Windows グループ ポリシー(GPO)管理用テンプレート 最新化する方法

Microsoft

Windows の Active Directory(AD)ドメインコントローラーを長く利用していると、管理PCに対して制御を追加したいことが出てきます。Windows10になってから定期的にメジャーバージョンアップされるようになりました。

同様にMicroSoft 365(Office365)も同様に新機能がどんどん追加されます。

運用しているADサーバーで新たにグループポリシーを追加しようとしたら管理テンプレートに項目がない。どうやって追加・更新するのか知りたい。

  • Windows10、Windows11をGPOで制御したい
  • MicroSoft 365(Office 365)を制御したい
  • ActiveDirectoryの管理テンプレートが項目にない
  • MicroSoft 365の管理テンプレートが項目にない

定期的にグループポリシーの管理テンプレートを最新化する必要があるので備忘録としてまとめてみます。

管理用テンプレート(ADMXファイル)とは

レジストリに基づいたポリシー制御ファイル

グループポリシーで利用する管理テンプレート(ADMXファイル)とは、レジストリに基づいたポリシー設定を制御するためのファイルです。ドメイン環境においてPC制御するために利用します。

管理テンプレート(ADMXファイル)を指定フォルダにコピーすると、グループポリシーエディタで設定ができるようになります。

新しいバージョンのOSやOffice製品が公開されたら、最新版のADMXをコピーすると新機能を制御できるようになります。

手動でファイルをコピーする必要があので、いまどき不親切な気がします。

ADMXファイルとADMLファイルの違い

管理用テンプレート ファイルは、.admx ファイルと、言語固有の .adml ファイルに分かれています。

管理者は、言語固有の .adml ファイルと、言語に依存しない .admx ファイルを使用することで、ポリシーを構成できます。

  • 言語に依存しない .admx ファイル
  • 言語固有の .adml ファイル

管理テンプレートはセントラルストアに配置

管理用テンプレートはWindows ドメイン コントローラーの sysvol フォルダーにセントラル ストアを作成する必要があります。

セントラル ストアは、既定でグループ ポリシー ツールによるチェックの対象となるファイルの場所です。

セントラル ストア内のファイルは、ドメイン内のすべてのドメイン コントローラーに自動的に同期されます。

admx ファイルと adml ファイル用のセントラル ストアを作成するには、ドメイン コントローラー上の次の場所に、PolicyDefinitions という名前のフォルダーを作成します。

admx ファイルの保存先(言語に依存しない)

  • C:\Windows\Sysvol\domain\Policies\PolicyDefinitions

adml ファイルの保存先(言語固有)

  • C:\Windows\Sysvol\domain\Policies\PolicyDefinitions\ja-JP

管理用テンプレート ファイルの更新方法

マイクロソフトのサイトを確認するとフォルダ名を変更しながら新旧テンプレートを制御するように記述されています。

現在の PolicyDefinitions フォルダーの名前を変更して、以前のバージョン (たとえば、PolicyDefinitions-1709) を反映します。 次に、新しいフォルダー (たとえば PolicyDefinitions-1803) の名前を運用名に変更します。

「PolicyDefinitions」フォルダーが管理用テンプレートの保存場所です。

つまりこういうことですね。

  1. 最新版の管理テンプレートを「PolicyDefinitions-new」として保存
  2. 利用中の管理テンプレートを「PolicyDefinitions-old」にリネーム
  3. 「PolicyDefinitions-new」を「PolicyDefinitions」にリネーム

手動で変更するのは面倒ですね。この変更方法であれば、不具合が生じても直ぐに戻すことが可能です。

最新ADMXファイル・ADMLファイルの取得

最新ファイルはマイクロソフトのHPに公開されています。

Windows10,Windows11 管理用テンプレート

管理用テンプレート ファイルのダウンロード

公式サイトから管理用テンプレートをダウンロードします。必要なバージョンのテンプレートを選択してください。

  • 各OSバージョンのテンプレートが提供されています

管理用テンプレート ファイルの展開

ダウンロードしたファイルを実行しファイルを展開します。

以下のフォルダにファイルの展開が完了します。

C:\Program Files (x86)\Microsoft Group Policy

 

管理用テンプレート のコピー

管理用テンプレートは「C:\Program Files (x86)\Microsoft Group Policy」にファイルが展開されます。ドメインコントローラーのセントラル ストアに必要なファイルをコピーします。

admx ファイルと adml ファイル用のセントラル ストアの保存先は、ドメイン コントローラー上の次の場所に、PolicyDefinitions という名前のフォルダーを作成しコピーします。

admx ファイルの保存先(言語に依存しない)

  • C:\Windows\Sysvol\domain\Policies\PolicyDefinitions

adml ファイルの保存先(言語固有)

  • C:\Windows\Sysvol\domain\Policies\PolicyDefinitions\ja-JP

日本語以外の言語固有admlファイルは不要です。

Microsoft 365(Office 365)管理用テンプレート

管理用テンプレート ファイルのダウンロード

公式サイトから管理用テンプレートをダウンロードします。

管理用テンプレート ファイルの展開

ダウンロードしたファイルを実行しファイルを展開します。

管理用テンプレート のコピー

任意のフォルダにファイルが展開されますので、ドメインコントローラーのセントラル ストアに必要なファイルをコピーします。

admx ファイルと adml ファイル用のセントラル ストアの保存先は、ドメイン コントローラー上の次の場所に、PolicyDefinitions という名前のフォルダーを作成しコピーします。

admx ファイルの保存先(言語に依存しない)

  • C:\Windows\Sysvol\domain\Policies\PolicyDefinitions

adml ファイルの保存先(言語固有)

  • C:\Windows\Sysvol\domain\Policies\PolicyDefinitions\ja-JP

日本語以外の言語固有admlファイルは不要です。

あとがき

Windows の Active Directory(AD)ドメインコントローラーを利用している場合はグループポリシーを利用して、管理端末を制御することができます。

OSバージョンが上がることで新しい制御が色々と可能になります。また、Office製品(Word,Excelなど)も同様に制御できる機能が増えています。

新機能に対応するには、マイクロソフトの公式サイトから管理テンプレートを定期的にダウンロードしてくる必要があります。

コメント