Windowsグループポリシーの理解

Windowsグループポリシーは、Windows 2000/XPおよびActive Directoryに対応した拡張可能ポリシーの拡張機能です。WindowsグループポリシーとDesktop Management拡張可能ポリシーでは、［ユーザの構成］>［管理用テンプレート］の下位にある設定のように、一部のポリシー設定が異なります。拡張可能ポリシーの詳細については、拡張可能コンピュータポリシー/拡張可能ユーザポリシー(ワークステーションパッケージ/ユーザパッケージ)を参照してください。

注:  Windows 2000ドメインコントローラ上では、ConsoleOneを使用してグループポリシーを設定できません。ConsoleOneを使用してグループポリシーを編集する場合、Windows 2000のグループポリシーを編集するときはWindows 2000ワークステーションを使用し、Windows XPのグループポリシーを編集するときはWindows XPワークステーションを使用してください。

ワークステーションがActive Directoryドメインのメンバーになっているが、ワークステーションとActive Directoryドメインとの接続が解除されている場合、ユーザパッケージとワークステーションパッケージの両方に格納されているWindowsグループポリシーは適用されません。

このポリシーをDesktop Managementにインポートする場合は、次の理由から、ネットワークに割り当てられたドライブではなく、UNCパスを使用する必要があります。

• ユーザが各自のログインスクリプトを変更して、ドライブの割り当てを変更することができる。
• ワークステーションオブジェクトは、ユーザがログインする前にログインする場合が多いので、ドライブの割り当てを利用することができない。

UNCパスを使用しておけば、サーバが使用可能であれば、ポリシーを見つけることができます。

グループポリシーは、ZENworks for Desktops 3のリリース以降大幅に変更されています。詳細については、次の節を参照してください。

• 追加形式のグループポリシー
• リビジョンチェック
• グループポリシーのキャッシュ
• 持続設定および一時設定
• ターミナルサーバでのグループポリシーの使用

ユーザパッケージのWindowsグループポリシーの設定

1. ConsoleOneで、ユーザパッケージを右クリックし、［プロパティ］をクリックして、該当するプラットフォームページをクリックします。

   適切なプラットフォームページを選択するには、次の点を考慮してください。

   • ［Windows NT］: Windows NTプラットフォームでのDesktop Managementのサポートに関する詳細については、『Novell ZENworks 6.5 Desktop Managementインストールガイド』の「Windows NT 4ワークステーションとの相互運用性」を参照してください。

   • ［Windows NT-2000-XP］プラットフォームページ: Windows 2000とWindows XPでは、セキュリティ設定の保存方法が異なるため、［Windows NT-2000-XP］プラットフォームページを使用してWindowsグループポリシーを編集することはできません。Windows 2000の場合、セキュリティ設定はgpttml.infファイルに保存されますが、Windows XPではxpsec.datファイルに保存されます。いずれのファイルも\group policies\machine\microsoft\windows nt\seceditディレクトリにあります。

     ZENworks 6.5 SP1では、［Windows NT-2000-XP］プラットフォームページの［編集］オプションが無効になっているので、いずれかのプラットフォームページを使用してグループポリシーを編集する必要があります。

2. ［使用可能］列の下にある、Windowsグループポリシーのチェックボックスを選択します。

   この操作により、ポリシーが選択されると同時に有効になります。

3. ［プロパティ］をクリックして［Windowsグループポリシー］ページを表示します。

   
   

4. 新規または既存のグループポリシーのネットワーク上の場所を指定します。

   このネットワーク上の場所にアクセスするための十分な権利をユーザが持っていることを確認します。

   ［既存/新規のグループポリシーのネットワーク上の場所］フィールドに環境変数を使用する場合は、ConsoleOneを実行している管理ワークステーションと、グループポリシーを受け取るすべてのワークステーションで環境変数を設定しておく必要があります。環境変数を認識させるには、ConsoleOneを終了して再起動する必要があります。

