グループ ポリシー管理用テンプレート (.adm) ファイルの管理に関する推奨事項


概要


この資料では、ADM ファイルの動作、ADM ファイルの処理の管理に利用できるポリシー設定、および一般的な ADM ファイル管理の問題の対処方法に関する推奨事項を説明します。

メモ 中央ストアを使用してグループポリシーインフラストラクチャを管理するには、Windows Vistaを使用することをお勧めします。 この推奨事項は、Windows XPまたはWindows Server 2003を実行しているコンピュータなど、環境に混在したクライアントとサーバーが混在している場合でも、真の推奨事項に該当します。 Windows Vistaでは、ADMXファイルとADMLファイルを使用してグループポリシーテンプレートを管理する新しいモデルを使用します。

詳細については、次の Web サイトを参照してください。
Windows XP: 忘れないでください...

http://blogs.technet.com/grouppolicy/archive/2006/08/31/453147.aspx

Windows Vistaを使用してグループポリシーを展開する

http://technet.microsoft.com/ja-jp/library/cc766208.aspx

Window Vista でグループ ポリシー管理用テンプレート用のセントラル ストアを作成および管理する方法
http://support.microsoft.com/ja-jp/kb/929841
Windows XPベースまたはWindows Server 2003ベースのコンピューターを使用してグループポリシーインフラストラクチャを管理する必要がある場合は、この記事の推奨事項を参照してください。

ADM ファイルの概要

ADMファイルは、レジストリにレジストリベースのポリシー設定を格納する場所を記述するためにグループポリシーで使用されるテンプレートファイルです。 ADMファイルについては、管理者がグループポリシーオブジェクトエディタスナップインに表示するユーザーインターフェイスも説明します。グループポリシーオブジェクトエディタは、グループポリシーオブジェクト(GPO)を作成または変更するときに管理者が使用します。

ADM ファイルの格納場所およびデフォルトの ADM ファイル

各ドメインコントローラーの Sysvol フォルダーでは、各ドメインGPO は1つのフォルダーを保持し、このフォルダーにはグループポリシーテンプレート(GPT)という名前が付けられます。 GPTは、GPOが最後に作成または編集されたときにグループポリシーオブジェクトエディタで使用されていたすべてのADMファイルを格納します。

各オペレーティングシステムには、標準 ADM ファイルのセットが含まれています。 これらの標準ファイルは、グループポリシーオブジェクトエディタによって読み込まれる既定のファイルです。 たとえば、Windows Server 2003には次のADMファイルが含まれています。
  • System.adm
  • Inetres.adm
  • Conf.adm
  • Wmplayer.adm
  • Wuau.adm

カスタム ADM ファイル

プログラム開発者や IT 担当者はカスタムの ADM ファイルを作成して、レジストリ ベースのポリシー設定の使用範囲を新しいプログラムおよびコンポーネントまで拡張できます。

プログラムおよびコンポーネントは、ADM ファイルに記述されているポリシー設定を認識し、それに対応するように、設計およびコード化されている必要があります。


ADM ファイルをグループ ポリシー オブジェクト エディタに読み込むには、以下の手順を実行します。
  1. グループ ポリシー オブジェクト エディタを起動します。
  2. [管理用テンプレート] を右クリックし、[テンプレートの追加と削除] をクリックします。

    [管理用テンプレート]は、以下のいずれかの下にあります。
    コンピューター あるいは ユーザー コンフィギュレーション。 カスタムテンプレートに適した構成を選択します。
  3. [追加] をクリックします。
  4. ADM ファイルをクリックし、さらにクリックします。
    [開く] をクリックします。
  5. [閉じる] をクリックします。
  6. これで、グループ ポリシー オブジェクト エディタでカスタム ADM ファイルのポリシー設定を利用できます。

ADM ファイルとタイム スタンプの更新

グループポリシーオブジェクトエディタを実行するために使用される各管理ワークステーションは、ADM ファイルを %windir%\Inf フォルダーに格納します。 GPO が作成され、最初に編集されると、このフォルダーの ADM ファイルが GPT サブフォルダの Adm サブフォルダにコピーされます。 これには、標準のADMファイルと、管理者が追加したカスタム ADMファイルが含まれます。

