本ページでは、Active Directory 環境における Group Policy(GPO)の基本設計を整理する。
GPOは、クライアントおよびサーバーに対する設定を統一し、運用負荷の低減およびセキュリティ統制を実現するための仕組みである。
個々の端末に設定を任せた場合、設定差異や属人化が発生し、障害対応や運用管理が困難となる。
そのため、本設計ではGPOを用いて設定を一元管理し、統一された環境を維持できる構成を採用する。
なお、本ページでは構造および方針を対象とし、具体的な設定値については詳細設計にて定義する。
| 項目 | 内容 |
|---|---|
| ドメイン名 | example.com |
| ドメインコントローラー | DC01(PDC エミュレーター) |
| ドメインコントローラー | DC02(追加ドメインコントローラー) |
| クライアント | CLIENTPC |
※本ページでは説明のため仮称を使用している
※実環境ではドメイン名・サーバー名を適宜読み替えること
本設計の目的は以下とする。
これにより、以下の効果を得る。
GPO設計においては、設定値そのものではなく、
構造および適用方法を重視する。
設定値は環境や要件により変更されるが、
構造が不適切な場合、以下の問題が発生する。
そのため、本設計では構造を明確に定義し、
安定した運用が可能な状態を前提とする。
GPOはOU単位で適用する構成とする。
対象ごとにOUを分離することで、以下の効果を得る。
OU分離を行わない場合、設定の衝突や誤適用が発生しやすくなるため採用しない。
GPOは機能単位で以下の区分に分類する。
分類を分離することで、以下の効果を得る。
複数の機能を単一GPOに含めた場合、
設定の依存関係が複雑化するため採用しない。
GPO名称は以下の形式とする。
[区分]_[対象]_[機能]
例:
本命名規則を採用することで、以下の効果を得る。
GPOはOU単位で適用する。
ドメイン直下へのGPO適用は最小限とし、以下のような共通ポリシーに限定する。
ドメイン直下に過剰なGPOを配置した場合、影響範囲が全体に及ぶため避ける。
GPOは以下の順序で適用する。
この順序とすることで、基本設定の上にセキュリティおよび運用制御を適用する構造となる。
特にセキュリティ設定が他の設定により上書きされる状態は避ける。
例外設定は既存GPOに直接追加しない。
例外が必要な場合は、以下のいずれかで対応する。
これにより、標準設定と例外設定を分離し、管理性を維持する。
GPO変更は本番適用前に検証を実施する。
検証を行わない場合、誤設定が本番環境に影響するため、本手順は必須とする。
GPO変更は以下の手順で実施する。
変更前にはバックアップを取得し、
問題発生時に復旧可能な状態で作業を行う。
本設計では、各GPOの設定値は定義しない。
具体的な設定内容は以下にて管理する。
これにより、基本設計と詳細設計を分離し、
設計変更時の影響範囲を限定する。
本設計では、GPOを機能単位で分割し、OU単位で適用する構造とする。
これにより、設定の統一、運用負荷の低減、およびセキュリティ統制を実現する。
また、例外管理および検証プロセスを明確化することで、安定した運用を維持する。