一般的な企業では、ユーザー操作やクライアント利用に対して社内の利用ルールを設けて利用させているかと思います。Active Directory 運用環境の場合、そういったポリシー制御で利用されるものがグループポリシーというものにあたります。
ここではシステム管理者向けにグループポリシー管理の一元管理化(セントラルストア構成)を行う方法について整理していきたいと思います。セントラルストア化の情報のみを知りたい方は、下の方まで読み飛ばしていただければと思います。
グループポリシーについて
グループポリシーとは、ユーザーやコンピューターに対して定義したポリシーを適用することで、各ユーザーやコンピューターの利用方法を制限したり、ルールを強制することができる仕組みです。例えば、パスワードの長さを8文字以上で登録することを強制させたり、コンピューターの更新プログラムが適用されていない状態にならないよう決まった日付で更新を強制させたりすることができます。
また、ローカルポリシーというものがあり、こちらはドメインに参加していないコンピューターで同じようにポリシーを強制させるものになります。台数が増えてくると一台一台設定していくことが困難になるため、コンピューターを Active Directory ドメイン環境に参加させてまとめてポリシーを適用させようといったものがグループポリシーとなります。
管理用テンプレート(ADMXファイル)について
グループポリシーは予め定義可能なルール(設定)が決められており、その範囲の中から各企業で独自にカスタムをして利用しています。この予め決められているポリシー設定を行うための元となるものがグループポリシーの管理用テンプレートといい、ADMX ファイル(以前のバージョンだと ADM ファイル)と呼ばれるものになります。
グループポリシーの管理用テンプレートですが、Active Directory 環境を構成していれば基本となるテンプレートファイルはドメインコントローラーのローカルフォルダに配置されているものを利用する形になります。
このテンプレートは基本となる Windows の機能を対象としたもの以外にも、後からテンプレートを追加することで、 Google Chrome などのサードパーティ製品のアプリケーションの動作に対してもポリシーを定義することができるようになります。
セントラルストアでない場合のデメリット
グループポリシー設定時は、接続しているドメインコントローラーのローカルにある管理用テンプレートファイルを参照して行う動作となりますが、冗長構成でドメインコントローラーが複数台ある場合は、接続しているドメインコントローラーによっては参照するテンプレートに差異が発生してしまいます。
セントラルストアはこのようなシーンで利用され、複数台のドメインコントローラー間でも変わらないポリシーテンプレートが利用でき、またテンプレート追加の際でも一つのドメインコントローラーへ配置するだけでよいので一元管理が可能というメリットもあります。
セントラルストアの構成方法
グループポリシー管理用テンプレートは、既定では以下のフォルダに配置されています。
C:\Windows\PolicyDefinitions
※こちらは Windows Server および Windows 10 などのクライアントのどちらであっても既定で存在しているものになります。
この管理用テンプレートフォルダ「PolicyDefinitions」をドメインコントローラー間で複製されている「C:\Windows\SYSVOL\domain\Policies」フォルダの配下へまるごとコピーを行います。
セントラルストア構成かどうかの判断
セントラルストア構成かどうかの確認として、「グループポリシーの管理エディター」から管理用テンプレートを開いた際に以下画面のように ”セントラル ストアから取得したポリシー定義(ADMX)ファイルです” の表示の有無で判断することができます。
もしくは、SYSVOL 共有領域に管理用テンプレートファイルの「PolicyDefinitions」フォルダを確認する方法になります。コマンドで確認を行う場合は以下の通りです。
コマンド例
dir C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions
実行例
PS C:\Users\Administrator> dir C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions dir : パス 'C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions' が存在しないため検出できません。 発生場所 行:1 文字:1 + dir C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : ObjectNotFound: (C:\Windows\SYSV...licyDefinitions:String) [Get-ChildItem], ItemNotFound Exception + FullyQualifiedErrorId : PathNotFound,Microsoft.PowerShell.Commands.GetChildItemCommand
「Policies」配下に「PolicyDefinitions」フォルダが存在していなければ、セントラルストアの構成がされていないものと判断ができます。
セントラルストア構成を行う
わざわざコマンドでやる必要性もない内容ですが、参考として載せておきます。
以下のコマンドで、ローカルに存在するテンプレートファイルを SYSVOL 共有領域へコピーします。
※Active Directory 構成時に構成ファイルの保存先として既定のパスで設定した場合のパスになりますので、環境によってディレクトリの読み替えは必要となります。
コマンド例
Copy-Item -Recurse C:\Windows\PolicyDefinitions C:\Windows\SYSVOL\domain\Policies
実行例
PS C:\Users\Administrator> Copy-Item -Recurse C:\Windows\PolicyDefinitions C:\Windows\SYSVOL\domain\Policies PS C:\Users\Administrator>
コピー後の状態として、再度確認コマンドを打つと以下のように admx ファイルが配置されていることがわかります。
実行結果の確認
PS C:\Users\Administrator> dir C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions ディレクトリ: C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions Mode LastWriteTime Length Name ---- ------------- ------ ---- d----- 2020/08/18 15:43 en-US d----- 2020/08/18 15:43 ja-JP -a---- 2016/07/16 22:19 4717 ActiveXInstallService.admx -a---- 2016/07/16 22:19 4714 AddRemovePrograms.admx -a---- 2016/07/16 22:19 1157 AllowBuildPreview.admx -a---- 2016/07/16 22:19 5203 AppCompat.admx -a---- 2016/07/16 22:18 22504 AppPrivacy.admx -a---- 2018/01/26 11:22 33318 appv.admx -a---- 2016/07/16 22:19 4152 AppxPackageManager.admx -a---- 2016/07/16 22:19 3975 AppXRuntime.admx -a---- 2016/07/16 22:19 5965 AttachmentManager.admx -a---- 2016/07/16 22:19 1337 AuditSettings.admx -a---- 2016/07/16 22:19 3391 AutoPlay.admx -a---- 2016/07/16 22:18 2129 AVSValidationGP.admx -a---- 2016/07/16 22:19 3674 Biometrics.admx -a---- 2016/07/16 22:19 56679 Bits.admx -a---- 2016/07/16 22:19 2278 Camera.admx ...
セントラルストアの構成に必要な作業は以上となります。再度グループポリシーの管理を開き、セントラルストアの表示を確認しましょう。
管理用テンプレートのダウンロードは、以下のページから行えるようです。
