既存Active Directoryにおいてグループポリシーを整理したい場合、
管理されていないグループポリシーを洗い出して不要なグループポリシーを削除、
重複する機能を1個に纏めるなどの対応が必要になる場面が出てきます。

 

今回は、上記のような課題に対して、「Policy Analyzer」というツールを使って
以下の流れで機能が重複するグループポリシーを洗い出す方法を紹介します。
特にグループポリシーの数が多い場合、効率良く確認ができます。

 

なお、大前提として、バックアップを取って保存したファイル名は英語のみにしてください。
日本語が入るとツールを実行した場合エラーが表示されます。

 

実際の説明を開始する前に、簡単に「Policy Analyzer」を紹介致します。

「Policy Analyzer」とはMicrosoft社が提供している、グループポリシーオブジェクト(GPO)のセットを

分析及び比較するユーティリティです。

ツールの詳細については、以下URLを参照してください。

https://docs.microsoft.com/ja-jp/archive/blogs/secguide/new-tool-policy-analyzer

 

▼全体の流れ
①Policy Analyzerをインストール
②既存Active Directoryのグループポリシーのバックアップを取得
③取得してバックアップをPolicy Analyzerにインポート
④インポートしたグループポリシーをエクスポート
⑤エクスポートしたファイルを確認して、機能が重複したグループポリシーを洗い出す

——————————————————————————————————

以下では各流れについて詳しく説明します。

 

①Policy Analyzerをインストール

インストールURL
https://www.microsoft.com/en-us/download/details.aspx?id=55319

 

「Download」をクリック

 

「PlicyAnalyzer」にチェック　➡　「Next」をクリック

 

ダウンロードされたZIPファイルを右クリックして「すべて展開」をクリック

 

②既存Active Directoryのグループポリシーのバックアップを取得

該当グループポリシーを右クリック　➡　「バックアップ」をクリック　

※複数のバックを取ってもOK

 

③取得してバックアップをPolicy Analyzerにインポート

①にて解凍したZIPファイルの中で「PolicyAnalyzer」を開く

 

「Add」をクリック

 

「File」をクリック

 

「Add files from GPO(s)…」をクリック

 

②で取得したバックアップを選択する

 

「Import」をクリック

 

任意の名前で保存　　

【注意！】ファイル名の拡張子として「PolicyRules」をファイル名に追記してください。

 

「View / Compare」をクリック　
【注意！】Importしても何も表示されない場合、「Policy Rule sets in」を押して保存場所を指定する必要があります。

 

グループポリシーの設定状況が表示

 

④Importしたグループポリシーをエクスポート

Excelファイルとしてエクスポートしたい場合は、

ツール画面上の「Export」をクリックしてエクスポートします。

 

⑤エクスポートしたファイルを確認して、重複するグループポリシーを洗い出す

▼補足
エクスポートしたファイルのA～C列の「Policy Setting Name」が空欄、
もしくは日本語以外の説明になっているのは証明書関連となりますので、
今回は対象外とします。

 

▼機能が重複したグループポリシーを洗い出す方法
一行づつ確認して、同じ行の中、複数セルに値が入っているか確認します。

・一個のセルに値が入っている場合、機能が重複していない
・複数のセルに値が入っている場合、機能が重複する可能性が高い

ということになるので、複数のセルに値が入った場合、現行環境で該当のグループポリシーの機能が

重複していないか確認が必要です。