:GPO の作成後に編集を行わないと、ADM ファイルを持たない GPT が作成されます。

既定では、GPOが編集されると、グループポリシーオブジェクトエディタは、ADMファイルのタイムスタンプを、GPT Admフォルダーに格納されている、ワークステーションの%windir%\Infフォルダー内のタイムスタンプと比較します。 ワークステーションのファイルが新しいバージョンである場合、グループポリシーオブジェクトエディタはこれらのファイルをGPT Admフォルダーにコピーし、同じ名前の既存のファイルを上書きします。 この比較は、管理者がGPOを実際に編集するかどうかに関係なく、グループポリシーオブジェクトエディタで[管理用テンプレート]ノード(コンピュータまたはユーザー構成)が選択されたときに発生します。


: GPT に格納されている ADM ファイルは、グループ ポリシー オブジェクト エディタで GPO を表示することで更新できます。

ADMファイル管理のタイムスタンプの重要性のため、システムから提供されている ADMファイルの編集はお勧めしません。 新しいポリシー設定が必要な場合は、カスタム ADMファイルを作成することをお勧めします。 これにより、サービスパックがリリースされたときに、システムから提供されている ADMファイルの交換を回避できます。

グループ ポリシー管理コンソール

既定では、グループポリシー管理コンソール( GPMC )は、タイムスタンプに関係なくローカルのADMファイルを常に使用し、ADM ファイルを Sysvol にコピーしません。 ADMファイルが見つからない場合、GPMC は GPT 内のADMファイルを探します。 また、GPMC のユーザーは、ADMファイルの代替の場所を指定できます。 別の場所を指定すると、この場所が優先されます。

GPO のレプリケーション

ファイル レプリケーション サービス(FRS)は、ドメイン全体で GPO の GPT をレプリケートします。 GPT の一環として、Adm サブフォルダはドメイン内のすべてのドメインコントローラーにレプリケートされます。 各 GPOは複数の ADM ファイルを格納するので、一部のファイルがかなり大きい場合があり、グループポリシーオブジェクトエディタの使用時に追加または更新されるADMファイルの方が、グループポリシーオブジェクトエディタのレプリケーショントラフィックに影響を与えることを理解する必要があります。

ポリシー設定を使用した ADM ファイルの更新の制御

ADMファイルの管理に役立つ2つのポリシー設定領域。 これらの設定により、管理者は特定の環境のADMファイルの使用を調整できます。 これらは、[ADMファイルの自動更新をオフにする] および [グループポリシーエディタでは常にローカルADMファイルを使用する] という設定です。

ADM ファイルの自動的更新をオフにする

このポリシー設定は、Windows Server 2003、Windows XP、および Windows 2000 の、ユーザーコンフィグレーション>管理用テンプレート>システム>グループ ポリシーにあります。 この設定は、すべてのグループ ポリシーが有効になっているクライアントに適用できます。

グループ ポリシー エディタに対してローカル ADM ファイルを常に使用する

このポリシー設定は、コンピュータの構成\管理用テンプレート\システム\グループポリシーで使用できます。 これは新しいポリシー設定です。 Windows Server 2003 クライアントにのみ正常に適用できます。 この設定は古いクライアントに展開されますが、動作には影響しません。 この設定が有効な場合、グループポリシーオブジェクトを編集すると、グループポリシーオブジェクトエディターはローカルシステム%windir%\Infフォルダー内のローカルADMファイルを常に使用します。

:このポリシー設定が有効になっている場合、[ADM ファイルの自動的更新をオフにする] ポリシー設定も有効になります。

共通のシナリオおよび推奨事項

複数言語での管理に関する問題

環境によっては、ポリシー設定を異なる言語でユーザーインターフェイスに表示する必要がある場合があります。 たとえば、米国の管理者が英語で特定のGPOのポリシー設定を表示したり、優先的に使用する言語として管理者がフランス語を使用して同じGPOを表示したりする場合があります。 GPT はADM ファイルのセットを1つしか格納できないため、GPTを使用して両方の言語のADMファイルを保存することはできません。

