本記事はマイクロソフト社員によって公開されております。
こんにちは。Windows Commercial Support Directory Services チームです。
今回は管理用テンプレートについてご紹介します。
管理用テンプレートとは
管理用テンプレートとは、グループ ポリシーの設定項目を定義したファイルです。
グループ ポリシー管理エディター内の [管理用テンプレート] に表示される項目は、管理用テンプレートのファイルを参照した結果が表示されています。
Windows OS のグループ ポリシーを管理するためのテンプレートや、Office アプリケーションを管理するためのテンプレートなどがあり、アプリケーションやコンポーネントごとに提供されています。
管理用テンプレートには、以下の 2 つのファイルが提供され、これらをドメイン コントローラーに追加することで、グループ ポリシー管理エディター内の項目を追加更新し、新しいグループ ポリシーの設定ができるようになります。
- admx ファイル:グループ ポリシーの設定が含まれるファイル
- adml ファイル:各言語ごとのグループ ポリシーの項目名や説明が含まれるファイル
管理用テンプレートの更新による影響について
管理用テンプレートの更新を行い、テンプレートの項目が新しいテンプレートによって上書きされたとしても、現在ご利用中のグループ ポリシーの設定に影響はありません。
グループ ポリシー管理エディターで設定した情報は、registry.pol というファイルにレジストリ情報として格納され、グループ ポリシーが適用されているドメイン メンバーは、このファイルをもとにレジストリが設定される動作になります。
管理用テンプレートを更新した場合もドメイン メンバーに配布している registry.pol ファイルに対して変更や削除などの処理は行われないため、ご利用中のグループ ポリシーの設定に影響はありません。
しかしながら、グループ ポリシー管理エディター上の設定項目が更新されるため、
古いバージョンのテンプレートでは存在した設定項目が新しいバージョンでは削除されていたり、
設定項目が変更されたグループ ポリシーもあるため、表示上の影響があります。
管理用テンプレートの配置・バックアップ・リストアの手順
下記にテンプレートの配置手順、バックアップおよびリストアの手順をご案内します。
今回の手順では、管理する OS バージョンの管理用テンプレートを下記のリンクから取得し、セントラルストア内データを取得したものに差し替える手順となっています。
中央ストアの作成と管理 - Windows Client | Microsoft Docs
https://docs.microsoft.com/ja-JP/troubleshoot/windows-client/group-policy/create-and-manage-central-store
管理用テンプレートの配置手順
事前確認
グループ ポリシーの管理用テンプレートは、各ドメイン コントローラーのローカルの管理用テンプレートを使用している場合と、ドメイン全体で共通の管理用テンプレートを使用している場合があります。
ローカルの管理用テンプレートファイル (“%systemroot%\PolicyDefinitions” 配下のファイル) については、Windows Update で更新されるファイルであることから、残念ながら手動で更新することはサポートしておりません。
そのため利用したい管理テンプレートを変更したい場合、下記 2 つのパターンが考えられます。
1, セントラルストアを利用
2, 利用したい管理テンプレートの OS バージョンのクライアントを用意し、そのクライアントに “RSAT:グループポリシー管理ツール” をインストールして管理
セントラルストアを利用する場合、ドメインで共通の管理用テンプレートを利用することになります。
セントラルストアを既に利用しているかは、下記手順にて確認します。
対象 :
任意のドメイン コントローラー
手順 :
- 対象のドメイン コントローラー上で、エクスプローラーから以下を開きます。
%systemroot%\Sysvol\domain\Policies
- “PolicyDefinitions” フォルダーが存在するかを確認します。
“PolicyDefinitions” フォルダーが存在する場合は、セントラルストアを利用しています。
“PolicyDefinitions” フォルダーが存在しない場合はセントラルストアを利用していません。
そのため事前に PolicyDefinitions という名前のフォルダーを作成します。
セントラルストアの管理用テンプレート更新手順
対象 :
ドメイン内の任意の 1 台のドメイン コントローラー
手順 :
利用する管理用テンプレートを準備します。
以下の既存の “PolicyDefinitions” フォルダーをバックアップのため、任意の場所にコピーします。
%systemroot%\Sysvol\domain\Policies\PolicyDefinitions
※ FRS から DFSR への移行を行った環境の場合、以下のフォルダーに変更されている可能性があります。上記フォルダーがない場合、以下もご確認ください。
%systemroot%\Sysvol_DFSR\domain\Policies\PolicyDefinitionsコマンド プロンプトを管理者として、起動後、以下のコマンドを実行します。
robocopy [複製元] [複製先] [ファイル] /B