5. (条件付き) Active Directoryからグループポリシーをインポートするには、［ポリシーのインポート］をクリックします。

   詳細については、Windowsグループポリシー(ユーザパッケージおよびワークステーションパッケージ)のインポートを参照してください。

6. (条件付き)既存のグループポリシーを編集する場合は、［ポリシーの編集］をクリックします。

   詳細については、既存のWindowsグループポリシー(ユーザパッケージおよびワークステーションパッケージ)の編集を参照してください。

7. (省略可能)［ユーザのログアウト時にグループポリシーを無効にしない］チェックボックスを選択すると、ユーザがログアウトした後もローカルWindowsデスクトップ上で配布されたグループポリシーが引き続き有効になります。

   重要:  ユーザグループポリシーが共通ワークステーション上の複数のユーザに配布される環境では、［ユーザのログアウト時にグループポリシーを無効にしない］の設定と［ユーザの環境設定をキャッシュする］の設定の両方を使用することはお勧めしません。

8. (省略可能)［ユーザの環境設定をキャッシュする］チェックボックスを選択します。

   ユーザの環境設定をキャッシュに入れることは、［ユーザのログアウト時にグループポリシーを無効にしない］チェックボックスを選択することとは異なります。

   ［ユーザのログアウト時にグループポリシーを無効にしない］オプションを使用すると、管理者は、最後にログオンしたユーザのグループポリシー設定を維持できます。この方法に伴う制限は、ローカルに(ワークステーションにのみ)ログインしたすべてのユーザに、同じワークステーション上でネットワークにログインした最後のユーザのグループポリシー設定が渡されることです。ある特定のワークステーション上でネットワークにログインした最後のユーザが管理者であった場合、それ以降ローカルにログインするすべてのユーザは管理者のポリシー設定を受け取ることになります。

   この状況を回避するには、［ユーザの環境設定をキャッシュする］チェックボックスを選択して、各ユーザの設定をキャッシュに格納できるようにします。

   ユーザパッケージのWindowsグループポリシーでキャッシュ設定を有効にする場合は、次の点を考慮してください。

   • ユーザ設定のキャッシュ機能は、NetWareまたはWindowsのいずれでもバックエンドで機能します。バックエンドでWindowsサーバを使用する場合は、次のことを考慮してください。
     • ユーザは、キャッシュに入れられたドメインアカウントではなく、ローカルユーザアカウントでログインする必要があります。Windowsグループポリシー設定は、ユーザがドメインにログインしている限り、ドメインアカウントに適用されます。ユーザがドメインにログインしないで、キャッシュに入れられたドメインアカウントを使用した場合、Desktop ManagementのWindowsグループポリシー設定は適用されません。
     • Active Directoryサーバ上にグループポリシーファイルを保存する場合、Active Directoryのユーザ名およびパスワードとeDirectoryのアカウント情報が一致する必要があります。
   • ユーザは、一意のローカルユーザアカウントを持つ必要があります。Windowsグループポリシー設定は、ローカルユーザのプロファイル内のキャッシュに入れられます。したがって、ユーザの持つ有効なWindowsグループポリシーが異なる場合、そのユーザは異なるローカルユーザアカウントを持つ必要があります。
   • 各ユーザは、設定をキャッシュに入れるコンピュータ上にプロファイルを持つ必要があります。ローカルユーザアカウントを使用するか、またはDLU(ダイナミックローカルユーザ)アカウントを使用することにより、このプロファイルを提供できます。ただしこのアカウントを削除することはできません。一時的ユーザアカウントを使用したか、またはキャッシュに入れられた期限切れの一時的ユーザアカウントを使用したために、DLUポリシーによってローカルユーザアカウントが削除されると、ユーザはローカルにログインできなくなります。
   • \user\registry.polファイルに含まれている設定のみがキャッシュに入れられます。この設定は、グループポリシーエディタ内のユーザ設定にほぼ相当します。ただし、\UserのScriptsフォルダに保存されるためにキャッシュに入れられないログオン/ログオフスクリプトは除きます。