Windows 2000では、グループポリシーオブジェクトエディタによるローカルADMファイルの使用はサポートされていません。 これを回避するには、[ ADMファイルの自動更新をオフにする ]ポリシー設定を使用します。 このポリシー設定は、新しい GPO の作成に影響しないので、ローカル ADM ファイルは Windows 2000 の GPT にアップロードされ、Windows 2000 の GPO 作成によって「GPO の言語」を効果的に定義します。 あらゆるWindows 2000 ワークステーションにて [ ADMファイルの自動更新をオフにする ] ポリシー設定が有効になっている場合は、GPTのADMファイルの言語が、GPOの作成に使用されるコンピューターの言語で定義されます。

Windows XP および Windows Server 2003 を使用している管理者は、[グループポリシーエディタのローカルADMファイルを常に使用する] というポリシー設定が使用できます。 これにより、GTP にADM ファイルが保存されているいかんにかかわらず、フランス語を使用する管理者は、ワークステーション(フランス語)にインストールされている ADM ファイルを使用してポリシー設定を表示できます。 このポリシー設定を使用すると、[ADMファイルの自動更新をオフにする]ポリシー設定が有効になっていないと、ADMファイルがGPTに更新されないようにすることができます。

また、複数言語の管理環境では、Microsoftからの管理ワークステーションで最新のオペレーティングシステムを拡張することを検討してください。 次に、「グループ ポリシー エディターにローカル ADM ファイルを常に使用する」と「ADM ファイルないの自動アップデートをオフにする」の両方を構成します。

Windows 2000 ワークステーションを使用している場合、管理者に対して [ADM ファイルの自動的更新をオフにする] ポリシー設定を有効にして、GPT 内の ADM ファイルをすべての Windows 2000 ワークステーションで使用する言語にすることを検討します。

: Windows XP ワークステーションでは、依然としてローカルの言語固有のバージョンが使用される場合があります。

オペレーティング システムおよび Service Pack のリリースに関する問題

各オペレーティングシステムまたはサービスパックリリースには、以前のリリースで提供されていた ADM ファイルのスーパーセットが含まれています。これには、新しいリリースのものとは異なるオペレーティング システムに固有のポリシー設定も含まれます。 たとえば、Windows Server 2003 に付属する ADM ファイルには、すべてのオペレーティングシステムのすべてのポリシー設定(Windows 2000 または Windows XP Professional のみに関連するものも含む)が含まれます。 つまり、新しいリリースのオペレーティングシステムまたはサービスパックと搭載したコンピュータからの GPO 閲覧のみが、ADM ファイルを効果的にアップグレードします。 最新リリースは、通常、以前の ADM ファイルのスーパーセットであり、支障が起きることはなく、通常、使用されているADMファイルが編集されていないと推測されます。

状況によっては、オペレーティングシステムまたはサービスパックリリースに、以前のリリースで提供されていたADMファイルのサブセットが含まれる場合があります。 これには、ADMファイルの以前のサブセットが存在する可能性があり、その結果、グループポリシーオブジェクトエディタを使用するときに管理者が表示できなくなります。 ただし、このポリシー設定はGPOでアクティブになります。 グループポリシーオブジェクトエディタのポリシー設定の可視性のみが影響を受けます。 アクティブ(有効または無効)ポリシー設定は、グループポリシーオブジェクトエディタでは表示されませんが、アクティブなままです。 設定は表示されないため、管理者はこれらのポリシー設定を表示または編集できません。 この問題を回避するには、オペレーティングシステムでグループポリシーオブジェクトエディタを使用する前に、管理者は各オペレーティングシステムまたはサービスパックリリースに含まれるADMファイルに十分に慣れる必要があり、タイムスタンプ比較がアップデートを適正だと判断する際、GPO の閲覧する行為が、GPTでADM ファイルをアップデートするのに十分であるかを心に留めておきます。

