地味な作業の支えになります、AGPM|Windows Server|ブログ|Computerworld

世界的に有名なサックス奏者、キャンディ・ダルファーの1993年のアルバム『Sax-A-Go-Go』をご存知でしょうか？ 当時、学生時代を過ごしていた私はキャンディ・ダルファーのCD（しかも中古）を買うお金がなく、一点物の中古CDをだれかに買われてしまわないように、演歌歌手のコーナーに突っ込んでおいたものです（注：購入するときに店長に素直に謝ったら許してくれました）。

このアルバム、「Sax-A-Go-Go」や「2 Funky」など、曲名を見るだけでも軽快なダンスミュージックだとすぐにわかる曲ばかりなのですが、そんな中に「Man in the Desert」というマイナーコードから始まる地味な曲があります。しかし、地味な曲があるからこそアルバム全体が引き締まるように、IT管理者として仕事をするときにも、黙々と行う地味な作業でも、やらなければならないことがあると思います。私が思うに、地味な作業の代表格は「グループポリシー」の設定でしょう。3,000項目もあるGPO（Group Policy Object）と格闘しながら基盤系システムを最適化していく感覚、とっても地味だと思います。

そんな地味な作業を進めるうえでの支えに、前回紹介した「Advanced Group Policy Management（AGPM）」を活用するのは面白いと思います。地味な作業をやり抜いたときに「ほら、見て！」とだれかに言いたくなる瞬間がありますが、AGPMは「承認」というプロセスを経て、GPOが実環境で利用可能になるので、承認者に「ほら、見て！」と言える瞬間があるのです。「承認」というと、上司にグチグチ言われながらもお願いする、というイメージがありますが、グループポリシーの場合、作業自体が地味なので「承認」のプロセスは、いわば上司への「発表会」になるのです。そう考えると、AGPMを導入してグループポリシーを設定するのがちょっと楽しくなりませんか？

前回、AGPMの「承認」についてはすでに紹介したので、そのほかの楽しくも、役に立つ機能をいくつか書き留めておきますので、実際に利用するときの参考にしてください。

■GPOのチェックイン／チェックアウト
GPOはPDC（Primary Domain Controller）エミュレータになっているドメインコントローラで一元管理されるというシンプルな仕組みなので、高度な排他制御機能がありません。GPOのチェックイン／チェックアウトは、チェックアウトを事前に行ったユーザーだけがGPOの編集ができるという仕組みで、排他制御を実現します。編集が終わったら、チェックインの操作を行うことで排他制御が終了し、ほかのユーザーがGPO編集可能な状態になります。

■履歴の確認
教科書的には、ドキュメントをきちんと残しておきながらGPOを設定しましょう、なんていうのだけど、ついついドキュメントも残さずにGPOを設定してしまいがち。すると、どこを設定したか、わからなくなってしまいますが、AGPMでは履歴機能があります。GPOの履歴画面を出すと、GPO編集の履歴とともにそのときに行った設定も確認できるので、「この間、どこを設定したっけ？」なんてときにも便利です。

■GPOのごみ箱機能
GPMCからGPOを削除した場合、その時点で完全にActive Directoryから消えてしまいます。しかし、AGPMからGPOを削除した場合、いきなり完全削除せずに「ごみ箱」に入ります。そのため、必要に応じてGPOの復元が可能になります。

■混乱しやすいので注意したいこと
AGPMでGPOを管理すると、「アーカイブ」と「実稼働」という概念が登場します。「アーカイブ」とは画面の「変更制御」の項目を指し、「実稼働」は画面の「グループポリシーオブジェクト」の項目を指します。ですので、「アーカイブ」とはステージング環境（テスト環境）で、「実稼働」は本番環境になると思ってください。「アーカイブ」と「実稼働」は、GPOを作成するときや削除するときなどに登場する用語なので、AGPMを使うときには是非覚えておいてください。

いかがでしたでしょうか？ 昔だったら、一度設定したGPOは永遠に変更することもなく利用し続けることになると思いますが、今ではグループポリシーでできることも増えてきているので、柔軟なGPO適用が求められることも多くなっています。そのため、AGPMのようなツールを利用してGPO運用を最適化するというのは、これから重要な要素になると思います。