   ［ユーザの環境設定をキャッシュする］チェックボックスを選択すると、各ユーザの有効なWindowsグループポリシーのユーザ環境設定が各ユーザのローカルプロファイルに保存されます。各ユーザがローカルにログインすると、そのユーザのプロファイル内でキャッシュに入れられたregistry.polのコピーからユーザ設定が読み込まれたうえで適用されます。Userフォルダ内のregistry.polファイルに保存されている設定のみがキャッシュに入れられます。ログオン/ログオフスクリプト、コンピュータ設定、セキュリティ設定などのその他の設定はキャッシュに入れられません。

   重要:  ユーザグループポリシーが共通ワークステーション上の複数のユーザに配布される環境では、［ユーザのログアウト時にグループポリシーを無効にしない］の設定と［ユーザの環境設定をキャッシュする］の設定の両方を使用することはお勧めしません。

9. ［適用された設定タイプ］ボックスで、目的のオプションを有効にします。

   これらのオプションでは、Windowsのユーザ、コンピュータ、およびセキュリティの設定がユーザポリシーまたはワークステーションポリシーと共に配布されます。この動作は、ユーザ設定がユーザパッケージと共に配布され、コンピュータ設定およびセキュリティ設定がワークステーションパッケージと共に配布されていた以前のリリースの動作とは異なります。

   ［ユーザの環境設定］: ［ユーザの環境設定］の下位にある設定をWindowsグループポリシーと共に配布する場合に選択します。

   ［コンピュータの環境設定］: ［コンピュータの環境設定］(［セキュリティの設定］を除く)の下位にある設定をWindowsグループポリシーと共に配布する場合に選択します。

   セキュリティの設定: Windowsのセキュリティ設定をWindowsグループポリシーと共に配布する場合に選択します。このオプションを選択すると、［アカウント ポリシー］、［ローカル ポリシー］、［公開キーのポリシー］、［ローカル コンピュータの IP セキュリティ ポリシー］など、［コンピュータの構成］>［Windows の設定］>［セキュリティの設定］の下位にあるすべてのセキュリティ設定が適用されます。個々のポリシーを適用することはできません。ポリシーは追加形式ではありません。

   注:  ターミナルサーバに適用されるのは、［適用された設定タイプ］の下位にある［ユーザの環境設定］の設定のみです。［コンピュータの環境設定］および［セキュリティの設定］は、ターミナルサーバには使用できません。

10. ［ポリシースケジュール］タブをクリックし、スケジュールの種類を選択します。

       パッケージスケジュール

       イベント

       曜日

       週

       月

       年

    ［詳細設定］をクリックすると、［完了］、［フォルト］、［偽装］、［優先度］、［時間制限］など、追加設定を指定できます。これらの各設定の詳細については、それぞれのページで［ヘルプ］ボタンをクリックしてください。

11. ［OK］をクリックしてポリシーを保存します。

12. このパッケージの全ポリシーの設定が終了したら、ユーザパッケージまたはワークステーションパッケージの関連付けの手順を実行し、ポリシーパッケージを関連付けます。

ワークステーションパッケージのWindowsグループポリシーの設定

1. ConsoleOneで、ワークステーションパッケージを右クリックし、［プロパティ］をクリックして、該当するプラットフォームページをクリックします。

   適切なプラットフォームページを選択するには、次の点を考慮してください。

   • ［Windows NT］: Windows NTプラットフォームでのDesktop Managementのサポートに関する詳細については、『Novell ZENworks 6.5 Desktop Managementインストールガイド』の「Windows NT 4ワークステーションとの相互運用性」を参照してください。