現在の環境に新しいバージョンのオペレーティング システムまたは Service Pack のインストールを計画する場合、以下のいずれかの方法を実行することをお勧めします。
  • 使用している ADM ファイルにすべてのプラットフォームのポリシー設定が含まれていることを確認し、GPO の表示と編集をすべて行う標準のオペレーティング システムまたは Service Pack を定義します。
  • [ADM ファイルの自動的更新をオフにする] ポリシー設定をすべてのグループ ポリシー管理者に使用し、グループ ポリシー オブジェクト エディタのセッションで GPT の ADM ファイルが上書きされないようにします。また、マイクロソフトが提供する最新の ADM ファイルを使用するようにします。
: [グループ ポリシー オブジェクト エディタに対してローカル ADM ファイルを常に使用する] ポリシー設定は、グループ ポリシー オブジェクト エディタを実行するオペレーティング システムでサポートされている場合、通常 [ADM ファイルの自動的更新をオフにする] ポリシー設定と共に使用します。

Sysvol フォルダから ADM ファイルを削除する

既定では、ADMファイルはGPTに格納され、このフォルダーのサイズは大幅に大きくなります。 また、GPOを頻繁に編集すると、大量のレプリケーショントラフィックが発生する可能性があります。 「ADMファイルの自動更新をオフにする」と「グループ ポリシー エディターにローカル ADM を常に使用する」のポリシー設定を組み合わせて使用すると、 Sysvol フォルダーのサイズを大幅にへらすことができ、また膨大な数のポリシー編集が発生するポリシーに関連したレプリケーショントラフィックを減らすことができます。

Sysvol ボリュームのサイズまたはグループポリシーに関連したレプリケーション トラフィックによって問題が発生した場合、Sysvol に ADM ファイルを格納しないように環境を構築することを検討します。 あるいは、管理用ワークステーションで ADM ファイルを保持することを検討します。 ここでは、その手順について説明します。

Sysvol フォルダから ADM ファイルを削除するには、以下の手順を実行します。
  1. [ADM ファイルの自動的更新をオフにする] ポリシー設定を、GPO を編集するすべてのグループ ポリシー管理者に対して有効にします。
  2. このポリシーが適用されていることを確認します。
  3. すべてのカスタム ADM テンプレートを %windir%\Inf フォルダにコピーします。
  4. 既存のGPOを編集し、すべてのADMファイルをGPTから削除します。 [管理用テンプレート] を右クリックし、[テンプレートの追加と削除] ]をクリックします。
  5. [グループ ポリシー オブジェクト エディタに対してローカル ADM ファイルを常に使用する] ポリシー設定を管理用ワークステーションに対して有効にします。

管理用ワークステーションに ADM ファイルを保存する

「グループポリシーエディターに対し ADM ファイルを常に使用する」ポリシー設定を使用する場合は、各ワークステーションに最新バージョンの既定およびカスタムADMファイルがあることを確認します。 すべての ADM ファイルをローカルで使用できない場合、GPO に含まれている一部のポリシー設定は管理者に表示されません。 これを回避するには、標準のオペレーティングシステムとサービスパックバージョンをすべての管理者に実装します。 標準のオペレーティングシステムとサービスパックを使用できない場合は、最新の ADM ファイルをすべての管理ワークステーションに配布するプロセスを実装します。

:ワークステーションの ADM ファイルは %windir%\Inf フォルダに格納されているため、これらのファイルの配布に使用する処理は、ワークステーションの管理者の資格情報を持つアカウントのコンテキストで実行する必要があります。

: Sysvol フォルダに ADM ファイルがない場合、Windows XP では GPO の編集がサポートされません。 実際の環境では、この設計上の制限を考慮する必要があります。

関連情報


Windows Server 2003 のグループ ポリシーの関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。

316977 Windows Server 2003 におけるグループ ポリシー テンプレートの動作