Windows Server 2008 R2 のグループポリシーは開発者のためにも有用なのです！

1. 開発者のための最新 Group Policy 活用講座 マイクロソフト株式会社 エバンジェリスト 安納 順一Anno Junichi http://blogs.technet.com/junichia/

2. 本日の内容 業務アプリケーションの環境設定をグループポリシーに委託することで、信頼性の向上と開発/管理コスト削減を図ることができます。 Windows Server 2008 R2では、 PowerShell 2.0 によるリモーティング グループポリシー用コマンドレット により、さらに「楽」ができます！ そんなお話をお送りします。

3. 前提知識（おさらい）

4. Group Policy ってなに？ 環境を集中管理/制御する仕組み OSの管理項目は標準で提供されている 独自の管理項目を拡張できる Group Policy Active Directory ドメインコントローラ

5. できること（例） セキュリティ関連 パスワードの複雑さ 通信の暗号化強度 ログの保存期間 など OSの環境 コントロールパネル内の各種設定 シェル（エクスプローラ）の動作設定 など インストールされているソフトウェアの環境構成 Office の環境設定 Internet Explorer の環境設定 Windows関連コンポーネントの環境設定 レジストリ や ini ファイルの設定 など ユーザープロファイルの構成 デスクトップの設定 アプリケーション利用の許可と拒否 プリンターの接続 アプリケーションの動作設定

6. 6種類のグループポリシー ローカルポリシー コンピュータポリシー ポリシー ユーザーポリシー ポリシー ドメインポリシー 今日の対象 コンピュータポリシー ポリシー 基本設定 今日の対象 ユーザーポリシー ポリシー 基本設定

7. グループポリシーの構造 GPO GPO Link コンピュータポリシー DomainROOT ユーザーポリシー OU GPO Link GPO GPO Link コンピュータポリシー OU ユーザーポリシー OU GPO GPO Link コンピュータポリシー SITE ユーザーポリシー SITE GPO:グループポリシーオブジェクト

8. グループポリシーによるアプリケーション環境の実装

9. 開発者の”役”にたつの？ YES! 何ができるの？ OSの機能でアプリの動作や環境を集中管理できる 適用に関するプロセスの大部分をOSに委託 業務アプリケーション 業務アプリケーション 環境 設定 機構 環境 設定 機構 Windows Windows

10. グループポリシーによる環境適用の流れ 環境設定は ここで行う ここに業務アプリの環境が保存される 業務アプリ GPクライアント Group Policy GPO GPO ・・・・・ 読み込み 反映 レジストリ Active Directory OS OS クライアント サーバー（ドメインコントローラ） クライアント側を触る 必要はない

11. 環境管理機構の要件とグループポリシー

12. ADMXファイルによる実装 ADMXファイルで環境設定画面を定義 業務アプリをグループポリシーに組み込むのに必須！ GPMC のGUIとして組み込まれる

13. ADMX に書けること http://technet.microsoft.com/ja-jp/library/cc753471(WS.10).aspx サンプルは C:indowsolicyDefinitions 配下に なんと日本語！ ポリシー有効/無効/未定義 時の動作 設定に使用するコントロール 規定値、最大（小）文字列長、数値、必須かどうか サポートされるOSのバージョン 複数言語対応 その他（リスト、コンボ、複数行文字列など）

14. でもなぁ...ADMX作るの面倒くさいなぁ... てか 、GUI いらないし そんな貴兄に朗報！

15. ADMXを使わずにグループポリシーに組み込み Windows Server 2008 R2 Windows PowerShellを使用 設定値を作成/変更/無効 Set-GPRegistryValue 設定値を削除Remove-GPRegistryValue 2008R2 従来 PowerShell ADMX GPMC Group Policy GPO GPO ・・・・・ Active Directory OS

16. PowerShell が使えるということは.... 一括設定が可能 複数の設定を”PS1”ファイルとして保存しておき実行 環境の切り替えが容易に行える タスクスケジューラーで自動化が可能 時間帯ごとに環境を変更 「夜間はメンテナンスのため特定の機能をオフにする」 とか

17. PowerShell の 準備（Windows Server 2008 R2） グループポリシー管理コンソールをインストール [機能の追加] - [グループポリシーの管理] PowerShellをインストール [機能の追加] - [Windows PowerShell ISE] PowerShellの起動 PowerShell.exe または powershell_ise.exe グループポリシーモジュールの読み込み 読み込まれたコマンドレットの確認 PS>Import-ModuleGroupPolicy PS>Get-Command *GP* | Where-Object {$_.CommandType–eq "Cmdlet"} Windows 7 や Vista の場合には RSAT をインストール

