グループ ポリシー再確認 ③

Transcript

1. グループポリシー再確認③ Murachi Akira aka Hebikuzure

2. About me • Murachi Akira aka hebikuzure ( 村地 彰

   ) • 株式会社エクシードワン 技術フェロー • 株式会社シーピーエス 技術教育スペシャリスト • 専門学校東京テクニカルカレッジ非常勤講師 • Microsoft MVP (Most Valuable Professional) • Since Apr. 2011 ( 14 Years! ) • Award Category: Windows and Devices - Windows Cloud and Datacenter Management – Windows Server • Expertise • Windows client / user management and security • Microsoft 365, Active Directory, Microsoft Endpoint Manager https://www.linkedin.com/in/akiramurachi/ https://www.facebook.com/amurachi/ https://x.com/hebikuzure 2025/05/24 2 Murachi Akira aka Hebikuzure

3. 目次 • 前回のおさらい • クライアントでのグループ ポリシーの適用動作 • ポリシーが機能する機序 • まとめ

   2025/05/24 Murachi Akira aka Hebikuzure 3

4. 前回までのおさらい 2025/05/24 Murachi Akira aka Hebikuzure 4

5. 前々回のセッション • スライド グループポリシー再確認 - Speaker Deck • YouTube 2025

   .NETラボ 勉強会3月オンライン勉強会 2025/05/24 Murachi Akira aka Hebikuzure 5

6. 前回のセッション • スライド グループ ポリシー再確認 (2) - Speaker Deck •

   YouTube 2025 .NETラボ 勉強会４月オンライン勉強会 2025/05/24 Murachi Akira aka Hebikuzure 6

7. グループ ポリシーとは • Windows を実行しているコンピューターで… • ユーザーとコンピューターの設定と構成管理する仕組み 2025/05/24 Murachi Akira

   aka Hebikuzure 7 グループ ポリシー コンピューターの構成 ユーザーの構成

8. ローカル ポリシーとドメイン ポリシー • グループ ポリシーはコンピューター単位でローカルに構成可能 ⇒「ローカル ポリシー」 • Active

   Directory ドメインでドメイン参加しているコンピューターと ユーザーを対象に構成可能 ⇒「ドメイン ポリシー」 2025/05/24 Murachi Akira aka Hebikuzure 8 ローカル ポリシー ドメイン ポリシー

9. グループ ポリシーと GPO • GPO（Group Policy Object、グループ ポリシー オブジェクト） •

   GPO • グループ ポリシー設定 • スコープ（ポリシーの適用対象） • セキュリティ権限 2025/05/24 Murachi Akira aka Hebikuzure 9

10. 設定・スコープ・権限 2025/05/24 Murachi Akira aka Hebikuzure 10 スコープ 設定 権限(委任)

11. GPO の適用 • GPO はドメインの Active Directory コンテナーにリンクする • リンクされたコンテナー内のオブジェクトに

    GPO が反映される • GPO をリンクできる最下位のコンテナーは組織単位 (OU) 2025/05/24 Murachi Akira aka Hebikuzure 11 GPO OU GPO OU GPO OU ドメイン

12. グループ ポリシーの構成要素 • 「コンピューターの構成」と「ユーザーの構成」 • 各「構成」の配下 • ポリシー • ソフトウェアの設定

    • Windows の設定 • 管理用テンプレート • 基本設定（ドメイン ポリシーのみ） • Windows の設定 • コントロール パネルの設定 2025/05/24 Murachi Akira aka Hebikuzure 12

13. ポリシーと基本設定 ポリシー 基本設定 設定の強制 （ユーザーは変更できない） 設定の既定値の提供 （ユーザーは変更可） GPO 更新ごとに適用 一度だけ適用、

    または GPO更新ごとに適用 OU 対象、WMI フィルター構成可能 OU、WMI フィルターに追加して 対象設定可能 2025/05/24 Murachi Akira aka Hebikuzure 13

14. ポリシーを適用するモジュール Winlogon ログオン 処理 GPSVC (Group Policy Client) グループ ポリシー

    の処理 CSE (Client-Side Extension) 実際のポリシーの構成 2025/05/24 Murachi Akira aka Hebikuzure 14

