管理テンプレート (.adm) ファイルグループ ポリシー管理するための推奨事項

  • [アーティクル]

この記事では、ADM ファイルのしくみ、操作を管理するために使用できるポリシー設定、および一般的な ADM ファイル管理シナリオを処理する方法に関する推奨事項について説明します。

適用対象:Windows Server 2012 R2、Windows 10 - すべてのエディション
元の KB 番号: 816662

注:

Windows Vista を使用して、中央ストアを使用してグループ ポリシー インフラストラクチャを管理することをお勧めします。 この推奨事項は、Windows XP または Windows Server 2003 を実行しているコンピューターなど、ダウンレベルのクライアントとサーバーが環境に混在している場合でも当てはまります。 Windows Vista では、ADMX ファイルと ADML ファイルを使用して、グループ ポリシー テンプレートを管理する新しいモデルを使用します。

詳細については、次の Web サイトを参照してください。

Windows XP ベースまたは Windows Server 2003 ベースのコンピューターを使用してグループ ポリシー インフラストラクチャを管理する必要がある場合は、この記事の推奨事項を参照してください。

ADM ファイルの概要

ADM ファイルは、レジストリ ベースのポリシー設定がレジストリに格納される場所を記述するためにグループ ポリシーによって使用されるテンプレート ファイルです。 ADM ファイルには、グループ ポリシー オブジェクト エディター スナップインに管理者が表示するユーザー インターフェイスも記述されています。 グループ ポリシー オブジェクト エディターは、グループ ポリシー オブジェクト (GPO) を作成または変更するときに管理者によって使用されます。

ADM ファイルのストレージと既定値

各ドメイン コントローラーの Sysvol フォルダーでは、各ドメイン GPO は 1 つのフォルダーを保持し、このフォルダーには グループ ポリシー Template (GPT) という名前が付けられます。 GPT は、GPO が最後に作成または編集されたときにグループ ポリシー オブジェクト エディターで使用されたすべての ADM ファイルを格納します。

各オペレーティング システムには、標準的な ADM ファイルのセットが含まれています。 これらの標準ファイルは、オブジェクト エディターによって読み込まれる既定グループ ポリシーファイルです。 たとえば、Windows Server 2003 には次の ADM ファイルが含まれています。

  • System.adm
  • Inetres.adm
  • Conf.adm
  • Wmplayer.adm
  • Wuau.adm

カスタム ADM ファイル

カスタム ADM ファイルは、プログラム開発者または IT プロフェッショナルが作成して、レジストリ ベースのポリシー設定の使用を新しいプログラムとコンポーネントに拡張できます。

注:

プログラムとコンポーネントは、ADM ファイルに記述されているポリシー設定を認識して応答するように設計およびコーディングする必要があります。

オブジェクト エディターに ADM ファイルグループ ポリシー読み込むには、次の手順に従います。

  1. グループ ポリシー オブジェクト エディターを開始します。

  2. [ 管理用テンプレート] を右クリックし、[ テンプレートの追加と削除] をクリックします。

    注:

    管理用テンプレートは、[ コンピューター ] または [ ユーザーの構成] で使用できます。 カスタム テンプレートに適した構成を選択します。

  3. [追加] をクリックします。

  4. ADM ファイルをクリックし、[ 開く] をクリックします。

  5. [閉じる] をクリックします。

  6. カスタム ADM ファイル ポリシー設定は、グループ ポリシー オブジェクト エディターで使用できるようになりました。

ADM ファイルとタイムスタンプを更新する

オブジェクト エディターグループ ポリシー実行するために使用される各管理ワークステーションは、ADM ファイルを %windir%\Inf フォルダーに格納します。 GPO を作成して最初に編集すると、このフォルダーの ADM ファイルが GPT の Adm サブフォルダーにコピーされます。 これには、標準の ADM ファイルと、管理者によって追加されたカスタム ADM ファイルが含まれます。