※ .admx /adml ファイルを下記のように 3 つのフォルダーに配置します。
例: Windows 10 21H1 用の管理用テンプレートを、既定の以下のフォルダーに展開した場合
“C:\Program Files (x86)\Microsoft Group Policy\Windows 10 May 2021 Update (21H1)\PolicyDefinitions”
robocopy "C:\Program Files (x86)\Microsoft Group Policy\Windows 10 May 2021 Update (21H1)\PolicyDefinitions" %systemroot%\Sysvol\domain\Policies\PolicyDefinitions\ *.admx /B
robocopy "C:\Program Files (x86)\Microsoft Group Policy\Windows 10 May 2021 Update (21H1)\PolicyDefinitions\ja-jp" %systemroot%\Sysvol\domain\Policies\PolicyDefinitions\ja-JP\ *.adml /B
robocopy "C:\Program Files (x86)\Microsoft Group Policy\Windows 10 May 2021 Update (21H1)\PolicyDefinitions\en-US" %systemroot%\Sysvol\domain\Policies\PolicyDefinitions\en-US\ *.adml /B※ 上記の 3 の手順で、Sysvol_DFSR をご利用の環境であることを確認した場合、コマンドは以下となります。
robocopy "C:\Program Files (x86)\Microsoft Group Policy\Windows 10 May 2021 Update (21H1)\PolicyDefinitions" %systemroot%\Sysvol_DFSR\domain\Policies\PolicyDefinitions\ *.admx /B
robocopy "C:\Program Files (x86)\Microsoft Group Policy\Windows 10 May 2021 Update (21H1)\PolicyDefinitions\ja-jp" %systemroot%\Sysvol_DFSR\domain\Policies\PolicyDefinitions\ja-JP\ *.adml /B
robocopy "C:\Program Files (x86)\Microsoft Group Policy\Windows 10 May 2021 Update (21H1)\PolicyDefinitions\en-US" %systemroot%\Sysvol_DFSR\domain\Policies\PolicyDefinitions\en-US\ *.adml /B手順は以上となります。
留意事項 : adml ファイルについて
“PolicyDefinitions” フォルダー配下には、”jp-JP” フォルダーだけではなく、”en-US” フォルダーも格納します。
これは、今後これまでには存在しなかった新しい admx および adml ファイルがリリースされた際に、”en-US” のみ adml ファイルが用意されている場合があるためです。
リストア手順
セントラルストアの管理用テンプレート リストア手順
対象 :
ドメイン内の任意の 1 台のドメイン コントローラー
※他のドメイン コントローラーには、SYSVOL フォルダーの内容は複製されるため、作業は 1 台のみとなります。
手順 :
エクスプローラーから、セントラルストアの “PolicyDefinitions” フォルダーの内容を、バックアップとして取得した “PolicyDefinitions” フォルダーの内容で差し替えます。
管理用テンプレートについてのよくある質問
Q. ローカルの管理用テンプレートファイルの手動更新はサポートされないとのことだが、Edge や Office 等の管理用テンプレートの追加は問題ないのか?
A. 各アプリケーションの管理用テンプレート追加手順に従って追加する場合は問題ございません。
OS が元から持っている既存の管理用テンプレートを手動で更新した場合、その後 OS の更新プログラム適用に失敗する可能性がございます。
Q. サーバーへの適用とは別に、AD 管理下のクライアント (Windows 10 等) にも admx ファイルを追加する必要があるのか?
A. 管理用テンプレート ファイル (admx/adml) は、グループ ポリシー管理エディター上で利用されるファイルになるためクライアントへの追加は不要です。
もし、ドメイン ポリシーではなく、ローカル ポリシーにて各コンピューターで設定を行う場合は、設定対象のコンピューターに管理用テンプレート ファイルを追加する必要があります。
Q. 新しい OS に更新する場合は、必ず新しい管理用テンプレートを追加しなくてはいけないのか?
A. OS の新機能をグループ ポリシーで設定することがなければ、サーバーに新しい OS の管理用テンプレートを追加する必要はありません。
更新履歴
2022/03/04 : 本ブログの公開
2022/06/24 : 一部コマンドの修正
2024/04/08 : ローカルの管理用テンプレート手動更新手順の削除