連載
» 2006年04月06日 00時00分 UPDATE

グループ・ポリシーのしくみ:第3回 グループ・ポリシーの設定ファイル (3/4)

[畑中哲,著]

管理用テンプレート・ファイルを保存する\Admフォルダ

 GPTの\Admフォルダには、「管理用テンプレート」のサーバ側拡張が、このGPOの作成に使用した管理用テンプレート・ファイル(.admファイル)のコピーが格納されている。

wi-scr06.gif GPTの\Adm内のファイル
GPTの\Admフォルダには、「管理用テンプレート」のサーバ側拡張が、このGPOの作成に使用した管理用テンプレート・ファイル(.admファイル)のコピーが格納されている。
 (1)NetMeeting用の管理用テンプレート・ファイル。
 (2)Internet Explorer用の管理用テンプレート・ファイル。
 (3)システム一般用の管理用テンプレート・ファイル。
 (4)Windows Media Player用の管理用テンプレート・ファイル。
 (5)自動更新(Automatic Updates)用の管理用テンプレート・ファイル。

 管理用テンプレート・ファイルとは、「管理用テンプレート」のそれぞれのポリシーがどのレジストリのどの値を、どのように設定するかを定めたファイルのことである。グループ・ポリシー・エディタの[管理用テンプレート]以下のツリーは、GPTの\Adm内のこれらの管理用テンプレート・ファイルを総合して、GUI上に表現したものになっている。

標準で提供される管理用テンプレート・ファイル

 対象とするコンポーネントごとに、標準でいくつかの管理用テンプレート・ファイルが提供されている。標準の管理用テンプレート・ファイルには以下のようなものがある。これらは、もともとは各コンピュータの%SystemRoot%\inf\に置かれているものである。

  • conf.adm
     NetMeeting用の管理用テンプレート・ファイル。
  • inetres.adm
     Internet Explorer用の管理用テンプレート・ファイル。
  • system.adm
     システム一般用の管理用テンプレート・ファイル。
  • wmplayer.adm
     Windows Media Player用の管理用テンプレート・ファイル。
  • wuau.adm
     自動更新(Automatic Updates)用の管理用テンプレート・ファイル。

 システム・ポリシーでも複数のポリシー・テンプレートが提供されていたが、主にWindows 9xとNTを区別するためのものにすぎなかった。グループ・ポリシーの管理用テンプレートでは、システム・ポリシーに比べると、標準で用意されている管理用テンプレート・ファイルの数/内容ともに、はるかに充実している。

 中でも、system.admが最も一般的な管理用テンプレート・ファイルであり、今回設定した、

  • [ユーザーの構成]−[管理用テンプレート]−[コントロール パネル]−[画面]の[壁紙を変更できないようにする]
  • [コンピュータの構成]−[管理用テンプレート]−[システム]の[詳細な状態メッセージを表示する]

の2つのポリシーも、system.admファイル中で定義されている。

管理用テンプレート・ファイルの追加と削除

 標準で提供されている管理用テンプレート・ファイルでは定義されないレジストリを設定したい場合は、管理用テンプレート・ファイルを自作してGPOに追加すればよい。コンピュータ(HKEY_LOCAL_MACHINEキー)やユーザー(HKEY_CURRENT_USERキー)に対して、ほぼ自由にグループ・ポリシーでレジストリを設定できるようになる。

 マイクロソフトでも、追加のコンポーネントやアプリケーションに対して管理用テンプレート・ファイルを提供している。例えば、近ごろリリースされたWindows Desktop Searchという総合検索アプリケーションでは、管理用テンプレート・ファイル「DesktopSearch.adm」が提供されており、Windows Desktop Searchに対するポリシーを設定できるようになっている。

 管理用テンプレート・ファイルを追加するには、まずグループ・ポリシー・エディタを開き、[管理用テンプレート]を右クリックして、ポップアップ・メニューから[テンプレートの追加と削除]を選択する。

wi-scr07.gif 管理用テンプレート・ファイルの追加
システム標準以外の管理用テンプレートを追加することもできる。
 (1)この[管理用テンプレート]という項目を選択して右クリックする。
 (2)これを選択する。

 すると次のようなダイアログが表示されるので、ここから必要な管理用テンプレート・ファイルを追加したり、あるいは不要になったものを削除したりできる。管理用テンプレート・ファイルを追加/削除すると、それに応じてグループ・ポリシー・エディタの[管理用テンプレート]以下のツリーの表示内容が再構成される。

wi-scr08.gif [テンプレートの追加と削除]ダイアログ
管理用テンプレート・ファイルの追加や削除ができる。
 (1)現在使用している管理用テンプレート・ファイル。
 (2)新しい管理用テンプレート・ファイルを追加するにはこれをクリックする。
 (3)管理用テンプレート・ファイルを選択してからこれをクリックすると、一覧から削除される。

管理用テンプレート・ファイルの書式

 マイクロソフト、あるいはそのほかのベンダから管理用テンプレート・ファイルが提供されていない場合は、ユーザー自身で自作すればよい。管理用テンプレート・ファイルはテキスト・ファイルであり、書式は基本的には連載第1回の「2.システム・ポリシー(1)」で解説した、システム・ポリシーのポリシー・ファイルと同じだ。管理用テンプレート・ファイルの拡張子は.admが使われる。

