Windows でグループ ポリシー管理用テンプレート用のセントラル ストアを作成および管理する方法

適用対象: Windows 10, version 1803Windows Server version 1803Windows Server Datacenter Core 詳細

はじめに


この資料では、Windows の新しい .admx ファイルおよび .adml ファイルを使用して、レジストリに基づいたポリシー設定を作成および管理する方法について説明します。 この資料ではまた、ドメイン環境においてセントラル ストアをどのように使用して Windows ベースのポリシー ファイルの保管やレプリケートを行うかについても説明します。
 

オペレーティング システムのバージョンに基づいた、管理用テンプレート ファイルのダウンロード リンク

 

最近のオペレーティング システム バージョンで利用できる新しい設定の ADMX スプレッドシートを確認するには、次の Microsoft ダウンロード センター Web サイトにアクセスしてください。

詳細情報


概要

管理用テンプレート ファイルは、.admx ファイルと、グループ ポリシー管理者が使用する言語固有の .adml ファイルに分かれています。 これらのファイルに実装された変更により、管理者は 2 つの言語を使用して同じポリシー セットを構成できます。 管理者は、言語固有の .adml ファイルと、言語に依存しない .admx ファイルを使用することで、ポリシーを構成できます。

管理用テンプレート ファイル用のストレージ

Windows では、セントラル ストアを使用して、管理用テンプレート ファイルを保管します。 ADM フォルダーは、グループ ポリシー オブジェクト (GPO) 内には作成されません (以前のバージョンの Windows におけるものであるため)。 したがって、Windows ドメインコントローラーに .adm ファイルの冗長コピーが保管されることもレプリケートされることもありません。

セントラル ストア

.admx ファイルの利点を活かすには、Windows ドメイン コントローラー上の SYSVOL フォルダーにセントラル ストアを作成する必要があります。 セントラル ストアは、既定でグループ ポリシー ツールによるチェックの対象となるファイルの場所です。 グループ ポリシー ツールは、セントラル ストア内にあるすべての .admx ファイルを使用します。 セントラル ストア内のファイルは、ドメイン内のすべてのドメイン コントローラーにレプリケートされます。

グループ ポリシー サポートを提供する Microsoft Desktop Optimization Pack (MDOP)、Microsoft Office およびサード パーティのアプリケーションのようなオペレーション システム拡張などのアプリケーション用に、使用する可能性があるすべての ADMX/L ファイルのリポジトリを保持しておくことをお勧めします。

.admx ファイルと .adml ファイル用のセントラル ストアを作成するには、ドメイン コントローラー上の (たとえば) 次の場所に、PolicyDefinitions という名前の新しいフォルダーを作成します。

\\contoso.com\SYSVOL\contoso.com\policies\PolicyDefinitions

以前に作成されたセントラル ストアを持つこのようなフォルダーが既に存在する場合は、現在のバージョンを示す新しいフォルダーを使用します。

\\contoso.com\SYSVOL\contoso.com\policies\PolicyDefinitions-1803

ソース コンピューター上の PolicyDefinitions フォルダーから、ドメイン コントローラー上の PolicyDefinitions フォルダーに、すべてのファイルをコピーします。 ソース ロケーションは、次のいずれかです。

  • Windows 8.1 ベースまたは Windows 10 ベースのクライアント コンピューターの C:\Windows\PolicyDefinitions フォルダー
  • 上記のリンクから管理用テンプレートを個別にダウンロードしたことがある場合は、C:\Program Files (x86)\Microsoft Group Policy\<version-specific>\PolicyDefinitions フォルダー

Windows ドメイン コントローラー上の PolicyDefinitions フォルダーには、すべての .admx ファイルと、クライアント コンピューターで有効になっているすべての言語用の .adml ファイルを保管します。

.adml ファイルは、言語固有のフォルダーに保管します。 たとえば、英語 (米国) の .adml ファイルなら [en-US] というフォルダーに保管し、韓国語の .adml ファイルなら [ko_KR] というフォルダーに保管します。

追加の言語用の .adml ファイルが必要な場合は、その言語用の .adml ファイルが入っているフォルダーをセントラル ストアにコピーする必要があります。 全 .admx ファイルおよび .adml ファイルのコピーが完了すると、ドメイン コントローラー上の PolicyDefinitions フォルダーには、.admx ファイルと、言語固有の .adml ファイルが含まれているフォルダーが 1 つ以上含まれているはずです。

