイルを準備します。

1) 任意の Windows 端末に、管理者権限をもつユーザーでログオンします。

2) [ファイル名を指定して実行] を開き、gpedit.msc と入力して [OK] をクリックします。

3) [ローカル グループ ポリシー エディター] にて、配布したいローカル ポリシーの設定を行います。(マスターの設定となります)

4) ローカルの任意のフォルダに、入手した LGPO.exe をコピーします。

5) 以下のコマンドを実行して、registory.pol のデータをエクスポートします。
     /m オプションはコンピューターの構成、/u オプションはユーザーの構成の管理用テンプレートの設定をエクスポートするコマンドとなります。

LGPO.exe /parse /m C:\Windows\System32\GroupPolicy\Machine\registry.pol > exportcomputersettings.txt

LGPO.exe /parse /u C:\Windows\System32\GroupPolicy\User\registry.pol > exportusersettings.txt

4) [ローカル グループ ポリシー エディター] にて、[コンピューターの構成] – [Windows の設定] – [セキュリティの設定] を右クリックして [ポリシーのエクスポート] をクリックします。
5) セキュリティの設定のエクスポート ファイル名(拡張子 inf ファイル)を指定して、任意のフォルダに保存します。
6) [ローカル グループ ポリシー エディター] にて、[コンピューターの構成] – [Windows の設定] – [セキュリティの設定] – [監査ポリシーの詳細な構成] – [システム監査ポリシー – ローカル グループ ポリシー オブジェクト] を右クリックして [設定のエクスポート] をクリックします。
6) 監査ポリシーの詳細な構成の設定のエクスポート ファイル名(拡張子 csv ファイル)を指定して、任意のフォルダに保存します。
7) 作成された各ファイル(txt、inf、csv)はマスター設定の定義ファイルとなりますので、コピーしておきます。

定義ファイルの読み込み

マスター設定の定義ファイルから、ローカル ポリシーに設定を反映させます。

1) ローカル ポリシーの設定を行う端末に管理者権限をもつユーザーでログオンします。

2) 定義ファイル(txt、inf、csv ファイル)を任意のフォルダにコピーします。

3) LGPO.exe を定義ファイルと同じフォルダにコピーします。

4) 管理者権限でコマンド プロンプトを開きます。

5) 以下のコマンドを実行して、定義ファイルを読み込みます。

LGPO.exe /r exportcomputersettings.txt /w C:\Windows\System32\GroupPolicy\Machine\registry.pol

LGPO.exe /r exportusersettings.txt /w C:\Windows\System32\GroupPolicy\User\registry.pol

LGPO.exe /s secpolicy.inf /ac audit.csv

※各定義ファイルのファイル名は、指定したファイル名を指定してください。

6) gpupdate /force コマンドを実行して、反映されたローカル ポリシーの設定を反映させます。

 

LGPO.exe はログオン/ログオフ、スタートアップ/シャットダウン スクリプトの設定はサポート対象外となっており、設定することはできません。この設定は、手動で実施していただく必要があります。

 

MLGPO とは?

MLGPO(Muptiple Local GPO)は、ドメインに所属していないコンピューターを管理するための機能で、ローカル ポリシーについて複数のポリシーを扱うことができます。複数のポリシーとして、以下のローカル ポリシーを扱うことができます。

  • ローカル ポリシー
    コンピューター ポリシーの設定、また全てのローカル ユーザーに適用されるユーザー ポリシー
  • 管理者ローカル ポリシー
    管理者グループに所属するユーザーに適用されるユーザー ポリシー
  • 非管理者ローカル ポリシー
    管理者グループに所属しない、一般ユーザーに適用されるユーザー ポリシー
  • 固有ユーザーローカル ポリシー 
    特定のユーザーに適用されるユーザーポリシー

ローカル ポリシーのユーザー ポリシー([ユーザーの構成]配下の設定)は、MLGPO を使用することで、適用されるローカル ユーザーを制限することができるようになります。

 

MLGPO を設定する手順は以下の通りです。

1) 対象の端末に管理者権限をもつユーザーでログオンします。

2) [ファイル名を指定して実行] を開き、mmc と入力して [OK] をクリックします。

3) メニューから、[ファイル] – [スナップインの追加と削除] をクリックします。

4) [利用できるスナップイン] から [グループ ポリシー オブジェクト エディター] を選択して、[追加] をクリックします。

5) [グループ ポリシー オブジェクトの選択] にて、[参照] をクリックします。

6) [グループ ポリシー オブジェクトの参照] にて、[ユーザー] タブを選択します。

7) 適用対象とするローカル アカウントを選択して、[OK] を選択します。

 

8) [グループ ポリシー オブジェクトの選択] にて、[完了] をクリックします。

9) [スナップインの追加と削除] にて、[OK] をクリックします。

10) 選択したユーザーに適用されるユーザー ポリシーの設定を行います。