はじめに
企業や学校などの組織において、多数の Windows PC やユーザーアカウントの設定を1台ずつ手作業で変更・管理することは、非常に非効率でありセキュリティリスクも伴います。このような環境で、多数の端末設定を一元的に管理・強制するために利用されるのが、Active Directory の「グループポリシー(GPO)」です。
本記事では、GPO の基本概念や設定が正しく適用されているかを確認する方法(レポート機能)から、応用編として「Google Chrome の管理用テンプレート」を追加し、特定のブラウザ機能を制限する具体的な手順までを解説します。
- GPO(グループポリシーオブジェクト)の役割と基本概念
- GPO の適用状況を確認する方法(GPO レポート / gpresult)
- 管理用テンプレート(ADMX ファイル)の仕組みと追加方法
- Google Chrome のポリシー設定手順(パスワード保存の無効化など)
GPO(グループポリシーオブジェクト)とは?
グループポリシーオブジェクト(GPO)とは、Active Directory(AD)ドメイン環境において、参加しているコンピューターやユーザーの動作・設定を中央から一元的に管理・制御するための機能です。
例えば、「USB メモリの接続を禁止する」「コントロールパネルへのアクセスを制限する」「壁紙を会社のロゴに固定する」といったポリシーを作成し、組織内の対象端末へ一斉に適用させることができます。
グループポリシーを運用する大元の基盤となる Active Directory の仕組みについては、以下の記事をご参照ください。
GPO を導入する最大の目的は、ユーザー環境の標準化とセキュリティの強化です。管理者が意図したセキュリティ基準を強制的に適用できるため、ユーザーによる勝手な設定変更や、情報漏洩に繋がる危険な操作を未然に防ぐことが可能です。
また、GPO は管理側の都合だけでなく、ユーザーの利便性を向上させる目的でも利用されます。例えば、社内のどの PC からログインしても自分専用のデスクトップ環境やドキュメントを再現できる「移動ユーザープロファイル」なども、GPO と組み合わせて構成・管理されることが多い機能の一つです。
ユーザー環境の共通化に役立つ機能については、以下の記事で詳しく解説しています。
GPO の基本設定と適用状況の確認(レポート)
GPO の作成や割り当ては、主にドメインコントローラー上の「グループポリシーの管理」コンソール(GPMC)を使用して行います。
GPO 設定の基本手順
GPO を特定のユーザーやコンピューターに適用するための基本的な流れは以下の通りです。
GPMC を開き、ポリシーを適用したい組織単位(OU)に対して新しい GPO を作成し、リンクさせます。
作成した GPO を右クリックして「編集」を開き、膨大な設定項目の中から目的の項目(例: コントロールパネルの制限など)を探して「有効」または「無効」に設定します。
設定したポリシーは一定時間経過後に自動でクライアント端末に反映されますが、即時反映させたい場合は、クライアント側でコマンドプロンプトから gpupdate /force を実行します。
適用状況の確認と GPO レポートの出力
GPO を設定した後は、「本当に意図したポリシーがクライアント端末に適用されているか」を確認する作業が不可欠です。複数の GPO が競合してうまく適用されないケースも多いため、適用状況の確認(トラブルシューティング)には以下のコマンドを使用します。
クライアント端末のコマンドプロンプトで実行することで、結果を確認・出力できます。
gpresult /r現在その端末とユーザーに適用されている GPO の名前一覧を、コマンドプロンプト上にテキストベースで簡易表示します。
gpresult /h C:\temp\gpo_report.html適用されている全ポリシーの詳細なステータスを、見やすい HTML 形式の「グループポリシーのレポート」として指定したパスに出力します。ブラウザで開くことができ、どの GPO がどの設定項目に勝っているか(優先されているか)を視覚的に確認できるため、詳細なトラブルシューティングに非常に有効です。
また、サーバー側(GPMC)の「グループポリシーの結果」ウィザードを利用することでも、ネットワーク上の特定端末に関する GPO レポートをリモートから生成・確認することが可能です。
管理用テンプレート(ADMX)による機能拡張