   • ［Windows NT-2000-XP］プラットフォームページ: Windows 2000とWindows XPでは、セキュリティ設定の保存方法が異なるため、［Windows NT-2000-XP］プラットフォームページを使用してWindowsグループポリシーを編集することはできません。Windows 2000の場合、セキュリティ設定はgpttml.infファイルに保存されますが、Windows XPではxpsec.datファイルに保存されます。いずれのファイルも\group policies\machine\microsoft\windows nt\seceditディレクトリにあります。

     ZENworks 6.5 SP1では、［Windows NT-2000-XP］プラットフォームページの［編集］オプションが無効になっているので、いずれかのプラットフォームページを使用してグループポリシーを編集する必要があります。

2. ［使用可能］列の下にある、Windowsグループポリシーのチェックボックスを選択します。

   この操作により、ポリシーが選択されると同時に有効になります。

3. ［プロパティ］をクリックして［Windowsグループポリシー］ページを表示します。

   
   

4. 新規または既存のグループポリシーのネットワーク上の場所を指定します。

   このネットワーク上の場所にアクセスするための十分な権利をユーザが持っていることを確認します。

   ［既存/新規のグループポリシーのネットワーク上の場所］フィールドに環境変数を使用する場合は、ConsoleOneを実行している管理ワークステーションと、グループポリシーを受け取るすべてのワークステーションで環境変数を設定しておく必要があります。環境変数を認識させるには、ConsoleOneを終了して再起動する必要があります。

5. (条件付き) Active Directoryからグループポリシーをインポートするには、［ポリシーのインポート］をクリックします。

   詳細については、Windowsグループポリシー(ユーザパッケージおよびワークステーションパッケージ)のインポートを参照してください。

6. (条件付き)既存のグループポリシーを編集する場合は、［ポリシーの編集］をクリックします。

   詳細については、既存のWindowsグループポリシー(ユーザパッケージおよびワークステーションパッケージ)の編集を参照してください。

7. (省略可能)［ワークステーション設定を保持する］チェックボックスを選択します。

   このオプションを設定すると、ワークステーションパッケージのWindowsグループポリシー内でDesktop Managementによってサポートされているすべてのワークステーション設定(ユーザ、コンピュータ、およびセキュリティの設定)を、ネットワーク接続の有無にかかわらず、有効な状態で維持(キャッシュに格納)できます。

   ワークステーションパッケージのWindowsグループポリシーでキャッシュ設定を有効にする場合は、次の点を考慮してください。

   • ワークステーション設定の保持機能は、NetWareまたはWindowsのいずれでもバックエンドで機能します。バックエンドでWindowsサーバを使用しており、同時にWindowsグループポリシーファイルをWindowsサーバに保存する場合は、ワークステーションをそのドメインのメンバーにする必要があります。
   • ワークステーションの保持設定を使用するには、設定をキャッシュに格納する対象のワークステーションに関連付けられたWindowsグループポリシー内で、［グループポリシーのループバックサポート］オプションを有効にできません(これには、［置換モード］オプションまたは［統合モード］オプションのいずれかが含まれます)。ループバックサポートを有効にしないことで、ユーザのポリシー内の環境設定とワークステーションパッケージのWindowsグループポリシー内の環境設定で矛盾する設定が存在する場合に、常にユーザのポリシー内の環境設定が優先することになります。

   ［ワークステーション設定を保持する］チェックボックスを選択すると、ワークステーションがワークステーションオブジェクトとしてネットワークにログインできない場合でも(たとえば、ワークステーションのネットワークへの接続が解除されている場合)、windows_directory\system32\group policy.wkscache内にすでに保存されている、ワークステーションの有効なWindowsグループポリシー設定が適用されます。

8. ［適用された設定タイプ］ボックスで、目的のオプションを有効にします。

   これらのオプションでは、Windowsのユーザ、コンピュータ、およびセキュリティの設定がユーザポリシーまたはワークステーションポリシーと共に配布されます。この動作は、ユーザ設定がユーザパッケージと共に配布され、コンピュータ設定およびセキュリティ設定がワークステーションパッケージと共に配布されていた以前のリリースの動作とは異なります。

