Windows XP Service Pack 2 インストール後のグループ ポリシー動作の変更点

文書翻訳 文書翻訳
文書番号: 873449 - 対象製品
すべて展開する | すべて折りたたむ

目次

はじめに

Microsoft Windows XP Service Pack 2 (SP2) では、グループ ポリシー管理用テンプレートの動作がさまざまな方法で変更されています。これらの変更は将来のすべての Windows Service Pack にも採用されます。

この資料では、グループ ポリシー管理用テンプレートの変更点と、その変更がグループ ポリシー機能全体に及ぼす影響について説明します。

詳細

IF VERSION および END IF 条件付き処理要素

概要

IF VERSION および END IF 条件付き処理要素を使用すると、グループ ポリシー オブジェクト エディタ (Gpedit.msc) のバージョンに基づいて、特定の機能または設定の表示を制御できます。新しいバージョンの Windows オペレーティング システムには、以前のバージョンのグループ ポリシー オブジェクト エディタでは正しく解釈されない機能や設定が存在することがあるため、バージョンは重要です。同様に、グループ ポリシー オブジェクト エディタの異なるバージョン間では、動作が変わる可能性があります。IF VERSION および END IF 条件付き処理要素を使用すると、以前のバージョンのグループ ポリシー オブジェクト エディタで管理用テンプレートの特定の部分を解析するか、無視するかを制御できます。

次の表は、グループ ポリシー オブジェクト エディタのバージョン番号の一覧です。
元に戻す全体を表示する
バージョン オペレーティング システム
Version 3 Windows 2000
Version 4 Windows XP Service Pack 1 (SP1) および Windows Server 2003
Version 5 Windows XP Service Pack 2 (SP2)
Windows XP SP2 のグループ ポリシー オブジェクト エディタ Version 5 を使用して、一部の設定が表示されないようにすることや、Windows XP SP2 バージョンのグループ ポリシー オブジェクト エディタを以前のバージョンのグループ ポリシー オブジェクト エディタから分離したりすることができます。そのため、このバージョンを解釈できないグループ ポリシー オブジェクト エディタを使用しているクライアント コンピュータからグループ ポリシー設定を表示した場合、Version 5 以降での設定は表示されません。特に、Windows 2000 クライアントでは、グループ ポリシー オブジェクト エディタ Version 5 以降での設定は表示できません。このような設定の一部を次に示します。
  • 分散 COM : アクティベーション セキュリティ チェックの例外を定義する
  • オフライン ファイル : 管理的に割り当てられたオフライン ファイル (コンピュータ ポリシー)
  • オフライン ファイル : 指定されたファイルとフォルダのオフラインでの使用を禁止する (コンピュータ ポリシー)
  • オフライン ファイル : 管理的に割り当てられたオフライン ファイル (ユーザー ポリシー)
  • オフライン ファイル : 指定されたファイルとフォルダのオフラインでの使用を禁止する (ユーザー ポリシー)
  • Windows ファイアウォール : プログラムの例外を定義する (コンピュータ ポリシー)
  • Windows ファイアウォール : ポートの例外を定義する (コンピュータ ポリシー)

問題

IF VERSION および END IF 条件付き処理要素を使用して、いくつかのポリシーの特定の説明情報が無視されるようにできます。この情報を含む文字列は、以前のバージョンのグループ ポリシー オブジェクト エディタで読み込むことができる長さを超えています。しかし、以前のバージョンのグループ ポリシー オブジェクト エディタは、グループ ポリシー オブジェクト エディタにその情報を表示するかどうかを判断する前に、IF VERSION および END IF 条件付き処理要素で囲まれた情報を読み込もうとします。

LISTBOX 構文

グループ ポリシー管理用テンプレート (.adm ファイル) には、最終的に設定をクライアントのグループ ポリシーにどのように書き込むかを定義するために使用できる各種の設定が含まれます。これらの定義または構文の 1 つが LISTBOX 構文です。LISTBOX 構文によって、管理者は複数の値を含むデータをグループ ポリシー オブジェクト エディタに入力できます。この構文を使用すると、定義された設定が REG_MULTI 型のレジストリ値として書き込まれます。したがって、1 つのレジストリ値の設定内で複数の値を格納できます。

この構文の例については、次の場所にある "ユーザーのログオン時に実行するプログラムを指定する" ポリシー設定を参照してください。
ユーザーの構成\管理用テンプレート\システム\ログオン\"ユーザーのログオン時に実行するプログラムを指定する"
: 管理者は、実行する複数のプログラムを定義できます。これらは、すべて単一のレジストリ値に書き込まれます。

ADDITIVE キーワード

概要

ADDITIVE キーワードは、LISTBOX 構文で使用します。LISTBOX 構文に ADDITIVE キーワードを指定した場合、その設定上のプログラムの動作は、グループ ポリシーのデフォルトの動作から変更されます。