Windows Server に標準搭載されているグループポリシーだけでは、OS の基本設定や Microsoft 製ブラウザ(Edge など)の制御しか行えません。Google Chrome やその他のサードパーティ製アプリケーションの設定を GPO で一元管理するためには、「管理用テンプレート」を追加してポリシーの制御項目を拡張する必要があります。
ADMX ファイルと ADML ファイルの役割
管理用テンプレートは、各アプリケーションのベンダー(Google など)から企業の管理者向けに提供されており、主に以下の2種類のファイルで構成されています。
- ADMX ファイル(.admx)
-
ポリシーの設定項目や、適用時に変更されるレジストリの値が定義されたシステムファイル(言語共通)
- ADMLファイル(.adml)
-
グループポリシーエディター上で、設定項目を日本語などの各言語で表示するための翻訳用ファイル
テンプレートの配置場所
取得した拡張ファイルをドメインコントローラー(または GPO を編集する管理端末)の所定のフォルダに配置すると、グループポリシー管理エディターの「管理用テンプレート」ツリー内に、新しいアプリケーションの項目が自動的に追加されます。
基本的な配置先ディレクトリは以下の通りです。
- ADMX ファイルの配置先
-
C:\Windows\PolicyDefinitions - ADML ファイルの配置先
-
C:\Windows\PolicyDefinitions\ja-JP※日本語環境の場合
複数台のドメインコントローラーを運用している企業環境では、各サーバーへ個別に配置する手間を省くため、SYSVOL 領域に「セントラルストア(Central Store)」と呼ばれる共有フォルダを作成し、テンプレートを一元管理するのが一般的なベストプラクティスです。
【実践】Google Chrome の管理用テンプレート設定手順
ここまでの仕組みを踏まえ、実際にドメイン環境の Google Chrome に対して GPO を適用し、特定の機能を制限する手順を解説します。
テンプレートのダウンロードと配置
まず、Google の公式サイトから企業向けの Chrome 管理用テンプレートをダウンロードします。
「Google Chrome Enterprise」の公式ページへアクセスし、管理用テンプレート(ZIP ファイル)をダウンロードします。
ダウンロードした ZIP ファイルを解凍し、中にある windows\admx フォルダ内のファイルを、前項で解説した所定のフォルダ(C:\Windows\PolicyDefinitions 等)へコピーします。
chrome.admx(および共通のgoogle.admx)を直下に配置します。ja-JPフォルダ内にあるchrome.admlなどを、PolicyDefinitions内のja-JPフォルダへ配置します。
これで、グループポリシー管理エディターを開いた際に「管理用テンプレート」直下に「Google」および「Google Chrome」という設定ツリーが新たに追加され、利用可能になります。
ポリシー設定例(パスワード保存機能の無効化)
企業セキュリティの観点から、ブラウザにパスワードを記憶させる「パスワードマネージャー」機能を GPO で強制的に無効化する設定例を紹介します。
- グループポリシー管理エディターを開き、作成した GPO を編集モードで開きます。
- 以下の順にツリーを展開します。
- [コンピューターの構成] [ポリシー] >[管理用テンプレート] [Google] [Google Chrome]
- 右側一覧から「パスワードマネージャーへのパスワードの保存を有効にする」という項目を選択します。
- 設定値を「無効」に変更し、「OK」をクリックして適用します。
この GPO がクライアント端末に適用されると、対象端末の Google Chrome 設定画面において「パスワードを保存できるようにする」のトグルスイッチがグレーアウトし、ユーザーが個別に有効化できなくなります。
まとめ
本記事では、Active Directory における GPO の基本概念から、適用状況のレポート確認方法、そして管理用テンプレートを利用した Google Chrome の設定手順までを解説しました。
- GPO はドメイン環境内の PC やユーザー設定を一元管理し、セキュリティを強化する機能である。
- 適用状況や競合の確認には、コマンド(gpresult)による GPO レポートの出力が有効である。
- ADMX/ADML ファイルを配置することで、標準外のアプリ(Chrome 等)の管理項目を拡張できる。
- Chrome のテンプレートを導入すれば、パスワード保存の無効化などブラウザ特有の制御が可能になる。
以上、最後までお読みいただきありがとうございました。