   ［ユーザの環境設定］: ［ユーザの環境設定］の下位にある設定をWindowsグループポリシーと共に配布する場合に選択します。

   ［コンピュータの環境設定］: ［コンピュータの環境設定］(［セキュリティの設定］を除く)の下位にある設定をWindowsグループポリシーと共に配布する場合に選択します。

   セキュリティの設定: Windowsのセキュリティ設定をWindowsグループポリシーと共に配布する場合に選択します。このオプションを選択すると、［アカウント ポリシー］、［ローカル ポリシー］、［公開キーのポリシー］、［ローカル コンピュータの IP セキュリティ ポリシー］など、［コンピュータの構成］>［Windows の設定］>［セキュリティの設定］の下位にあるすべてのセキュリティ設定が適用されます。個々のポリシーを適用することはできません。ポリシーは追加形式ではありません。

9. (省略可能)［グループポリシーのループバックサポート］チェックボックスを選択して、モードを選択します。

   このオプションを有効にすると、ワークステーションパッケージポリシーがユーザパッケージポリシーよりも優先されます。ループバックサポートには、次に示す置換と統合の2つのモードがあります。

   ［ユーザのポリシー設定を適用しない(置換モード)］: このモードを選択すると、すべてのユーザポリシー設定が無視され、ワークステーションポリシー設定が適用されます。

   ［ワークステーションのポリシー設定を最後に適用する(統合モード)］: このモードを選択すると、最初にユーザポリシー設定が適用され、次にワークステーションポリシー設定が適用されます。このモードでは、ユーザ設定が適用されますが、ワークステーション設定と競合する設定は、ワークステーション設定によって置き換えられます。ユーザ設定に競合がない場合は、有効なまま維持されます。

10. ［ポリシースケジュール］タブをクリックし、スケジュールの種類を選択します。

       パッケージスケジュール

       イベント

       曜日

       週

       月

       年

    グループポリシー設定がロードされる前にWindowsデスクトップファイルのロードが完了するため、ワークステーションパッケージ内のグループポリシーによっては、それがユーザログイン時に実行するようにスケジュールが設定されていると、奇妙な動作を示すことがあります。特に、ログインスクリプトを使用することによってユーザのログイン時にプログラムが実行されるようスケジュールを設定した場合、デスクトップ設定の変更(［マイネットワーク］の非表示や、デスクトップ上の全アイコンの非表示など)は適用されず、プログラムは実行されません。ユーザがログオフして再びログオンすると、設定は正しく表示されます。

    このような動作を防止するには、ワークステーションパッケージ内で、ユーザログイン時に実行するようにグループポリシーを設定することを避けます。その代わりに、システム起動時、日単位またはその他の定期的なスケジュールでグループポリシーを実行するように設定します。

    起動スクリプトを実行するようグループポリシーを設定し、これらのポリシーがシステムの起動時に実行されるようにスケジュールを設定する場合は、ステップ 7で、［ワークステーション設定を保持する］オプションを選択します。Windows 2000/XPによる起動スクリプトの検索と実行は、Workstation Managerがポリシーを認証して適用する前に行なわれるため、起動スクリプトの実行を設定したグループポリシーをシステムの起動時に実行するようにスケジュールすると、実行できない場合があります。［ワークステーション設定を保持する］オプションを選択すると、ワークステーションパッケージグループポリシーの設定(および起動スクリプト)は、キャッシュに格納され、次のシステム起動時に正常に適用されます。

    ［詳細設定］をクリックすると、［完了］、［フォルト］、［偽装］、［優先度］、［時間制限］など、追加設定を指定できます。これらの各設定の詳細については、それぞれのページで［ヘルプ］ボタンをクリックしてください。