通常、グループ ポリシーでは、値の定義の競合が発生した場合、"最後に作成された定義を優先する" 方式で処理されます。たとえば、ユーザーに複数のグループ ポリシー オブジェクト (GPO) が適用されていて、各 GPO の "ユーザーのログオン時に実行するプログラムを指定する" ポリシー設定の定義が異なる場合、そのユーザーの有効なグループ ポリシーには、最後に適用された GPO の値が格納されます。通常、この GPO が、ドメイン オブジェクト、サイト オブジェクト、または Active Directory 階層内でそのユーザーに最も近い組織単位のユーザーに最優先で適用されます。

ADDITIVE キーワードは、"最後に作成された定義を優先する" 方式とは異なる動作を呼び出します。ADDITIVE キーワードを使用すると、グループ ポリシーで、対象となるポリシーが累積的に処理されます。そのため、複数の GPO からの値が、有効なポリシー設定としてマージされた形式で適用されます。

Windows XP SP2 以前は、ADDITIVE キーワードはほとんど使用されませんでした。しかし、現在は、多くのグループ ポリシーでこのキーワードが使用されています。たとえば、Windows ファイアウォールの [ポートの例外を定義する] ポリシー設定で、この新しい動作が使用されています。

問題

ADDITIVE キーワードの現象として次の問題が確認されています。
  • グループ ポリシー階層の最下層で LISTBOX ADDITIVE 設定が無効である場合、上位の階層からの累積的なポリシー設定は優先されず、有効な設定が無効になることが期待されます。しかし、このような動作は発生せず、常に、継承された設定がユーザーに適用されます。

    : この問題は、実際に、管理者がグループ ポリシー オブジェクト エディタでポリシー設定を定義する場合に発生します。
  • Windows 2000 で GPO を変更する場合、LISTBOX ADDITIVE を使用する設定は表示されません。この現象は、LISTBOX ADDITIVE 設定のすべてのインスタンスが IF VERSION >= 5 と END IF の条件付き処理要素によって囲まれているために発生します。この現象は、仕様です。

    アーキテクチャ変更により、Windows 2000 では LISTBOX ADDITIVE 設定の動作を変更できなくなりました。そのため、Windows 2000 ベースのクライアント コンピュータでそれらの設定が変更されないようにしています。

    警告 : IF VERSION および END IF 条件ステートメントを変更して、これらの設定を編集可能にしないでください。変更することによって設定の表示や変更を実行できるようになりますが、変更後のポリシーの動作は、そのポリシーを最後に変更したクライアントのオペレーティング システムのバージョンに依存します。オペレーティング システムのバージョンは制御または監視できないため、ポリシーの適用結果を予想できなくなります。

レジストリの追加設定

グループ ポリシー管理コンソール (GPMC) で、グループ ポリシーの結果とグループ ポリシーのモデル作成を使用すると、HTML 形式のレポートが生成されます。このレポートには、特定の対象先に構成されているポリシー設定が記載されています。GPMC の管理用テンプレート (.adm) ファイルの解釈の仕方によって、Windows XP SP2 で提供される一部の新しいグループ ポリシー設定が、GPMC のレポートで [ユーザーの構成] カテゴリまたは [コンピュータの構成] カテゴリに表示される代わりに、[レジストリの追加設定] カテゴリに表示されます。この動作は、GPMC が .adm ファイルに記述された "#if version >= 5" および "#endif" 構文で囲まれたエントリを認識しないことが原因です。これらのエントリは、LISTBOX ADDITIVE 機能を使用する Windows ファイアウォールおよび Internet Explorer ポリシー設定を含んでいます。

LISTBOX 構文を使用する例は、ドメイン プロファイルおよび標準プロファイルのノードにある [Windows ファイアウォール: ポートの例外を定義する] グループ ポリシー設定です。このグループ ポリシー設定は、コンピュータの構成\管理用テンプレート\ネットワーク\ネットワーク接続\Windows ファイアウォールにあります。

また、GPMC には、これらのグループ ポリシー設定の表示名は表示されません。GPMC には、次の情報が表示されます。
  • レジストリ キーの名前
  • 設定の状態、または設定が有効か無効か
  • "優勢な GPO"。優勢な GPO は、優先順位や継承のルールに基づいてグループ ポリシー設定を実際に適用する GPO です。

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 873449 (最終更新日 2004-11-02) を基に作成したものです。

プロパティ

文書番号: 873449 - 最終更新日: 2007年12月3日 - リビジョン: 1.2
この資料は以下の製品について記述したものです。
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows XP Professional Service Pack 2 (SP2)
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional
キーワード:?
kbhowto kbinfo KB873449
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com