 例えば、今回設定した

  • [ユーザーの構成]−[管理用テンプレート]−[コントロール パネル]−[画面]の[壁紙を変更できないようにする]
  • [コンピュータの構成]−[管理用テンプレート]−[システム]の[詳細な状態メッセージを表示する]

は、system.admファイル中では次のように定義されている。

※system.admファイルの抜粋(一部省略)

CLASS MACHINE

CATEGORY !!AdministrativeServices

  POLICY !!VerboseStatus
  KEYNAME "Software\Microsoft\Windows\CurrentVersion
\Policies\System"
  EXPLAIN !!VerboseStatus_Help
  VALUENAME "VerboseStatus"
  END POLICY

END CATEGORY  ; AdministrativeServices

CLASS USER

CATEGORY !!Cpl

  CATEGORY !!Display

  POLICY !!sz_DWP_DisableChanges
  KEYNAME "Software\Microsoft\Windows\CurrentVersion
\Policies\ActiveDesktop"
  EXPLAIN !!NoChangingWallPaper_Help
  VALUENAME "NoChangingWallPaper"
  END POLICY

  END CATEGORY  ;Display

END CATEGORY  ;;cpl

 これを見ると、先に挙げた2つのポリシーでは、NoChangingWallpaperとVerboseStatusというレジストリ値を設定するように定義していることが分かる。つまり、ポリシーとレジストリの関係は次のようになっている。

  • [コンピュータの構成]−[管理用テンプレート]−[システム]の[詳細な状態メッセージを表示する]というポリシー
     HKEY_LOCAL_MACHINEのSoftware \Microsoft \Windows \CurrentVersion \Policies \SystemキーにVerboseStatusという値を設定する。
  • [ユーザーの構成]−[管理用テンプレート]−[コントロール パネル]−[画面]の[壁紙を変更できないようにする]というポリシー
     HKEY_CURRENT_USERのSoftware \Microsoft \Windows \CurrentVersion \Policies \ActiveDesktopキーにNoChangingWallPaperという値を設定する。

 ここでは深く立ち入らないが、管理用テンプレート・ファイルを自作する場合も、同様の書式で作成すればよい。

 ただし「管理されているポリシー」ではなく、「設定(preferences)」を定義した管理用テンプレート・ファイルを追加する場合は、特に必要性を検討してからにした方がよい。

ローカルからGPTへの、管理用テンプレート・ファイルのコピー

 グループ・ポリシー・エディタで追加した管理用テンプレート・ファイル(.admファイル)は、GPTの\Admフォルダに自動的にコピーされる。グループ・ポリシー・エディタでGPOを開いたときには、GPTの\Admにある管理用テンプレート・ファイルが使用される。

 もし、GPTの\Admに保存されている管理用テンプレート・ファイルよりも新しい管理用テンプレート・ファイルが%SystemRoot%\infに存在していれば(後からリリースされたService PackやOSには、より新しいバージョンの管理用テンプレート・ファイルが含まれていることがある)、%SystemRoot%\infからGPTの\Admに新しい管理用テンプレート・ファイルがコピーされる。これにより、どのコンピュータからGPOを編集しても、管理用テンプレートのポリシーの編集は最新の管理用テンプレート・ファイルに基づいて行われることになる。

 ローカル(%SystemRoot%\inf)とGPTの管理用テンプレート・ファイルについて、どちらが新しいかは、ファイルの日付で判断される。そのため、同じGPOをいろんなコンピュータのグループ・ポリシー・エディタで開く場合は、やや注意が必要となる。特に、異なる複数のOS上のグループ・ポリシー・エディタで同じGPOを開く場合は注意が必要だ。バージョンの低いOSの最新Service Packの方が、バージョンが上のOSより新しい日付のファイルを持っているときなど、GPTの\Admに保存されている管理用テンプレートが意図せぬ「ダウングレード」を起こすこともある。

 また、異なる言語のOS上のグループ・ポリシー・エディタでGPOを開いていると、管理用テンプレートが思わぬ言語で表示される、といったことも起きる。

 このような問題を避けるため、いっそのこと、GPTの\Admの管理用テンプレート・ファイルの自動更新をやめたり、GPTの\Admフォルダ内の管理用テンプレート・ファイルではなくローカル・コンピュータの管理用テンプレートを使用したりしたくなることもあるだろう。そのような場合は、グループ・ポリシー・エディタ(上の管理用テンプレートのサーバ側拡張)の動作を変更することができる。変更の設定はグループ・ポリシーで行う(グループ・ポリシーの動作もグループ・ポリシー自身で管理されているわけだ)。グループ・ポリシー・エディタを開くコンピュータに対して、[コンピュータの構成]−[管理用テンプレート]−[システム]−[グループ ポリシー]で、[ADM ファイルの自動的更新をオフにする]や[グループ ポリシー オブジェクト エディタに対してローカル ADM ファイルを常に使用する]というポリシーを設定すればよい。詳しくは次の情報を参考にしていただきたい。

Copyright© 1999-2017 Digital Advantage Corp. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

Focus

- PR -

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。