15. Client-Side Extension (CSE) • GPO を実際にコンピューターやユーザーの設定に反映させるモジュール • ポリシーの項目により、利用するモジュールが異なる • CSE

    はレジストリに登録されている • HKEY_LOCAL_MACHINE¥SOFTWARE¥Microsoft¥Windows NT ¥CurrentVersion¥Winlogon¥GPExtensions 2025/05/24 Murachi Akira aka Hebikuzure 15

16. グループ ポリシーの実体 • ドメインの Sysvol 共有に保存される • ¥¥<domain>¥SYSVOL¥domain¥Policies 配下に保存 •

    GPO ごとにフォルダー分けして保存されている • フォルダー名は GPO の「一意な ID」 • ドメイン コントローラー間で複製され、すべてのドメイン コントローラーで 同じ情報が保持される 2025/05/24 Murachi Akira aka Hebikuzure 16

17. GPO フォルダーの中身 ./ Machine Applications Microsoft Scripts Preferences Registry.pol comment.cmtx

    User ……… GPT.INI 2025/05/24 Murachi Akira aka Hebikuzure 17

18. 管理用テンプレート • 「管理用テンプレート」はレジストリ ベースのポリシー設定のテンプレート • .admx ファイル：グループ ポリシーの設定が含まれるファイル • .adml

    ファイル：各言語ごとのの項目名や説明が含まれるファイル • Windows の機能が更新・追加されるとテンプレートも更新される • 追加のコンポーネント用の管理用テンプレートも別途利用可能 • Office / Microsoft Edge / OneDrive など • サードパーティー製品のテンプレートもサードパーティーから提供されてい るものがある（Google Chrome など） 2025/05/24 Murachi Akira aka Hebikuzure 18

19. クライアントでの グループ ポリシーの適用動作 2025/05/24 Murachi Akira aka Hebikuzure 19

20. ポリシー適用タイミング • Windows 起動時 / ユーザー サインイン時 • フォアグラウンド処理 •

    同期実行または非同期実行 • Windows 起動中の定期的タイミング • バックグラウンド処理 • 非同期実行 • フォアグラウンド処理でのみ適用されるポリシーもある （フォルダー リダイレクトなど） 2025/05/24 Murachi Akira aka Hebikuzure 20

21. distinguishedName の取得 • セキュア チャネルで DC と接続 • 自分（コンピューター/ユーザー）の distinguishedName

    属性を 取得 2025/05/24 Murachi Akira aka Hebikuzure 21

22. distinguishedName の取得 • セキュア チャネルで DC と接続 • 自分（コンピューター/ユーザー）の distinguishedName

    属性を 取得 2025/05/24 Murachi Akira aka Hebikuzure 22 LDAP クエリで取得

23. distinguishedName の例 distinguishedName CN=LABOW10E01,OU=Experimental,OU=CPSComputers, DC=cps,DC=cpscorp,DC=jp • distinguishedName から自分が属する OU 情報が分かる

    2025/05/24 Murachi Akira aka Hebikuzure 23

24. OU にリンクされている GPO の確認 • distinguishedName で確認された自分が属する OU の gPLink

    属性を取得 2025/05/24 Murachi Akira aka Hebikuzure 24

25. gPLink の例 gPLink [LDAP://cn={F4F66076-3C89-4A52-984A- 771A84616AD9},cn=policies,cn=system,DC=cps,DC=cps corp,DC=jp;0] • リンクされている GPO の

    LDAP パスが取得できる 2025/05/24 Murachi Akira aka Hebikuzure 25

26. GPO のファイル パスを取得 • gPLink で確認した GPO の gPCFileSysPath 属性を取得

    2025/05/24 Murachi Akira aka Hebikuzure 26 このパスが得られる

27. GPO の実体へのアクセス • gPCFileSysPath 属性で取得したパスにアクセス • SYSVOL は DFS 名前空間なので、どのドメイン

    コントローラーに アクセスするかは不定 • ただし DFSR で複製されているので、すべてのドメインコントロー ラーで同じであることが期待できる • まず GPT.ini ファイルを取得 2025/05/24 Murachi Akira aka Hebikuzure 27