11. ［OK］をクリックしてポリシーを保存します。

12. このパッケージの全ポリシーの設定が終了したら、ユーザパッケージまたはワークステーションパッケージの関連付けの手順を実行し、ポリシーパッケージを関連付けます。

既存のWindowsグループポリシー(ユーザパッケージおよびワークステーションパッケージ)の編集

1. ConsoleOneで、ユーザパッケージまたはワークステーションパッケージを右クリックし、［プロパティ］をクリックして、該当するプラットフォームページをクリックします。

2. ［使用可能］列の下にある、Windowsグループポリシーのチェックボックスを選択します。

   この操作により、ポリシーが選択されると同時に有効になります。

3. ［プロパティ］をクリックして［Windowsグループポリシー］ページを表示します。

4. 新規または既存のグループポリシーのネットワーク上の場所を指定します。

5. ［ポリシーの編集］をクリックします。

   ［ポリシーの編集］ボタンをクリックすると、MMCエディタが起動します。このエディタを使用して、ユーザパッケージポリシーやワークステーションパッケージポリシーを編集できます。詳細については、ダイアログボックスの［ヘルプ］をクリックしてください。ポリシーの編集が終わったら、［閉じる］ボタンをクリックします。

   グループポリシーを編集する際には、次の点に注意してください。

   • ディレクトリパス: データを破壊する可能性があるため、正しいディレクトリパスを選択していることを確認してください。選択されたディレクトリおよびAdm、User、Machineの各サブディレクトリ内にあるすべてのファイルは、それらのディレクトリにアクティブディレクトリグループポリシーがコピーされる前に削除されます。

   • Windows XPで編集できないセキュリティ設定: Windows XPに変更があったために、現時点ではDesktop Managementを使用して次のWindows XPセキュリティ設定を編集できません。

     • ［コンピュータの環境設定］>［Windows設定］>［セキュリティの設定］>［アカウントポリシー］>［パスワードポリシー］:

          ［パスワードは要求する複雑さを満たす］
          ［暗号化を元に戻せる状態でドメインのすべてのユーザのパスワードを保存する］

     • ［セキュリティの設定］>［ローカル ポリシー］>［セキュリティ オプション］:

          ［ネットワーク アクセス: 匿名のSIDと名前の変換を許可する］
          ［Accounts: Administrator Account Status(アカウント: 管理者アカウントステータス)］
          ［Accounts: Guest Account Status(アカウント: Guestアカウントステータス)］

   • ZENworks 6.5 SP1におけるオペレーティングシステムのバージョンおよびサービスパックレベルのチェック: ZENworks 6.5 SP1には、グループポリシーを編集するすべてのプラットフォーム(Windows 2000、Windows XP、およびWindows Server 2003)において、グループポリシーの編集中にオペレーティングシステムのバージョンおよびサービスパックレベルをチェックする新しい機能が追加されました。たとえば、Windows XP SP1以前のワークステーションで作成されたグループポリシーをWindows XP SP2ワークステーションで編集しようとすると、ZENworks SP1が警告ダイアログボックスを表示します。ZENworks 6.5 SP1でも、Windows XPまたはWindows XP SP1がインストールされているワークステーションを使用している場合、Windows XP SP2ワークステーションで作成されたグループポリシーを編集できないようになっています。

   • ZENworks 6.5 SP1を使用したグループポリシー設定の無効化: ZENworks 6.5 Support Pack 1 (SP1)では、特定のグループポリシー設定を無効にした後も、ポリシーの編集が可能になる機能が追加されました。

     以前のバージョンのZENworksでは、特定の設定を無効にするとグループポリシーエディタが無効になり、それからはそのポリシーを編集できなくなりました。その設定を次に示します(OSやサービスパックレベルによっては、表示されない設定もあります)。

