Windowsのバージョンが混在する環境におけるポリシー管理用テンプレートのベストプラクティス:企業ユーザーに贈るWindows 10への乗り換え案内(118)
前回は、Windowsの古いポリシー管理用テンプレートに関する注意点について触れました。今回は、さまざまなバージョンのWindowsおよびWindows Serverが混在する企業のActive Directoryドメイン環境における「グループポリシー管理用テンプレート」の管理方法を取り上げます。
ポリシー適用対象のWindows PCでポリシーを編集する方法
Windowsのバージョンによって「ポリシー管理用テンプレート」は新しくなり、新しいポリシーが追加されたり、廃止されたり、同じポリシー設定内の設定項目が増えたりします。また、前回記事で指摘したように、同じバージョンのWindowsであっても、毎月の品質更新プログラムによって、新しい管理用テンプレートに置き換えられる場合もあります。
さまざまなバージョンのWindowsおよびWindows Serverが混在しているActive Directoryドメイン環境では、「グループポリシーオブジェクト(GPO)」を分割することが考慮点の一つになります(WMIフィルターなどを使用して適用対象をフィルターできます)。
「Windows 10」および「Windows 11」の場合は、Windowsのオプション機能である「RSAT:グループポリシー管理ツール」を追加することで(画面1)、SYSVOL共有経由でドメインのGPOを、ローカルのポリシー管理用テンプレート(C:\Windows\PolicyDefinitionsにある.admxおよび言語名\*.adml)を使用して編集できます(もちろん、ドメイン管理者としてログオンして編集する必要があります)。
ポリシー適用対象と同じバージョンのWindowsでGPOを編集することで、そのWindowsの最新のポリシー管理テンプレート(Windows Updateで更新されたものを反映)で作業できるようになり、新しいバージョンのWindowsで追加された、目的のWindowsでは利用できないポリシーに誤って触れてしまう心配もありません(図1)。
ただし、この方法は、Windowsのバージョンが増えると、編集用PCを都度切り替える必要があるため、大変です。ポリシー管理用テンプレートは、Windows 10をひとくくりとしており、バージョンの違いでポリシーに対応しているか否かまでは教えてくれません(最新のWindows 10 バージョン21H2は、13個目のバージョンです)。Windows 10の細かいバージョンの不一致は、設定ミスの原因になるかもしれません。
セントラルストアを使用する方法
管理用のPCを1台(または少数)に限定し、全てのGPOを管理するには、SYSVOL共有にポリシー管理用テンプレートの「セントラルストア」を構成します。この方法であれば、どのバージョンのWindowsからでも、SYSVOL共有のセントラルストアにあるポリシー管理用テンプレートを使用して、GPOを編集できます(図2)。
- グループポリシー管理用の中央ストアを作成および管理するWindows(Microsoft Docs)
ここで多くの方が疑問に思うのは、セントラルストアにどのバージョンのWindowsの管理用テンプレートを配置すればよいのか、ということでしょう。複数バージョンのWindowsの管理用テンプレートを、セントラルストアに別々に配置することは不可能です。
答えは簡単で、導入されているWindowsバージョンのうち、最新バージョンのWindows PCの「C:\Windows\PolicyDefinitions」から、管理用テンプレート(*.admx)と言語ファイル(言語名\*.adml)をコピーすればよいのです。
以下のMicrosoft公式ブログでも説明されているように、管理用テンプレートには下位互換性があるため、最新のWindowsのものをセントラルストアに配置することで、全てのバージョンをカバーすることができます。
重要なのは、Windows Updateで更新された最新のものをセントラルストアにコピーし、常に最新状態に維持することです。前回記事でも指摘したように、前述したドキュメントのリンク先にあるWindowsの各バージョン向け管理用テンプレートは、リリース時点のものであり、Windows Updateによる更新で入れ替わったものは反映されていません。
- Windows 10 or Windows 11 GPO ADMX - Which One To Use For Your Central Store?[英語](Microsoft Tech Community)
Windows 11を導入済み、または間もなく導入予定であれば、Windows 11のものを配置すればよいですし、Windows 10の場合はバージョン21H2が最新です。上記の公式ブログでは、Windows 10 バージョン21H2でのみ利用可能なポリシー設定と、Windows 11(こちらもバージョン21H2)でのみ利用可能なポリシー設定が一覧にまとめられています。
また、Windows Updateのポリシーに関しては、Windows 11でフォルダ構造が大きく変更されているため、Windows 11の管理用テンプレートを使用する場合は、その点についても注意してください(画面2)。
Microsoftは以下の公式ブログで、新しいバージョンで実装されていないか、実装が変わったためにWindows 10およびWindows 11で設定すべきではない25のポリシー設定に関する情報も最近公開しました。
- Why you shouldn’t set these 25 Windows policies[英語](Microsoft Tech Community)
これは、混在環境において、適切にGPOを設定する上で重要な情報です。これまで不明確だった、Windows 10で利用できなくなったポリシー設定が意外と多いので、一読することをお勧めします。
筆者紹介
山市 良(やまいち りょう)
岩手県花巻市在住。Microsoft MVP 2009 to 2022(Cloud and Datacenter Management)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows版Docker&Windowsコンテナーテクノロジ入門』(日経BP社)、『ITプロフェッショナル向けWindowsトラブル解決 コマンド&テクニック集』(日経BP社)。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
Windows 11一般提供開始、企業での導入/展開時に注意すべきポイントは?
MicrosoftはWindowsデスクトップOSの最新バージョンである「Windows 11」を正式にリリースし、Windows 11対応ハードウェアを搭載したWindows 10デバイスに対して、無料アップグレードの段階的なロールアウトを開始しました。Windows 11登場! 11で変わること、思ったほど変わらないこと
新しいWindows OS「Windows 11」の正式出荷が2021年10月5日に開始された。Windows 10からの無償アップグレードが可能であるため、どのような新機能が実装されたのか気になる人も多いのではないだろうか。そこで、本稿ではWindows 11の新機能、削除された機能などを簡単にまとめてみた。買って、試して分かったWindows 365(契約・セットアップ編)
Microsoftからクラウド上でWindows 10が動く「クラウドPC」の利用可能なサブスクリプションサービス「Windows 365」の提供が開始された。早速、サブスクリプションを契約し、クラウドPCの設定を行ってみた。契約からセットアップまでで見えてきた便利な点、不便な点などをまとめてみた。いよいよ完全終了へ。Internet Explorer(IE)サポート終了スケジュール
長らくWindows OSに標準装備されてきたInternet Explorer(IE)。その「寿命」は各種サポートの終了時期に左右される。Windows OSごとにIEのサポート終了時期を分かりやすく図示しつつ、見えてきた「終わり」について解説する。