28. GPO の実体へのアクセス • gPCFileSysPath 属性で取得したパスにアクセス • SYSVOL は DFS 名前空間なので、どのドメイン

    コントローラーに アクセスするかは不定 • ただし DFSR で複製されているので、すべてのドメインコントロー ラーで同じであることが期待できる • まず GPT.ini ファイルを取得 2025/05/24 Murachi Akira aka Hebikuzure 28 SMB で取得

29. GPO のバージョン確認 • GPO のバージョンを確認 • 現在適用されているバージョンと SYSVOL 側のバージョンを比較 •

    SYSVOL 側のバージョンが新しければ、新しいポリシーを適用 • GPO のキャッシュを更新（キャッシュ有効の場合） • GPSVC (Group Policy Client) や CSE (Client-Side Extension ）が ポリシー適用動作を行う • ポリシーが更新されていなければここで終了 2025/05/24 Murachi Akira aka Hebikuzure 29

30. ポリシーのバージョン • グループ ポリシー オブジェクトにはバージョン番号が振られる • 編集するごとにバージョン番号がインクリメントされる • バージョン番号は GPT.ini

    に記載される 2025/05/24 Murachi Akira aka Hebikuzure 30 ./ Machine Applications Microsoft Scripts Preferences Registry.pol comment.cmtx User ……… GPT.INI GPO フォルダーの中身

31. GPT.ini 内のバージョン番号 2025/05/24 Murachi Akira aka Hebikuzure 31

32. GPO の実体のキャッシュ • これらのフォルダーとその内容をダウンロードしてキャッシュ 2025/05/24 Murachi Akira aka Hebikuzure 32

    ./ Machine Applications Microsoft Scripts Preferences Registry.pol comment.cmtx User ……… GPT.INI

33. ポリシーの実体のキャッシュ先 • コンピューターの構成 %SystemRoot%¥System32¥GroupPolicy¥DataStore¥0¥ sysvol¥<ドメイン名>¥Policies • ユーザーの構成 %Programdata%¥Microsoft¥GroupPolicy¥Users¥{SID}¥ DataStore¥0¥sysvol¥<ドメイン名>¥Policies 2025/05/24

    Murachi Akira aka Hebikuzure 33

34. コンピューターの構成 2025/05/24 Murachi Akira aka Hebikuzure 34

35. ユーザーの構成 2025/05/24 Murachi Akira aka Hebikuzure 35

36. GOP キャッシュを作らない方法 • クライアント Windows では既定でキャッシュ有効 • グループ ポリシーで無効に構成可能 •

    [コンピューターの構成] - [管理用テンプレート] - [システム] - [グループ ポリシー] - [グループ ポリシーのキャッシュを構成する] 2025/05/24 Murachi Akira aka Hebikuzure 36

37. 2025/05/24 Murachi Akira aka Hebikuzure 37

38. Windows Server の場合 • Windows Server では既定でキャッシュ無効 • グループ ポリシーで有効にできる

    • [コンピューターの構成] - [管理用テンプレート] - [システム] - [グループ ポリシー] - [サーバーのグループ ポリシーのキャッシュを有効にする] 2025/05/24 Murachi Akira aka Hebikuzure 38

39. 2025/05/24 Murachi Akira aka Hebikuzure 39

40. ローカル ポリシーの実体 • %SystemRoot%¥System32¥GroupPolicy • Machine : コンピューターの構成 • User

    : ユーザーの構成 2025/05/24 Murachi Akira aka Hebikuzure 40

41. ポリシーが機能する機序 2025/05/24 Murachi Akira aka Hebikuzure 41

42. ポリシーの「適用」とは？ • GPSVC (Group Policy Client) や CSE (Client-Side Extension

    ）は実際には何をやっているのか？ 2025/05/24 Murachi Akira aka Hebikuzure 42

43. ポリシーの「適用」とは？ • GPSVC (Group Policy Client) や CSE (Client-Side Extension

    ）は実際には何をやっているのか？ 2025/05/24 Murachi Akira aka Hebikuzure 43 ポリシーの項目によりさまざまです

44. ポリシーの「適用」とは？ • GPSVC (Group Policy Client) や CSE (Client-Side Extension

    ）は実際には何をやっているのか？ 2025/05/24 Murachi Akira aka Hebikuzure 44 ポリシーの項目によりさまざまです その一部を解説します

