minto.tech スマホ(Android/iPhone)・PC(Mac/Windows)の便利情報をお届け! 月間アクセス160万PV!スマートフォン、タブレット、パソコン、地デジに関する素朴な疑問や、困ったこと、ノウハウ、コツなどが満載のお助け記事サイトはこちら!
※本ページにはプロモーション(広告)が含まれています
Windowsのグループポリシーエディターとは
Windowsには「グループポリシーエディター(gpedit.msc)」という強力な設定ツールが搭載されています。通常の「設定」アプリやコントロールパネルでは変更できないシステムの深部の動作を制御できる管理者向けツールです。
セキュリティの強化・不要な機能の無効化・ユーザーアカウントの制限・Windows Updateの制御など、IT管理者だけでなく上級ユーザーも活用できる設定が多数含まれています。この記事では、グループポリシーエディターの基本から実際に役立つ設定まで詳しく解説します。
- グループポリシーエディターの起動方法と画面構成
- セキュリティを強化するための重要な設定
- プライバシー関連の設定を強化する方法
- Windows Updateを手動でコントロールする方法
- ユーザーアカウントとアクセス制限の設定
1. グループポリシーエディターを起動する
起動方法(3つの方法)
方法1:ファイル名を指定して実行
- 「Windows + R」キーを押す
- 「gpedit.msc」と入力してEnterキー
- グループポリシーエディターが起動する
方法2:検索から起動
- タスクバーの検索ボックスに「グループポリシーの編集」と入力
- 検索結果から「グループポリシーの編集」をクリック
方法3:コントロールパネルから
- コントロールパネル →「管理ツール」
- 「ローカルセキュリティポリシー」をクリック
画面構成の理解
グループポリシーエディターは左右2ペインの構成です。
- 左ペイン(ツリービュー):ポリシーのカテゴリ一覧(フォルダ構造)
- 右ペイン:選択したカテゴリに含まれる個別ポリシーの一覧と状態
2つのメインカテゴリ
| カテゴリ | 内容 |
|---|---|
| コンピューターの構成 | すべてのユーザーに適用されるシステム全体の設定 |
| ユーザーの構成 | ログインしているユーザーのみに適用される設定 |
2. ポリシーの設定変更の基本操作
ポリシーを有効・無効にする手順
- 目的のポリシーをダブルクリック
- 設定ダイアログが開く
- 「未構成」「有効」「無効」のいずれかを選択
- 「OK」または「適用」をクリック
- 変更は即座に適用されるか、PC再起動後に反映される
3つの状態の意味
- 未構成:Windowsのデフォルト動作(ポリシーは適用されない)
- 有効:そのポリシーを有効にする
- 無効:そのポリシーを明示的に無効にする
3. セキュリティを強化する重要な設定
3-1. 不正なログイン試行を制限する
複数回パスワードを間違えるとアカウントをロックする設定です。
設定場所
コンピューターの構成 → Windows設定 → セキュリティの設定 → アカウントポリシー → アカウントロックアウトのポリシー
- 「アカウントのロックアウトのしきい値」:5(5回ミスでロック)に設定
- 「ロックアウト期間」:30(30分間ロック)に設定
3-2. パスワードポリシーの強化
パスワードの強度基準を設定できます。
設定場所
コンピューターの構成 → Windows設定 → セキュリティの設定 → アカウントポリシー → パスワードのポリシー
| 設定項目 | 推奨値 | 内容 |
|---|---|---|
| パスワードの最小文字数 | 8文字以上 | 短すぎるパスワードを禁止 |
| パスワードは複雑さの要件を満たす必要がある | 有効 | 大文字・数字・記号の混在を要求 |
| パスワードの最大有効期間 | 90日 | 定期的なパスワード変更を強制 |
3-3. USBドライブへの書き込みを禁止する
社内の情報漏洩防止に有効な設定です。
設定場所
コンピューターの構成 → 管理用テンプレート → システム → リムーバブル記憶域へのアクセス
- 「すべてのリムーバブル記憶域クラス: すべてのアクセスを拒否する」→ 有効
4. プライバシー関連の設定
4-1. Windowsテレメトリー(データ収集)を最小化する
設定場所
コンピューターの構成 → 管理用テンプレート → Windowsコンポーネント → データ収集とプレビュービルド
- 「診断データの許可」をダブルクリック → 有効 → オプションを「セキュリティ(Enterprise のみ)」または「基本」に設定
4-2. Cortanaを無効にする
設定場所
コンピューターの構成 → 管理用テンプレート → Windowsコンポーネント → 検索
- 「Cortanaを許可する」→ 無効
4-3. スタートメニューのおすすめアプリを無効にする
設定場所
ユーザーの構成 → 管理用テンプレート → スタートメニューとタスクバー
- 「ユーザーが追跡したことを通知する」→ 無効
- 「ストアのおすすめを無効にする」→ 有効
5. Windows Updateの詳細制御
5-1. Windows Updateの自動インストールを制御する
設定場所
