Active Directory ドメインサービス – グループポリシー (グループポリシー設定の前準備)

Active Directory ドメインサービス
2024.01.21

今回は実際にグループポリシーを作成,リンクするにあたって事前にやっておくべき点を纏めて紹介します.
大きく二つあります.セントラルストアの作成とグループポリシー管理用テンプレートの導入です.

グループポリシー設定の前準備

先に記載したセントラルストアの作成と管理用テンプレートの導入を行わなくてもグループポリシーの設定はできますが,不都合があります.
管理用テンプレートを導入しない場合は「新しいバージョンの OS に対応した設定が無い」や「Chrome などのポリシーを設定できない」ということが発生します.
また,セントラルストア化しない場合は管理用テンプレートを各ドメインコントローラーに配置する必要が生じます.
これら不都合を先に潰しておくことが前準備で大事な所となります.

管理用テンプレートとは

管理用テンプレートとは,グループポリシーを設定する際に人が見て分かりやすい項目名,設定値を定義したテンプレートファイルのことです.

グループポリシー管理エディター内の「管理用テンプレート」以下に表示される項目は,管理用テンプレートファイルを参照した結果が表示されます.
次の画像にて「管理用テンプレート:ローカルコンピューターから取得したポリシー定義 (ADMX) ファイルです。」以下に表示されている項目が管理テンプレートを用いた設定項目です.

管理用テンプレートには,Windows OS のグループポリシーを管理するためのテンプレートや,その他に Office 製品を管理するためのテンプレートがあります.
また,サードパーティ製品 (例えば Firefox や Chrome) も管理テンプレートを提供しており,アプリケーションやコンポーネントごとに提供されています.

管理用テンプレートは以下の二つのファイルで構成されており,これをドメインコントローラーに追加することで上画像の「管理用テンプレート」の項目が追加され,グループポリシーとして設定が出来るようになります.

  • admx ファイル
    グループ ポリシーの設定が含まれるファイル
  • adml ファイル
    各言語ごとのグループ ポリシーの項目名や説明が含まれるファイル

adml ファイルは各製品すべての言語が提供されている訳ではなく,英語だけしか提供されていない.という場合もあります.その場合はグループポリシー管理エディター上その項目は英語表記となります.

セントラルストアとは

セントラルストアは,管理用テンプレートをドメインコントローラー間で共有する仕組みです.セントラルストアを利用していない場合のデフォルトの管理用テンプレートの保存場所は各ドメインコントローラーの「C:\Windows\PolicyDefinitions」になります.

「C:\Windows\PolicyDefinitions」は各ドメインコントローラーのローカルディスク内にある為,管理用テンプレートを更新する場合全てのドメインコントローラーに配置する必要があります.

これでは手間が大きいため,ネットワークで共有できる場所に用意しましょう.としたのがセントラルストアになります.

セントラルストア化された際の管理用テンプレートの参照先は「\\<ドメイン名>\SYSVOL\<ドメイン名>\Policies\PolicyDefinitions」になります.

<あとでココに画面を挿入>


SYSVOL 共有の中に保持されるため,ドメインコントローラー間でお互いにレプリケーションしますので1台のドメインコントローラーに配置する事で他のドメインコントローラーにも反映されます.

SYSVOL とは

SYSVOL は SYSVOL 共有とも呼ばれます.
実体は各ドメインコントローラーのローカルハードディスクに存在しており,ネットワーク共有されています.「\\<ドメイン名>\SYSVOL」でドメイン所属のユーザーやコンピューターがアクセスできます.

データはドメインコントローラー間でレプリケーションされている為,各ドメインコントローラーは同じデータを保持しています.

SYSVOL の中にグループポリシーの設定内容だったり,ログオンスクリプトが置かれ,ユーザーやコンピューターが SYSVOL を参照してポリシーを適用する.という流れになります.

セントラルストアの作成

デフォルトの管理用テンプレートは「C:\Windows\PolicyDefinitions」にあると説明しました.これをセントラルストア化していきます.

ローカルの管理用テンプレートを SYSVOL 共有場所へコピーする

セントラルストア化するにはとても簡単で,「C:\Windows\PolicyDefinitions」を「C:\Windows\SYSVOL\domain\Policies」にコピーするだけとなります.

コピーが完了すると「C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions」フォルダーが作成されています.

セントラルストア化されていることを確認する (SYSVOL 共有での確認)

SMB アクセスを行い,SYSVOL 共有内に PolicyDefinitions が見えることを確認します.
アクセスする先は「\\<ドメイン名>\SYSVOL\<ドメイン名>\Policies\」です.

セントラルストア化されていることを確認する (グループポリシー管理エディターからの確認)

SYSVOL 共有で確認ができたら,グループポリシー管理エディターからも確認しましょう.

サーバーマネージャーからツールをクリックし「グループポリシーの管理」をクリックします.

グループポリシー管理エディターが表示されますのでツリーを開いていき「グループポリシーオブジェクト」を選択します.
「Default Domain Policy」を選択,右クリックして「編集」をクリックして編集画面を開きます.

コンピューターおよびユーザーの「ポリシー」を開いて「管理用テンプレート:セントラルストアから取得したポリシー (ADMX) ファイルです」になっていることを確認します.

以上で,セントラルストア化及び確認は完了です.

管理用テンプレートの更新

管理用テンプレートは常に更新されていますので,ドメインコントローラーに最新のものを入れましょう.
ここでは Windows OS の最新のテンプレートを導入していきます.

Windows OS 用管理用テンプレートの入手

セントラル ストアの作成と管理 – Windows Client | Microsoft Learn」にアクセスすると今までリリースされている管理用テンプレートの一覧が表示されます.

この時点で一番最新のものは「Windows 11 2022 Update (22H2) – v3.0 の管理用テンプレート (.admx)」なのでこれをダウンロード,適用していきます.

リンクをクリックするとダウンロードセンターに飛びますので「Download」をクリックします.

管理用テンプレートの展開

ダウンロードが完了すると msi ファイルが入手できますので,ダブルクリックしてインストーラーを起動します.

インストーラーが起動したら「Next」をクリックします.

「ライセンス条項」が表示されますので,「I accept the terms in the License Agreement」にチェックを付け「Next」をクリックします.

Custom Setup 画面では何を展開するか聞かれますが,ここは何も弄らずに「Next」をクリックします.

Ready to Install … の画面が表示されますので「Install」をクリックします.

展開が完了すると次の画面になりますので「Finish」をクリックして完了します.

展開先は「C:\Program Files (x86)\Microsoft Group Policy」になっていますので,このフォルダー内に展開されていることを確認します.

管理用テンプレートのインストール

展開した管理用テンプレートを SYSVOL 共有内のセントラルストアの領域にコピーします.

今回ですと「C:\Program Files (x86)\Microsoft Group Policy\Windows 11 July 2023 Update V3 (22H2)」以下に「PolicyDefinitions」フォルダーが展開されていますのでこれをまるっと「C:\Windows\SYSVOL\domain\Policies」にコピーを行います.

コピー中,同じ名前のファイルが存在する旨の確認が表示されますが「ファイルを置き換える」を選択して上書きを行います.

以上で,新しい管理用テンプレートのインストール (適用) は完了です.

これでグループポリシーの設定の前準備は完了となります.次はグループポリシーを作成,適用していく所を… の前に,クライアント OS のドメイン参加について説明したいと思います.

コメント

タイトルとURLをコピーしました