注:

GPO を後で編集せずに GPO を作成すると、ADM ファイルを含まない GPT が作成されます。

既定では、GPO を編集すると、グループ ポリシー オブジェクト エディターは、ワークステーションの %windir%\Inf フォルダー内の ADM ファイルのタイムスタンプを、GPTs Adm フォルダーに格納されているものと比較します。 ワークステーションのファイルが新しい場合、グループ ポリシー オブジェクト エディターは、これらのファイルを GPT Adm フォルダーにコピーし、同じ名前の既存のファイルを上書きします。 この比較は、管理者が GPO を実際に編集するかどうかに関係なく、グループ ポリシー オブジェクト エディターで [管理用テンプレート] ノード (コンピューターまたはユーザー構成) が選択されている場合に発生します。

注:

GPT に格納されている ADM ファイルは、グループ ポリシー オブジェクト エディターで GPO を表示することで更新できます。

ADM ファイル管理ではタイムスタンプが重要であるため、システム提供の ADM ファイルの編集はお勧めしません。 新しいポリシー設定が必要な場合は、カスタム ADM ファイルを作成することをお勧めします。 これにより、サービス パックのリリース時にシステム提供の ADM ファイルが置き換えられるのを防ぐことができます。

グループ ポリシー管理コンソール

既定では、グループ ポリシー管理コンソール (GPMC) では、タイムスタンプに関係なくローカル ADM ファイルが常に使用され、ADM ファイルは Sysvol にコピーされません。 ADM ファイルが見つからない場合、GPMC は GPT で ADM ファイルを検索します。 また、GPMC ユーザーは ADM ファイルの別の場所を指定できます。 別の場所が指定されている場合は、この代替の場所が優先されます。

GPO レプリケーション

ファイル レプリケーション サービス (FRS) は、ドメイン全体で GPO の GPT をレプリケートします。 GPT の一部として、Adm サブフォルダーがドメイン内のすべてのドメイン コントローラーにレプリケートされます。 各 GPO には複数の ADM ファイルが格納され、一部は非常に大きくなる可能性があるため、グループ ポリシー オブジェクト エディターを使用するときに追加または更新される ADM ファイルがレプリケーション トラフィックにどのように影響するかを理解する必要があります。

ポリシー設定を使用して ADM ファイルの更新を制御する

ADM ファイルの管理に役立つ 2 つのポリシー設定領域。 これらの設定により、管理者は特定の環境に対する ADM ファイルの使用を調整できます。 これらは、"ADM ファイルの自動更新をオフにする" および [グループ ポリシー エディターにローカル ADM ファイルを常に使用する] 設定です。

ADMファイルの自動更新をオフにする

このポリシー設定は、Windows Server 2003 のユーザー構成\管理用テンプレート\システム\グループ ポリシー、Windows XP、および Windows 2000 で使用できます。 この設定は、グループ ポリシー有効なクライアントに適用できます。

グループ ポリシー エディターには常にローカル ADM ファイルを使用する

このポリシー設定は、コンピューターの構成\管理用テンプレート\System\グループ ポリシー で使用できます。 これは新しいポリシー設定です。 Windows Server 2003 クライアントにのみ正常に適用される場合があります。 設定は古いクライアントに展開できますが、動作には影響しません。 この設定を有効にすると、グループ ポリシー オブジェクト エディターは、グループ ポリシー オブジェクトを編集するときに、ローカル システム %windir%\Inf フォルダー内のローカル ADM ファイルを常に使用します。

注:

このポリシー設定が有効になっている場合は、[ADM ファイルの自動更新を無効にする] ポリシー設定が暗黙的に指定されます。

多言語管理の問題に関する一般的なシナリオと推奨事項

一部の環境では、ポリシー設定を異なる言語でユーザー インターフェイスに提示する必要がある場合があります。 たとえば、米国の管理者は英語で特定の GPO のポリシー設定を表示したい場合があり、フランスの管理者はフランス語を優先言語として使用して同じ GPO を表示できます。 GPT は ADM ファイルのセットを 1 つだけ格納できるため、GPT を使用して両方の言語の ADM ファイルを格納することはできません。