コンピューターの構成 → 管理用テンプレート → Windowsコンポーネント → Windows Update → エンドユーザーエクスペリエンスの管理
- 「自動更新を構成する」をダブルクリック
- 有効を選択 → オプションから「3 – 自動的にダウンロードし、インストールを通知する」を選択
5-2. 更新の再起動時間を指定する
設定場所
コンピューターの構成 → 管理用テンプレート → Windowsコンポーネント → Windows Update
- 「スケジュールされた自動更新インストールに、ログオンしているユーザーが現れなかった場合、自動的に再起動を行わない」→ 有効
6. ユーザーアカウントとアクセス制限
6-1. コントロールパネルへのアクセスを禁止する
設定場所
ユーザーの構成 → 管理用テンプレート → コントロールパネル
- 「コントロールパネルとPCの設定へのアクセスを禁止する」→ 有効
6-2. 特定のアプリの実行を制限する
設定場所
ユーザーの構成 → 管理用テンプレート → システム
- 「指定されたWindowsアプリケーションのみを実行する」→ 有効
- 「表示」ボタンで許可するアプリの実行ファイル名(例:notepad.exe)を追加
6-3. タスクマネージャーへのアクセスを制限する
設定場所
ユーザーの構成 → 管理用テンプレート → システム → Ctrl+Alt+Del オプション
- 「タスクマネージャーの削除」→ 有効
7. 実用的なその他の設定
7-1. ログオン時のメッセージを表示する
共有PCに「この端末は会社の資産です」などのメッセージを表示できます。
設定場所
コンピューターの構成 → Windows設定 → セキュリティの設定 → ローカルポリシー → セキュリティオプション
- 「対話型ログオン: ログオンしようとするユーザーへのメッセージのテキスト」にメッセージを入力
7-2. デスクトップの壁紙を固定する
設定場所
ユーザーの構成 → 管理用テンプレート → デスクトップ → デスクトップ
- 「壁紙」→ 有効 → 壁紙ファイルのパスを入力
7-3. スクリーンセーバーのパスワードを強制する
設定場所
ユーザーの構成 → 管理用テンプレート → コントロールパネル → 個人用設定
- 「スクリーンセーバーの実行を妨げる」→ 無効(スクリーンセーバーを有効にする)
- 「スクリーンセーバーにパスワードを使用する」→ 有効
8. 変更を元に戻す方法
グループポリシーの変更を元に戻したい場合は、変更したポリシーを「未構成」に戻すだけです。これでWindowsのデフォルト動作に戻ります。
すべてのポリシーをリセットする(緊急時)
管理者権限のコマンドプロンプトで以下を実行すると、ローカルグループポリシーをリセットできます。
RD /S /Q "%WinDir%\System32\GroupPolicyUsers"
RD /S /Q "%WinDir%\System32\GroupPolicy"
gpupdate /force9. よくある質問(FAQ)
Q1. Windows Homeエディションでグループポリシーは使えますか?
使えません。Windows Homeにはgpeditがインストールされていないためです。代替として「レジストリエディター(regedit)」で一部の設定を変更できますが、より高度な知識が必要です。
Q2. 設定を変更したあと、すぐに有効になりますか?
多くの設定はPCの再起動後に反映されます。即時反映させたい場合はコマンドプロンプトでgpupdate /forceを実行します。
Q3. グループポリシーとレジストリの違いは何ですか?
グループポリシーはGUIで操作できる上位のインターフェースで、内部的にはレジストリの変更として反映されます。グループポリシーの方が安全で管理しやすいですが、一部の設定はレジストリからしか変更できません。
Q4. グループポリシーの設定が適用されているか確認できますか?
コマンドプロンプトでgpresult /rを実行すると、現在適用されているポリシーの一覧を確認できます。
Q5. 企業のドメインポリシーがあると、ローカルのグループポリシーは効きますか?
企業のドメインポリシー(Active Directory)がある環境では、ドメインポリシーがローカルポリシーよりも優先されます。競合する設定はドメインポリシーが上書きします。
Q6. 誤った設定でWindowsが起動しなくなった場合は?
セーフモードで起動し、グループポリシーエディターで設定を「未構成」に戻してください。セーフモードへの起動は、起動時にF8キーを押すか、設定 → システム → 回復 → PCの起動をカスタマイズするから行えます。
まとめ
Windowsのグループポリシーエディターは、Windowsシステムを深いレベルで制御できる強力なツールです。
- セキュリティポリシーでパスワードとログイン制限を強化
- プライバシー設定でデータ収集・Cortanaを制限
- Windows Updateを自分のタイミングで管理
- アクセス制限で共有PCの管理を効率化
- 変更は「未構成」に戻すだけで元に戻せる
設定変更前には必ずバックアップを取り、一度に多くの設定を変更しないことが安全なポリシー管理の基本です。一つずつ確認しながら設定を進めてください。