: Windows 8.1 ベースまたは Windows 10 ベースのコンピューターから .admx ファイルと .adml ファイルをコピーしたときは、これらのファイルに対する最新の更新プログラムがインストールされていることを確認してください。 また、最新の管理用テンプレート ファイルがレプリケートされていることを確認してください。 このアドバイスは Service Pack (該当する場合) にも当てはまります。

オペレーティング システムのコレクションが完成したら、すべての OS 拡張機能またはアプリケーション ADMX/ADML ファイルを、新しい PolicyDefinitions フォルダーに統合します。

これが終了したら、現在の PolicyDefinitions フォルダーの名前を変更して、「以前の」バージョン (たとえば、PolicyDefinitions-1709) を反映します。 次に、新しいフォルダー (たとえば PolicyDefinitions-1803) の名前を “production” の名前に変更します。

 

この方法で、新しいファイルのセットに重大な問題が発生した場合に、古いフォルダーに戻すことができます。 新しいファイルのセットで問題が発生しない場合は、古い PolicyDefinitions フォルダーを SYSVOL 外のアーカイブの場所に移動できます。

グループ ポリシー管理

Windows 8.1 と Windows 10 には、.adm という拡張子の付いた管理用テンプレートが組み込まれていません。 Windows 8.1 以降のバージョンの Windows を実行しているコンピューターを使用してグループ ポリシー管理を行うことを推奨します。
 

管理用テンプレート ファイルの更新

Windows Vista と以降のバージョンの Windows のグループ ポリシーでは、ローカル コンピューター上の管理用テンプレートのポリシー設定を変更しても、SYSVOL が自動的に更新されて新しい .admx ファイルや .adml ファイルが組み込まれることはありません。 この動作変更が実装されたのは、ネットワーク負荷とディスク記憶域要件を削減するためと、別々の場所で管理用テンプレートのポリシー設定が変更された場合に .admx ファイルと .adml ファイルの間で競合が発生するのを防ぐためです。

ローカルでのすべての更新が SYSVOL に反映されるように、ローカル コンピューター上の PolicyDefinitions ファイルから、適切なドメイン コントローラー上の Sysvol\PolicyDefinitions フォルダーに、更新後の .admx ファイルや .adml ファイルを手動でコピーする必要があります。

次の更新プログラムを使用すると、セントラル ストアではなくローカルの .admx ファイルを使用するようにローカル グループ ポリシー エディターを構成できます。
 

この設定を次に使用することもできます。

  • SYSVOL 上のセントラル ストアにコピーする前に、新しく構築したフォルダーを、ドメイン ポリシーの管理ワークステーション上で c:\windows\policydefinitions としてテストします。
  • 古い PolicyDefinitions フォルダーを使用して、セントラル ストアの最新のビルドに ADMX ファイルがないポリシー設定を編集します。 一般的な例の 1 つは、グループ ポリシーにまだ存在する古いバージョンの Microsoft Office の設定を持つポリシーです。 Microsoft Office には、リリースごとに個別の ADMX/L ファイルのセットが用意されています。

既知の問題

問題 1
Windows 10 の .admx テンプレートを SYSVOL セントラル ストアにコピーして、既存のすべての *.admx ファイルと *.adml ファイルを上書きした後、[コンピューターの構成] または [ユーザーの構成] の下の [ポリシー] ノードをクリックします。 その場合、次のエラー メッセージが表示されることがあります。
 
ダイアログ メッセージのテキスト
名前空間 'Microsoft.Policies.Sensors.WindowsLocationProvider' は、既にストア内の別のファイルのターゲット名前空間として定義されています。

ファイル
\\<forest.root>\SysVol\<forest.root>\Policies\PolicyDefinitions\Microsoft-Windows-Geolocation-WLPAdm.admx, 行 5, 列 110

: このメッセージのパスで、<forest.root> はドメイン名を表わしています。

この問題を解決するには、次のマイクロソフト サポート技術情報に記載されている手順に従ってください。
 
問題 2

更新された Windows 10 Version 1803 用の ADMX/L ファイルには、SearchOCR.ADML のみが含まれています。 これは、セントラル ストアにまだある SearchOCR.ADMX の古いリリースとは互換性がありません。 問題の詳細:

Windows で gpedit.msc を開くと、「Resource '$(string id=Win7Only)' referenced in attribute displayName could not be found」というエラーが発生する

これらの問題の両方が、上記で説明したように、基本 OS のリリース フォルダーから初期 PolicyDefinitions フォルダーを構築することで回避できます。