本記事はマイクロソフト社員によって公開されております。
こんにちは。Windows Commercial Support Directory Services チームです。
今回は 管理用テンプレートについてご紹介いたします。
管理用テンプレートとは
管理用テンプレートとは、グループ ポリシーの設定項目を定義したファイルです。
グループ ポリシー管理エディター内の [管理用テンプレート] に表示される項目は、管理用テンプレートのファイルを参照した結果が表示されています。
Windows OS のグループポリシーを管理するためのテンプレートや、Office アプリケーションを管理するためのテンプレートなどがあり、アプリケーションやコンポーネントごとに提供されています。
管理用テンプレートには、以下の 2 つのファイルが提供され、これらをドメインコントローラーに追加することで、グループ ポリシー管理エディター内の項目を追加更新し、新しいグループポリシーの設定ができるようになります。
- admx ファイル:グループ ポリシーの設定が含まれるファイル
- adml ファイル:各言語ごとのグループ ポリシーの項目名や説明が含まれるファイル
管理用テンプレートの更新による影響について
管理用テンプレートの更新を行い、テンプレートの項目が新しいテンプレートによって上書きされたとしても、現在ご利用中のグループ ポリシーの設定に影響はありません。
グループ ポリシー管理エディターで設定した情報は、registry.pol というファイルにレジストリ情報として格納され、グループ ポリシーが適用されているドメイン メンバーは、このファイルをもとにレジストリが設定される動作になります。
管理用テンプレートを更新した場合もドメイン メンバーに配布している registry.pol ファイルに対して変更や削除などの処理は行われないため、ご利用中のグループ ポリシーの設定に影響はありません。
しかしながら、グループ ポリシー管理エディター上の設定項目が更新されるため、
古いバージョンテンプレートでは存在した設定項目が新しいバージョンでは削除されていたり、
設定項目が変更された項目もあるため、表示上の影響があります。
管理用テンプレートの配置・バックアップ・リストアの手順
下記にテンプレートの配置手順、バックアップおよびリストアの手順をご案内いたします。
今回の手順では、管理する OS バージョンの管理用テンプレートを下記の リンクから取得し、取得したものに差し替える手順となっております。
中央ストアの作成と管理 - Windows Client | Microsoft Docs
https://docs.microsoft.com/ja-JP/troubleshoot/windows-client/group-policy/create-and-manage-central-store
管理用テンプレートの配置手順
事前確認
グループ ポリシーの管理用テンプレートは、各ドメイン コントローラーのローカルのものを使用している場合と、
ドメイン全体で共通のものを使用している場合がございます。
この差異により、テンプレートの展開方法が異なりますため、作業前に以下をご確認ください。
対象 :
任意のドメイン コントローラー
手順 :
1.対象のドメイン コントローラー上で、エクスプローラーから以下を開きます。
%systemroot%\Sysvol\domain\Policies2.”PolicyDefinitions” フォルダーが存在するかを確認します。
- “PolicyDefinitions” フォルダーが存在する場合は、A) の手順となります。
- “PolicyDefinitions” フォルダーが存在しない場合は、B) の手順となります。
A-1) セントラルストアをご利用の場合の手順
対象 :
ドメイン内の任意の 1 台のドメイン コントローラー
手順 :
1.利用する管理用テンプレートを準備します。
2.以下の既存 PolicyDefinitions フォルダーをバックアップのため、任意の場所にコピーします。
%systemroot%\Sysvol\domain\Policies\PolicyDefinitions※ FRS から DFSR への移行を行った環境の場合、以下のフォルダーの可能性があるため、上記にフォルダーがない場合、念のため、以下もご確認ください。
%systemroot%\Sysvol_DFSR\domain\Policies\PolicyDefinitions3.コマンド プロンプトを管理者として、起動後、以下のコマンドを実行します。
robocopy [複製元] [複製先] [ファイル] /B※ .admx /adml ファイルを下記のように 3 つのフォルダーに配置します。
例: Windows 10 21H1 用の管理用テンプレートを、既定の以下のフォルダーに展開した場合
“C:\Program Files (x86)\Microsoft Group Policy\Windows 10 May 2021 Update (21H1)\PolicyDefinitions”
robocopy "C:\Program Files (x86)\Microsoft Group Policy\Windows 10 May 2021 Update (21H1)\PolicyDefinitions" %systemroot%\Sysvol\domain\Policies\PolicyDefinitions\ *.admx /B
robocopy "C:\Program Files (x86)\Microsoft Group Policy\Windows 10 May 2021 Update (21H1)\PolicyDefinitions\ja-jp" %systemroot%\Sysvol\domain\Policies\PolicyDefinitions\ja-JP\ *.adml /B
robocopy "C:\Program Files (x86)\Microsoft Group Policy\Windows 10 May 2021 Update (21H1)\PolicyDefinitions\en-US" %systemroot%\Sysvol\domain\Policies\PolicyDefinitions\en-US\ *.adml /B※ 上記の 3 の手順で、Sysvol_DFSR をご利用の環境であることを確認した場合、コマンドは以下となります。
robocopy "C:\Program Files (x86)\Microsoft Group Policy\Windows 10 May 2021 Update (21H1)\PolicyDefinitions" %systemroot%\Sysvol_DFSR\domain\Policies\PolicyDefinitions\ *.admx /B