19. エディタ付エディタ 実行結果 コンソール

20. （参考）グループポリシー関連コマンドレット

21. 環境をグループポリシーに組み込む GPOを作成する 作成されたGPOを確認 GPOをリンクする GPOにレジストリ設定を書き込む PS> New-GPO -Name “DemoPolicy” PS>get-gpo -all |Select-Object displayname PS>new-gplink -Name DemoPolicy -target "dc=demodomain,dc=com" PS > Set-GPRegistryValue-Name DemoPolicy -Key "HKLMoftwareyApplication" -ValueName "Installpath“ -Value “C:rogram FilesyApplication” -Type String GPO コンピュータポリシー GPO Link DomainROOT ユーザーポリシー OU

22. 設定値が有効になるタイミング PowerShellを実行した瞬間に変わるわけではない 適用のタイミング HKLM 配下は 起動時（コンピュータポリシー） HLCU 配下はログオン時（ユーザーポリシー） バックグラウンド更新時（規定では90分に１回） 強制更新の実行後 ローカルコンピュータ ：GPUpdate.exe /force リモートコンピュータ 単一コンピュータとの対話モード：Enter-PSSessionコマンドレット 複数コンピュータ：Invoke-Commandコマンドレット DCでは5分に1回 単体ではリモートで実行できない これが噂の PowerShell リモーティング

23. バックグラウンド更新間隔を変更するには [コンピュータの構成] - [ポリシー] - [管理用テンプレート] - [システム] - [グループポリシー] - [コンピューターのグループポリシーの更新間隔] 更新間隔 0分 ～ 64800分 オフセット 0分 ～ 1440分 [ユーザーの構成] - [ポリシー] - [管理用テンプレート] - [システム] - [グループポリシー] - [ユーザーのグループポリシーの更新間隔] 更新間隔 0分 ～ 64800分 オフセット 0分 ～ 1440分

24. PowerShell リモーティングとは 3種類のリモーティング -ComputerNameパラメタ 30種類のコマンドレットが対応 複数のコンピュータを指定可能 対話モード（Enter-PSSession コマンドレット） SSHのような使い方 Invokeモード（Invoke-Command コマンドレット） -ComputerNameに対応していないコマンドで使用 複数のコンピュータに対して一括実行 コマンド単体（-scriptblock）、PS1スクリプト（-filepath）の指定が可能 送受信双方でリモーティングの準備が必要

25. 30 ComputerNamecmdlets TROUBLESHOOTING Restart-Computer Stop-Computer Test-Connection Get-Counter EVENTLOG Show-EventLog Write-EventLog Limit-EventLog Get-EventLog Remove-EventLog New-EventLog Clear-EventLog Get-WinEvent GENERAL Get-HotFix Receive-Job Get-Process Set-Service Get-Service WMI Register-WmiEvent Set-WmiInstnace Invoke-WmiMethod Get-WmiObject Remove-WmiObject WSMAN Disconnect-WSMan Test-WSMan Connect-WSMan Invoke-WSManAction Get-WSManInstance Remove-WSManInstance Set-WSManInstance New-WSManInstance REMOTING Remove-PSSession Get-PSSession New-PSSession Enter-PSSession Invoke-Command

26. PowerShell リモーティングの準備 要件 Windows PowerShell 2.0 or later The Microsoft .NET Framework 2.0 or later Windows Remote Management 2.0 対応OS Windows Vista/ 2008 以降 管理者権限でPowerShellを起動 リモーティングを有効にするには（送受信双方で実行） enable-psremoting を実行 WinRMサービスを起動 WinRMサービスを「自動」に設定 WinRM リスナを作成 WS-Management（HTTP）のFirewall例外を有効にする PowerShell セッション構成を有効にする（Microsoft.PowerShell/ Microsoft.PowerShell32） 有効化の確認方法 Get-PSSessionConfiguration | Format-Listでセッション構成を確認 new-pssession コマンドレットでセッションが作成できること Set-WSManQuickConfig