     • ［ユーザの環境設定］>［管理用テンプレート］>［Windows Components(Windowsコンポーネント)］>［Microsoft Management Console(Microsoft管理コンソール)］:

          ［Restrict the user from entering author mode(ユーザが作成モードに入るのを制限する)］
          ［Restrict users to the explicitly permitted list of snap-ins(ユーザがスナップインの明示的に許可されたリストに含まれることを制限する)］

     • ［ユーザの環境設定］>［管理用テンプレート］>［Windows Components(Windowsコンポーネント)］>［Microsoft Management Console(Microsoft管理コンソール)］>［Restricted/Permitted Snap-ins(制限/許可されたスナップイン)］>[Group Policy(グループポリシー)]:

          ［Group Policy Management(グループポリシー管理)］
          ［Group Policy Object Editor(グループポリシーオブジェクトエディタ)］

     • ［ユーザの環境設定］>［管理用テンプレート］>［Windows Components(Windowsコンポーネント)］>［Microsoft Management Console(Microsoft管理コンソール)］>［Restricted/Permitted Snap-ins(制限/許可されたスナップイン)］>[Group Policy(グループポリシー)]>［Group Policy snap-in extensions(グループポリシースナップイン拡張)］:

          ［Administrative Templates (Computers)(管理用テンプレート(コンピュータ))］
          ［Administrative Templates (Users)(管理用テンプレート(ユーザ))］
          ［Folder Redirection(フォルダのリダイレクト)］
          ［Internet Explorer Maintenance(Internet Explorerのメンテナンス)］
          ［Remote Installation Services(リモートインストールサービス)］
          ［Scripts (Logon/Logoff)(スクリプト(ログオン/ログオフ))］
          ［Scripts (Startup/Shutdown)(スクリプト(起動/シャットダウン))］
          ［セキュリティの設定］
          ［Software Installation (Computers)(ソフトウェアのインストール(コンピュータ))］
          ［Software Installation (Users)(ソフトウェアのインストール(ユーザ))］
          ［Wireless network (IEEE 802.11) Policies(ワイヤレスネットワーク(IEEE 802.11)ポリシー)］

     以上のいずれかの設定を無効にした後でポリシーを編集しようとすると、ポリシーによってスナップインが制限されたという内容のエラーメッセージが表示されます。さらに、グループポリシーエディタは開きません。

     ZENworks 6.5 SP1ではこの問題を回避するために、これらの設定がグループポリシーから削除され、ローカルの一時的な場所に保存されます。ユーザがエディタを閉じると、新しく設定されたグループポリシーの設定と一時ファイルの設定が統合されます。エディタを使用している間にこれらの設定を変更し、それが一時ファイルに保存されている設定と競合した場合には、一時ファイルに移動された元の設定ではなく新しい設定が優先されます。

   • Windows XP SP2とZENworks 6.5の使用:Windows XP SP2には、グループポリシーのセキュリティ設定に、［グローバルオブジェクトの作成］と［認証後にクライアントを偽装］という2つの新しいユーザ権利の割り当てが含まれています。ユーザ権利の割り当ては、グループポリシーエディタ(gpedit.msc)の［コンピュータの環境設定］>［Windowsの設定］>［セキュリティの設定］>［ローカルポリシー］>［ユーザ権利の割り当て］にあります。

     この変更により、Windows XP SP1以前のワークステーションで作成されたグループポリシーをWindows XP SP2ワークステーションを使って編集した場合、またその逆の場合に、ポリシーはWindows XP SP2設定で保存されます。その結果、Windows XP SP1以前のワークステーションに保存した場合に問題が発生する可能性があります。

     ZENworks 6.5 SP1ではなくZENworks 6.5を使用する場合は、既知の問題があるので、Windows XP SP2にアップグレードしないでグループポリシーを管理することをお勧めします。この問題は、ZENworks 6.5 SP1で解決されました。