robocopy "C:\Program Files (x86)\Microsoft Group Policy\Windows 10 May 2021 Update (21H1)\PolicyDefinitions\ja-jp" %systemroot%\Sysvol_DFSR\domain\Policies\PolicyDefinitions\ja-JP\ *.adml /B
robocopy "C:\Program Files (x86)\Microsoft Group Policy\Windows 10 May 2021 Update (21H1)\PolicyDefinitions\en-US" %systemroot%\Sysvol_DFSR\domain\Policies\PolicyDefinitions\en-US\ *.adml /B手順は以上となります。
B-1) ローカルの管理用テンプレートの場合
対象 :
グループ ポリシー管理エディターを使用するドメイン コントローラー
(グループ ポリシーの設定変更するドメイン コントローラーが固定されていない場合は全てのドメイン コントローラー)
手順 :
1.利用する管理用テンプレートを準備します。
2.以下の既存 PolicyDefinitions フォルダーをバックアップのため、任意の場所にコピーします。
%systemroot%\PolicyDefinitions3.コマンド プロンプトを管理者として、起動後、以下のコマンドを実行します。
robocopy [複製元] [複製先] [ファイル] /B /MIR※ .admx /adml ファイルを下記のように 3 つのフォルダーに配置します。
例: Windows 10 21H1 用の管理用テンプレートを、既定の以下のフォルダーに展開した場合
“C:\Program Files (x86)\Microsoft Group Policy\Windows 10 May 2021 Update (21H1)\PolicyDefinitions”
robocopy "C:\Program Files (x86)\Microsoft Group Policy\Windows 10 May 2021 Update (21H1)\PolicyDefinitions" %systemroot%\PolicyDefinitions\ *.admx /B
robocopy "C:\Program Files (x86)\Microsoft Group Policy\Windows 10 May 2021 Update (21H1)\PolicyDefinitions\ja-jp" %systemroot%\PolicyDefinitions\ja-JP\ *.adml /B
robocopy "C:\Program Files (x86)\Microsoft Group Policy\Windows 10 May 2021 Update (21H1)\PolicyDefinitions\en-US" %systemroot%\PolicyDefinitions\en-US\ *.adml /B手順は以上となります。
留意事項 : adml ファイルについて
“PolicyDefinitions” フォルダー配下には、”jp-JP” フォルダーだけではなく、”en-US” フォルダーも格納します。
これは、今後これまでには存在しなかった新しい admx および adml ファイルがリリースされた際に、”en-US” のみ adml ファイルが用意されている場合があるためです。
リストア手順
A-2) セントラルストアをご利用の場合の手順
対象 :
ドメイン内の任意の 1 台のドメイン コントローラー
※他のドメイン コントローラーには、SYSVOL フォルダーの内容は複製されますため、作業は 1 台のみとなります。
手順 :
エクスプローラーから、セントラル ストアの [PolicyDefinitions] フォルダーの内容をバックアップとして取得した [PolicyDefinitions] フォルダーの内容で差し替えます。
B-2) ローカル ストアの手順
対象 :
上記の B-1 の手順でテンプレートの更新を行った全てのドメイン コントローラー
手順 :
既定では、ドメインの管理者であっても、ローカル ストアの [PolicyDefinitions] フォルダーに対して、フォルダーの内容を更新する権限はありません。
そのため、エクスプローラーから、ローカル ストアの [PolicyDefinitions] フォルダーの内容をバックアップとして取得した [PolicyDefinitions] フォルダーの内容で差し替えることができない場合は、以下の手順で、robocopy コマンドを実施します。
1.ドメイン コントローラーに管理者として、ログオンします。
2.コマンド プロンプトを管理者として起動後、以下のコマンドを実行します。
robocopy [複製元] [複製先] /B /MIR例: バックアップを C ドライブ直下の [bakcup] フォルダー内に取得した場合
“C:\Backup\PolicyDefinitions”
robocopy "C:\Backup\PolicyDefinitions" %systemroot%\PolicyDefinitions\ *.admx /B /MIR
robocopy "C:\Backup\PolicyDefinitions\ja-jp" %systemroot%\PolicyDefinitions\ja-JP\ *.adml /B /MIR
robocopy "C:\Backup\PolicyDefinitions\en-US" %systemroot%\PolicyDefinitions\en-US\ *.adml /B /MIR管理用テンプレートについてのよくある質問
Q. 管理用テンプレートは全てのサーバーに追加する必要があるのか?
A. 1 台のサーバーにのみ管理用テンプレートを追加し、グループポリシーを編集するといったご利用方法も可能です。
ただし、管理用テンプレート ファイルを保持していないサーバーでは、保持していないファイルに対するグループ ポリシーの操作ができません。
グループポリシーを操作するサーバーが特に決まっていない場合は、すべてのサーバーに追加しておいた方が操作の面で安心です。
Q. サーバへの適用とは別に、AD 管理下のクライアント (Windows 10 等) にも admx ファイルを追加する必要があるのか?
A. 管理用テンプレートファイル (admx/adml) は、グループ ポリシー管理エディター上で利用されるファイルになるためクライアントへの追加は不要です。
もし、ドメイン ポリシーではなく、ローカル ポリシーにて各コンピューターで設定を行う場合は、設定対象のコンピューターに管理用テンプレート ファイルの追加が必要になります。
Q. 新しい OS に更新する場合は、必ず新しい管理用テンプレートを追加しなくてはいけないのか?
A. OS の新機能をグループ ポリシーで設定することがなければ、サーバーに新しい OS の管理用テンプレートを追加する必要はございません。
更新履歴
2022/03/04 : 本ブログの公開
2022/06/24 : 一部コマンドの修正