Windows 2000 の場合、グループ ポリシー オブジェクト エディターによるローカル ADM ファイルの使用はサポートされていません。 これを回避するには、"ADM ファイルの自動更新を無効にする" ポリシー設定を使用します。 このポリシー設定は新しい GPO の作成には影響しないため、ローカル ADM ファイルは Windows 2000 の GPT にアップロードされ、Windows 2000 で GPO を作成すると、実質的に "GPO の言語" が定義されます。 すべての Windows 2000 ワークステーションで [ADM ファイルの自動更新を無効にする] ポリシー設定が有効な場合、GPT 内の ADM ファイルの言語は、GPO の作成に使用されるコンピューターの言語によって定義されます。

Windows XP と Windows Server 2003 を使用している管理者の場合は、[グループ ポリシー エディターにローカル ADM ファイルを常に使用する] ポリシー設定を使用できます。 これにより、GPT に格納されている ADM ファイルに関係なく、フランス語の管理者が自分のワークステーション (フランス語) にローカルにインストールされている ADM ファイルを使用してポリシー設定を表示できます。 このポリシー設定を使用する場合は、GPT に対する ADM ファイルの不要な更新を回避するために、[ADM ファイルの自動更新を無効にする] ポリシー設定が有効になっていることを意味します。

また、多言語管理環境の管理ワークステーション用に Microsoft の最新のオペレーティング システムで標準化することを検討してください。 次に、"グループ ポリシー エディターにローカル ADM ファイルを常に使用する" と "ADM ファイルの自動更新をオフにする" ポリシー設定の両方を構成します。

Windows 2000 ワークステーションを使用している場合は、管理者向けの [ADM ファイルの自動更新を無効にする] ポリシー設定を使用し、GPT 内の ADM ファイルをすべての Windows 2000 ワークステーションの有効な言語と見なします。

注:

Windows XP ワークステーションでは、ローカル言語固有のバージョンを引き続き使用できます。

オペレーティング システムと Service Pack のリリースに関する一般的なシナリオと推奨事項

各オペレーティング システムまたは Service Pack リリースには、以前のリリースで提供された ADM ファイルのスーパーセットが含まれています。これには、新しいリリースとは異なるオペレーティング システムに固有のポリシー設定が含まれます。 たとえば、Windows Server 2003 で提供される ADM ファイルには、Windows 2000 または Windows XP Professional にのみ関連するものを含め、すべてのオペレーティング システムのすべてのポリシー設定が含まれます。 つまり、オペレーティング システムまたはサービス パックの新しいリリースのコンピューターから GPO を表示するだけで、ADM ファイルが効果的にアップグレードされます。 以降のリリースは通常、以前の ADM ファイルのスーパーセットです。これは通常、使用されている ADM ファイルが編集されていないと仮定して、問題が発生しません。

場合によっては、オペレーティング システムまたは Service Pack リリースに、以前のリリースで提供された ADM ファイルのサブセットが含まれる場合があります。 これにより、ADM ファイルの以前のサブセットが表示される可能性があるため、グループ ポリシー オブジェクト エディターを使用すると、ポリシー設定が管理者に表示されなくなります。 ただし、ポリシー設定は GPO でアクティブなままになります。 グループ ポリシー オブジェクト エディターのポリシー設定の可視性のみが影響を受けます。 アクティブな (有効または無効) ポリシー設定は、グループ ポリシー オブジェクト エディターには表示されませんが、アクティブなままになります。 設定は表示されないため、管理者がこれらのポリシー設定を表示または編集することはできません。 この問題を回避するには、タイムスタンプの比較で更新プログラムが適切であると判断されたときに、GPO を表示する操作で GPT 内の ADM ファイル エディター グループ ポリシーを更新するのに十分であることを念頭に置いて、オペレーティング システムまたは Service Pack の各リリースに含まれる ADM ファイルについて理解しておく必要があります。