     すでにWindows XP SP2をインストールしていて、ZENworks 6.5を継続して使用する場合については、TID10095342を参照してください。

6. ［OK］をクリックしてポリシーを保存します。

Windowsグループポリシー(ユーザパッケージおよびワークステーションパッケージ)のインポート

1. ConsoleOneで、ユーザパッケージまたはワークステーションパッケージを右クリックし、［プロパティ］をクリックして、該当するプラットフォームページをクリックします。

2. ［使用可能］列の下にある、Windowsグループポリシーのチェックボックスを選択します。

   この操作により、ポリシーが選択されると同時に有効になります。

3. ［プロパティ］をクリックして［Windowsグループポリシー］ページを表示します。

4. 新規または既存のグループポリシーのネットワーク上の場所を指定します。

5. Active Directoryからグループポリシーをインポートする場合は、［ポリシーのインポート］をクリックし、フィールドに入力します。

   1. 次のインポートオプションを選択します。

      ［Active Directoryフォルダ全体をインポートする］: このオプションを選択すると、Active Directoryフォルダにあるすべてのグループポリシーをインポートできます。このオプションを選択した場合は、［ソースの場所］フィールドで、Active Directoryで作成したグループポリシーのうち、［グループポリシーの移行先］フィールドに表示されているディレクトリに移行するグループポリシーが格納されているフォルダへのUNCパスを指定します。アクティブディレクトリグループポリシーのインポート元にするディレクトリについて一意の名前を知っているか、参照することが必要です。一意の名前を検索するには、アクティブディレクトリグループポリシーのプロパティを調べます。

      ［Import Security Settings(セキュリティ設定のインポート)］: このオプションを選択すると、ファイルからセキュリティ設定をインポートできます。このオプションを選択した場合は、［ソースの場所］フィールドで、Active Directoryで作成したセキュリティ設定のうち、［グループポリシーの移行先］フィールドに表示されているディレクトリに移行するセキュリティ設定が格納されているファイルへのUNCパスを指定します。グループポリシーにインポートするファイルの一意の名前を知っているか、参照することが必要です。

      重要:  グループポリシーに対しては、割り当て済みのドライブではなく、UNCパスを使用してください。

   2. ［インポート(Import)］をクリックします。

      この操作により、［グループポリシーの移行先］フィールドに指定したディレクトリにアクティブディレクトリグループポリシーがコピーされます。指定したディレクトリが存在しない場合、そのディレクトリは作成されます。

      警告:  ［グループポリシーの移行先］フィールドには必ず正しいディレクトリパスを選択してください。間違ったパスを選択するとデータが壊れる可能性があります。選択されたディレクトリおよびAdm、User、Machineの各サブディレクトリ内にあるすべてのファイルは、それらのディレクトリにアクティブディレクトリグループポリシーがコピーされる前に削除されます。

      インポートされたセキュリティ設定により、管理者は他のセキュリティ設定に影響を与えずに、特定のセキュリティ設定だけを設定することができます。セキュリティ設定は、アクティブディレクトリグループポリシーからインポートするか、またはMMC (Microsoft管理コンソール)のセキュリティの構成と分析スナップインを使用して生成することができます。

      セキュリティ設定が格納されているアクティブディレクトリグループポリシーをインポートするか、セキュリティ設定ファイルをインポートすると、インポートされた設定は、zensec.infという新しいファイルに保存されます。

      zensec.infのセキュリティ設定は、MMCでグループポリシーを編集するときに表示される通常のセキュリティ設定の代わりに使用されます。MMCに表示されるセキュリティ設定は正確ではなく、変更内容が適用されません。インポートされたセキュリティ設定がグループポリシーの編集時に検出されると、メッセージボックスが表示され、zensec.infのセキュリティ設定が通常のセキュリティ設定の代わりに使用されることと、ユーザはzensec.infファイルの設定を表示できることが通知されます。

6. ［OK］をクリックしてポリシーを保存します。