Ubuntu 20.
今回は、adsysが解決したい課題とその前提となるADについて簡単にまとめ、AD側の設定までおこないます。
adsysが解決しようとしている課題
adsys自体の紹介に入る前に、本稿に関わる部分に関して簡単にADの基礎[1]を押さえながら、adsysが解決しようとしている課題が何かを説明します。
ADは、組織内にあるコンピューターやユーザーの情報・
ADにはその論理モデルに示される通り、階層構造があります。規模が大きい順に
ドメイン内部を管理する上でリソースのグループ分けが必要となったときにはOUを使います。OUはさらに入れ子構造にもできます。OUに関してはのちに具体的な動作例を示す予定です。
1つ以上のドメインをまとめたものがフォレストですが、adsysの文脈では関係しないため、いったん忘れていただいて構いません[2]。
会社組織でイメージする場合、一般的にはドメインが
このドメインを提供するのがActive Directoryディレクトリサービス
しかしながら、adsysを使わずにUbuntuマシンがドメインに参加できるからといって、そのマシンを使うユーザーやUbuntuマシンの管理が
AD環境には、ドメインやOUに所属するユーザーやコンピューターの設定をADから一元的に管理し、それらに適用するためのグループポリシーとそれを含むグループポリシーオブジェクト
一方、Ubuntuを含むLinuxマシンに適用できる管理用テンプレートはAD側でデフォルトで用意されておらず、Linuxマシン側にもGPOを適用するための
このような状況を改善することが今回紹介するadsysの目的です。具体的には、
- ADドメインで使うためのLinuxマシン用のグループポリシー管理用テンプレート
(とその付随コンポーネント) - ユーザーやマシンに適用されたGPOを実現するためにLinuxクライアント側で動作するための仕組み・
ソフトウェア
の2つを提供することで、LinuxマシンでもGPOを利用できるようにすることを目指しています。
GPOとは
adsysはLinuxマシンでもGPOを使えるようにする仕組みであると述べました。ここではGPOについて確認しておきます。
先ほど簡単に触れましたがGPOはユーザーやコンピューターに適用されるグループポリシーを含む、コレクションと定義されています。グループポリシーにはコンピューターに対して適用するもの
次のスクリーンショットからわかるように、Windowsマシンに対してグループポリシーで設定可能な項目は非常に多岐にわたります。
管理テンプレートを見てみると、Windows Updateの挙動というWindows OSの重要コンポーネントの動作から、
そうしてポリシーを構成したGPOは、ドメイン全体やそのOUごとに
このような
- 「開発部」
というOUと 「営業部」 というOUとに、それぞれ異なるGPOをリンクすることで、 「開発部」 のメンバーと 「営業部」 のメンバーとに異なるユーザーポリシーを設定する。 - デスクトップPCとノートPCとでコンピューターオブジェクトの所属するOUを分けることで、マシンの特性に合わせたポリシー
(例:電源管理ポリシー) を設定する。
ADへのGPOテンプレートの配置
adsysの展開はAD側とUbuntuマシン側の両方の作業が必要です。今回はAD側の設定をおこないます。
Ubuntuマシンにグループポリシー適用するにはグループポリシー管理用テンプレートが必要なため、これをドメインに追加します。
なお、今回はドメインコントローラーexample.
というドメインをすでに作成している状態を前提とします。
グループポリシー管理用テンプレートはセントラルストアを作成することで管理できます。セントラルストアはドメインコントローラー間で共有する設定ファイルが置かれるSYSVOLフォルダに配置します。今回のドメインexample.
の場合、セントラルストアのパスは\\example.
となります。ちなみに、ドメインを展開したデフォルト状態ではパスの最後にあるPolicyDefinitions
フォルダは存在しませんのでエクスプローラーで\\example.
を開き、手動で作成します[8]。
セントラルストアを用意できたところで、次はUbuntuマシン向けの管理用テンプレートを入手・
Ubuntuマシン用のテンプレートにはlts-only
とall
の2種類あります。lts-only
は文字通りUbuntuのLTS版all
はadsysでサポートされているすべてのリリースlts-only
のリリースにUbuntu 23.lts-only
版のテンプレートを使用することにします。
続いて、管理用テンプレート
- Ubuntuマシンで
adsysctl policy admx lts-only
コマンドを実行し生成する - https://
github. からダウンロードするcom/ ubuntu/ adsys/ tree/ main/ policies/ Ubuntu/ lts-only adsys-windows
パッケージから入手する
今後の流れの兼ね合いもあり、今回は3の方法を採ることにします。次はUbuntu 24.
$ sudo apt install -y adsys-windows $ dpkg -L adsys-windows /. /usr /usr/share /usr/share/adsys /usr/share/adsys/windows /usr/share/adsys/windows/adwatchd.exe /usr/share/adsys/windows/policies /usr/share/adsys/windows/policies/all /usr/share/adsys/windows/policies/all/Ubuntu.adml /usr/share/adsys/windows/policies/all/Ubuntu.admx /usr/share/adsys/windows/policies/lts-only /usr/share/adsys/windows/policies/lts-only/Ubuntu.adml /usr/share/adsys/windows/policies/lts-only/Ubuntu.admx /usr/share/doc /usr/share/doc/adsys-windows /usr/share/doc/adsys-windows/changelog.gz /usr/share/doc/adsys-windows/copyright
このうち目的のテンプレートは/usr/
と/usr/
Ubuntu.
ファイル\\example.
にUbuntu.
ファイルは\\example.
.admx
ファイル.adml
ファイルは
セントラルストアを作成し、Ubuntu.
ファイルとUbuntu.
ファイルを適切に配置すると
このようにセントラルストアに配置したポリシー定義ファイルが読み込まれ、Ubuntu用のポリシーが設定できるようになったことがわかります。
これでドメインコントローラーにUbuntu用のグループポリシー管理用テンプレートを展開できました。次回はUbuntuマシン上の作業に移ります。