システムポリシーについて
0.改定履歴
- 1998.08.12 初版
1.はじめに
このドキュメントは,システムポリシーについて,その機能概要を説明する物である.
2.システムポリシーとは
システムポリシーとは,WindowsNT4.0およびWindows95から採用されたもので,システム構成やユーザがコンピュータ上で行なえる作業を制限することが出来る.
クライアントマシンがWindowsNT4.0およびWindows95(Windows98は未検証)に限られ,WindowsNT3.51などは含まれない.
これを利用することによって,WindowsNTネットワークに所属するコンピュータを効率的に管理し,ユーザ管理を簡単にするものである.
具体的に説明すると,ユーザがデスクトップ上で見ることが出来るもの,およびユーザがコンピュータ上で実行できるものを制御する規則の集合体がシステムポリシーである.
システムポリシーの本体は,レジストリの定義体であり,ユーザがネットワークにログオン(ドメインにログオン)した際に,個々のクライアントのレジストリにシステムポリシーを適用,つまりシステムポリシー分のレジストリをマージする. つまり,簡単に言えばレジストリを配布して適用する仕組みであり,レジストリで出来る事以上の事は出来ないことになる.
3.コンピュータポリシーとユーザポリシー
ポリシーは,2つある. 新しくポリシーを作成しようとすると,デフォルトで2つのポリシーが設定される.
- 既定のコンピュータ
- ログオンとネットワークの設定を構成する. このオプションは,ドメイン内のすべてのコンピュータに設定され,そのコンピュータにログオンするユーザすべてに影響する.
- 既定のユーザー
- ユーザのデスクトップを構成する. ドメインすべてのユーザに影響する.
また,コンピュータ毎,ユーザ毎に,個別のポリシーを設定する事も出来る.
Windows95のシステムポリシーエディタを見ていると,「既定の〜」ではなく「普通の〜」となっているようである.
4.WindowsNTとWindows95の違い
前に述べたように,ポリシーではレジストリをマージするのがその内容である. よって,WindowsNTとWindows95では,レジストリ構成が違うので,別々のポリシーを用意する必要がある.
- WindowsNTのポリシーを作成する場合
- Windows NT Serverに“システムポリシーエディタ”がデフォルトでインストールされる.
- Windows95のポリシーを作成する場合
- デフォルトではインストールされないので,Windows95のCD-ROMからインストールする.
Windows95のシステムポリシーは,ポリシーを適用するマシンすべてにインストールする必要は無い. ポリシーを作成するマシンだけで必要である.
Windows95のシステムポリシーエディタのインストール方法は,ドキュメント「システムポリシーエディタの構成 〜Windows95の場合〜」を参照する.
それぞれのプラットホーム用に作成するポリシーファイルは,次の通りになる.
プラットホーム | ファイル名 |
---|---|
WindowsNT | ntconfig.pol |
Windows95 | config.pol |
5.システムポリシー配布ロジック
ポリシーファイルが各クライアントに配布されるのは,次の通りである.
- クライアントが,ドメインのログインする.
- 共有フォルダ“NETLOGON”に接続し,この中にあるプラットホーム毎のポリシーファイルを,各コンピュータがダウンロードする.
- ダウンロードしたポリシーの内容を,ローカルコンピュータに適用する.
6.ポリシーファイルの格納場所
ポリシーファイルは,NETLOGON共有に保存されることは前章で述べたが,このNETLOGON共有は,以下のディレクトリを共有しているにすぎない. よって,このディレクトリにポリシーファイルを格納する.
|
7.ポリシーファイルのロードバランシング
ポリシーファイルは,デフォルト(何も設定してない物)だと数Kバイト(8Kほど?)だが,クライアントが多いと,朝など,ユーザが一度にマシンを使い始めるとき等,ダウンロードに時間がかかる事が予想される.
Windows NTの場合,PDC以外にBDCからも取得するようになっているが,Windows95の場合はPDCから取得するようになっている. BDCからも取得するようせっていするには,ロードバランシングを設定する必要がある.
- Windows95のシステムポリシーエディタを起動する.
- config.polファイルを開く.
- “普通のコンピュータ”を開く.
- [ネットワーク]の[更新]の[リモート更新]を展開する.
- [ロードバランス]をチェックする.
特定のサーバから取得したい場合には,ここでネットワークパスを設定すればよい.
8.BDCへの最新ポリシーファイルの配布
ポリシーファイルをBDCからも取得するように設定した場合,最新のポリシーファイルがNETLOGONに存在しないと意味がない.
よって,ディレクトリ複製機能を使用して,ポリシーファイルを複写するよう設定しておく.
ディレクトリ複製については,ドキュメント「ディレクトリ複製について」を参照する.