お使いの環境でこれを計画するには、次のいずれかをお勧めします。

  • GPO のすべての表示と編集を行う標準のオペレーティング システム/Service Pack を定義し、使用されている ADM ファイルにすべてのプラットフォームのポリシー設定が含まれていることを確認します。

  • すべてのグループ ポリシー管理者の "ADM ファイルの自動更新を無効にする" ポリシー設定を使用して、グループ ポリシー オブジェクト エディター セッションによって ADM ファイルが GPT で上書きされないようにし、Microsoft から入手できる最新の ADM ファイルを使用していることを確認します。

注:

"グループ ポリシー エディターにローカル ADM ファイルを常に使用する" ポリシーは、通常、グループ ポリシー オブジェクト エディターが実行されているオペレーティング システムでサポートされている場合に、このポリシーで使用されます。

Sysvol フォルダーから ADM ファイルを削除する

既定では、ADM ファイルは GPT に格納されるため、Sysvol フォルダーのサイズが大幅に増加する可能性があります。 また、GPO を頻繁に編集すると、大量のレプリケーション トラフィックが発生する可能性があります。 "ADM ファイルの自動更新をオフにする" ポリシー設定と "グループ ポリシー エディターにローカル ADM ファイルを常に使用する" ポリシー設定を組み合わせて使用すると、Sysvol フォルダーのサイズを大幅に縮小し、ポリシーに関連するレプリケーション トラフィックが大幅に削減され、多数のポリシー編集が発生する場合があります。

Sysvol ボリュームまたはグループ ポリシー関連するレプリケーション トラフィックのサイズが問題になる場合は、Sysvol に ADM ファイルが格納されない環境の実装を検討してください。 または、管理ワークステーションで ADM ファイルを維持することを検討してください。 次のセクションで、このプロセスについて説明します。

ADM ファイルの Sysvol フォルダーをクリアするには、次の手順に従います。

  1. GPO を編集するすべてのグループ ポリシー管理者に対して、[ADM ファイルの自動更新を無効にする] ポリシー設定を有効にします。
  2. このポリシーが適用されていることを確認します。
  3. カスタム ADM テンプレートを %windir%\Inf フォルダーにコピーします。
  4. 既存の GPO を編集し、GPT からすべての ADM ファイルを削除します。 これを行うには、[ 管理用テンプレート] を右クリックし、[ テンプレートの追加と削除] をクリックします。
  5. 管理ワークステーションの [グループ ポリシー オブジェクトの編集にローカル ADM ファイルを常に使用する] ポリシー設定を有効にします。

管理ワークステーションで ADM ファイルを維持する

[グループ ポリシー エディターにローカル ADM ファイルを常に使用する] ポリシー設定を使用する場合は、各ワークステーションに既定の ADM ファイルとカスタム ADM ファイルの最新バージョンがあることを確認します。 すべての ADM ファイルをローカルで使用できない場合、GPO に含まれる一部のポリシー設定は管理者に表示されません。 すべての管理者に標準のオペレーティング システムと Service Pack バージョンを実装することで、これを回避します。 標準のオペレーティング システムとサービス パックを使用できない場合は、最新の ADM ファイルをすべての管理ワークステーションに配布するプロセスを実装します。

注:

  • ワークステーション ADM ファイルは %windir%\Inf フォルダーに格納されるため、これらのファイルを配布するために使用されるプロセスは、ワークステーション上の管理者資格情報を持つアカウントのコンテキストで実行する必要があります。
  • Windows XP では、Sysvol フォルダーに ADM ファイルがない場合、GPO の編集はサポートされていません。 ライブ環境では、この設計制限を考慮する必要があります。