45. セキュリティの設定 • ./Machine¥Microsoft¥Windows NT¥SecEdit¥GptTmpl.inf 2025/04/26 Murachi Akira aka Hebikuzure 45

    ./ Machine Applications Microsoft Scripts Preferences Registry.pol comment.cmtx User ……… GPT.INI

46. セキュリティの設定 • GptTmpl.inf の内容をセキュリティ データベースに反映する • %systemroot%¥Security¥Database¥secedit.sdb 2025/05/24 Murachi Akira

    aka Hebikuzure 46

47. .inf ファイル • セキュリティ テンプレート • secedit コマンドで利用するテンプレート（.inf）ファイルと同じ形式 • secedit

    コマンド | Microsoft Learn 2025/05/24 Murachi Akira aka Hebikuzure 47

48. 管理用テンプレート • Registry.pol の内容をレジストリの各キー配下に反映させる • HKCU¥Software¥Policies • HKCU¥Software¥Microsoft¥Windows¥CurrentVersion¥Policies • HKLM¥Software¥Policies

    • HKLM¥Software¥Microsoft¥Windows¥CurrentVersion¥Policies • 各プログラムがレジストリを読み取って動作する 2025/05/24 Murachi Akira aka Hebikuzure 48

49. 管理用テンプレート • Registry.pol の内容をレジストリの各キー配下に反映させる • HKCU¥Software¥Policies • HKCU¥Software¥Microsoft¥Windows¥CurrentVersion¥Policies • HKLM¥Software¥Policies

    • HKLM¥Software¥Microsoft¥Windows¥CurrentVersion¥Policies • 各プログラムがレジストリを読み取って動作する 2025/05/24 Murachi Akira aka Hebikuzure 49 ポリシーで制御できる内容はプ ログラムの実装次第

50. Registry.pol • 管理用テンプレートで指定したレジストリ構成情報を記載したファイル • バイナリ ファイルに見えるが、中身は UNICODE テキスト 2025/04/26 Murachi

    Akira aka Hebikuzure 50

51. 基本設定 • {(GPO の GUID}¥Machine¥Preferences および {(GPO の GUID}¥User¥Preferences 内の、設定に対応した構成情報の

    XML ファイルを読み取る 2025/05/24 Murachi Akira aka Hebikuzure 51

52. XML ファイル 2025/05/24 Murachi Akira aka Hebikuzure 52

53. XML ファイルの内容 2025/05/24 Murachi Akira aka Hebikuzure 53

54. 基本設定の反映 • 読み取った構成情報を反映させる • 設定自体はユーザー操作で行う場合と同じ • 1度だけ反映させる（既定値の提供のみ）か、ポリシー適用ごとに毎回反映さ せるかは選択可能 2025/05/24 Murachi

    Akira aka Hebikuzure 54

55. 参考情報 2025/05/24 Murachi Akira aka Hebikuzure 55

56. 参考情報 • Troubleshooting Group Policy Using Event Logs | Microsoft

    Learn • A Treatise on Group Policy Troubleshooting–now with GPSVC Log Analysis! | Microsoft Learn • Group Policy Preferences | Microsoft Learn • ADMX ポリシーについて | Microsoft Learn • Group Policy Search 2025/05/24 Murachi Akira aka Hebikuzure 56

57. 参考情報（続き） • グループ ポリシーの適用 | Microsoft Japan Windows Technology Support

    Blog • Microsoft セキュリティ コンプライアンス ツールキット ガイド | Microsoft Learn 2025/05/24 Murachi Akira aka Hebikuzure 57

58. まとめ 2025/05/24 Murachi Akira aka Hebikuzure 58

59. グループ ポリシー • 前回のおさらい • クライアントでのグループ ポリシーの適用動作 • ポリシーが機能する機序 2025/05/24

    Murachi Akira aka Hebikuzure 59

60. 2025/05/24 Murachi Akira aka Hebikuzure 60 ありがとうございました