OSにライセンス料金がかかるWindows Serverを使う理由として一番に挙げられるのは、ActiveDirectory が標準で使えるからという企業はかなり多いです。
また ActiveDirectory を使う理由としては、SSO の実現と GPO を使う用途が最も多いと思います。
インフラエンジニアであれば確実に「完璧」といわれるレベルまで ActiveDirectory に精通しているほうが契約金も高くなりますし、ActiveDirectory 系の仕事は構築さえしっかりしてしまえば割とゆったりと働ける現場が多く負担がないので非常にお勧めです。
ActiveDirectory の中でも GPO は基本設計によって設定方法が目まぐるしく変わるため、フィルターやロールバックの設定などを使って企業側から出される様々な課題に答える必要があります。
よく使う方法を記載してみます。
1. フィルターとしてセキュリティフィルターを使用する。
ADのグループを対象にして対象を設定します。
気を付けなくてはいけないのは、コンピューター側のGPOは対象をPCオブジェクトにしなくてはいけませんし、ユーザー側はユーザーオブジェクトをフィルターに入れないといけません。
あまりない状況かと思いますがひとつのGPOにコンピューターとユーザーの設定を書いてある場合、すべてのコンピューターとユーザーを対象にする場合は Domain Computers と Domain Users の両方を対象にする必要があります。
2. WMIフィルターを使う。
WMIフィルターはクエリを書かないといけないので使用していない企業が多いのですが、WMIからはクライアントの情報をほぼすべて抜けるのできめ細かい設定が可能ですので是非覚えてください。
例としては Windows 7 にだけ適用、クライアント系OSにのみ適用、ある特定のOUにいるときだけ適用、サブネットが~の時だけ適用などWMIで値が取れるものはなんでも設定可能です。
WMIを使うメリットとしては、例えば~ビルの2Fにだけプリンターの~を使わせたいといった要望があった場合に、OUを分けて設定を入れる方法を採用すると部署移動の時期になると地獄を見ます。
WMIフィルターを使ってすべて同じOUにリンクしておけば、PCが移動すれば設定がOn/Offされるので管理者側の負担がかなり減ります。
3. ロールバック処理を使う。
よくあるパターンとしては、同じユーザーがファットPCとシンクライアントの両方にログオンする環境などがある場合に、シンクライアントでログオンした場合のみある設定を有効にさせたいといった場合に使います。
WMIフィルターでも全く同じことは可能ですが、ロールバックのほうがGUIから設定できるので簡単と感じる人も多いかもしれません。
ロールバック処理はコンピューター側のGPOで設定し、置換と統合のどちらかが選べます。
置換を選んだ場合は、ユーザーの本来適用されるGPOはすべて破棄されて、ロールバック処理を設定したGPOのユーザー設定の値を適用します。
統合の場合は本来適用されるGPOの設定とロールバック処理を設定したGPOのユーザー設定の値を合算して適用します。
管理側の仕事の場合、上記の方法のどれかを採用して運用している現場の後釜として入るためすべてを理解している必要があります。
最もみんなが苦手であるにもかかわらず必要になるのはWMIフィルターです。
正直、クエリなんてググればいくらでも見つかるのでとくに覚える必要もありません。
インフラ系の仕事は結果としては全く同じことしかやっていないのに、エンジニアのレベルによって片方はいつも暇なのに、もう片方の人はいつも残業といったことが起こります。
可能な限り効率を上げて、余計な仕事を減らしていきたいですね。