27. PowerShell セッション（PSSessions） コマンドの実行空間 セッション内ではデータの共有が可能 通常はテンポラリセッションが作成され、コマンド終了後に削除される PS C:amp;gt; $A = 1 PS C:amp;gt; $B = 2 PS C:amp;gt; $C = $A + $B これをリモートコンピュータで実行する場合 Enter-PSSessionを使用 Invoke-Command を使用 PS>Enter-PSSession........ [CL1]: PS > $A = 1 [CL1]: PS > $B = 2 [CL1]: PS > $C = $A + $B PS>Exit-PSSession PS>Invoke-Command .......-ScriptBlock {$A=1} PS>Invoke-Command .......-ScriptBlock {$B=2} PS>Invoke-Command .......-ScriptBlock {$C=...} 1つのセッション

28. PSSessionを維持するには セッションの作成：New-PSSession セッションの削除：Remove-PSSession セッション一覧：Get-PSSession PS C:amp;gt; $A = 1 PS C:amp;gt; $B = 2 PS C:amp;gt; $C = $A + $B これをInvoke-Commandで実行する場合 CL01上にセッションを作成 PS > $S = New-PSSession-ComputerName CL01 PS >Invoke-Command -session $S -ScriptBlock {$A=1} PS > Invoke-Command-session $S -ScriptBlock{$B=2} PS > Invoke-Command-session $S -ScriptBlock{$C=$A+$B} PS > Remove-Session $S

29. PowerShell リモーティングを有効にする GPUpdate/force をリモーティングで実行 Enter-PSSessionの場合 Enter-PSSession–ComputerName<ComputerName>; gpupdate /force; Exit-PSSession; Invoke-Command の場合 リモートからの強制更新を行うには Hogehoge.ps1 PS> .ogehoge.ps1 PS > Invoke-Command -computername <ComputerName> -scriptblock {cmd /c gpupdate /force} ※今回はコマンドが1つなのでセッションは気にしなくてもよい

30. 複数のコンピュータを強制更新 方法1：コンピュータ名を並べる Invoke-Command -computernameCL01,CL02,CL03 -scriptblock {cmd /c gpupdate /force} 方法２：コンピュータ名一覧をテキストファイルで用意する Invoke-Command -computername(Get-Contentc:mposts.txt) -scriptblock {cmd /c gpupdate /force} c:mposts.txt CL01 CL02 CL03 ・ ・

31. 適用されたグループポリシーの確認 適用された結果が、「グループポリシー結果セット」に格納されている GPO RSOP グループポリシー結果セット 複数のコンピュータを指定することはできない コンピュータポリシーのみ PS >Get-GPResultantSettoPolicy -Computer CL01 -ReportType HTML-Path C:mpL01.html 指定したユーザー＋コンピュータポリシー PS >Get-GPResultantSettoPolicy -Computer CL01 -ReportType HTML-User user01 -Path C:mpL01.html XMLも可能

32. グループポリシーの信頼性① グループポリシーはドメインコントローラ間で複製される（マルチマスター） ドメインコントローラ クライアント（ドメインメンバー） GPO この中の どれか から 適用 複製 GPO GPO

33. グループポリシーの信頼性② 起動時/ログオン時に必ず適用 バックグラウンド適用（規定で90分に1回） 時間軸 コンピュータポリシー適用 起動 GPO ユーザーポリシー適用 ログオン GPO 90分 適用 GPO 90分 適用 GPO

34. グループポリシーによるロール管理 サイトやOU単位に異なる設定を適用 保存ボタン無効 DomainROOT GPO OU：業務部 OU：総務課 ボタンは無効になる OU：経理課 保存ボタン有効 OU：システム部 GPO

35. 環境設定レポート GPO RSOP グループポリシーのレポート機能を使用する HTML形式 かXML形式 PS > Get-GPOReport-Name “DempPolicy” -ReportType HTML -Path C:moemoPolicy.html

36. グループポリシーのバックアップと復元 作成したGPOはバックアップが可能 GPOは他のサーバーにリストアが可能 配布パッケージ GPO 顧客A GPO 顧客B GPO バックアップ PS >Backup-GPO -Name “DemoPolicy” -Path C:mp フォルダのパス リストア PS >Restore-GPO -Name “DemoPolicy” -Path C:mp

37. まとめ グループポリシーに任せることによって 環境設定の信頼性を高められます 環境設定の柔軟性を高められます 開発コストを確実に低減できます Windows Server 20008 R2 によって グループポリシーの敷居が下がります グループポリシーがprogrammable になります 使わないと損です！

38. http://www.microsoft.com/japan/powerpro/TF/