- PR -

グループポリシーとレジストリの関係について教えてください

1|2 次のページへ»
投稿者投稿内容
がみさん
会議室デビュー日: 2004/02/18
投稿数: 8
投稿日時: 2005-02-08 10:34
グループポリシー上の表示とレジストリの内容が一致せず、なぜそうなるのか悩んでいます。私がなにか大きな勘違いをしているような気もするのですが・・・。どなたかアドバイスをください。

---具体的な例
非AD環境にて、SUSサーバを用いたWindowsUpdateの設定をすることを例とします。

1.クライアントPC「A」でgpedit.mscを起動し、ローカルコンピュータポリシーの
コンピュータの構成→管理用テンプレート→Windowsコンポーネント→Windows Update
の各種設定を行う(自動更新を有効にする、SUSサーバの位置を指定する など)

2.レジストリエディタを起動し、該当するレジストリをファイル(例:wu.reg)にバックアップする。ポリシー内容はレジストリに確かに反映されている
対象レジストリ:HKLM-SOFTWARE-Policies-Microsoft-Windows-WindowsUpdate以下

3.クライアントPC「B」でwu.regを実行し、レジストリに反映させる
  =>レジストリエディタでは正しく反映されている

4.クライアントPC「B」でgpedit.mscを起動する
  =>該当ポリシーは「未適用」のままで、レジストリ内容と異なっている

-----
ログオン/ログオフを繰り返したりPC「B」を再起動したりしてみましたが、効果はありませんでした。
そもそも、レジストリを直接編集してもグループポリシーに反映されないものなのでしょうか?
またその場合、レジストリ→グループポリシー の方向で反映させる方法はあるのでしょうか?
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2005-02-08 10:39
引用:

そもそも、レジストリを直接編集してもグループポリシーに反映されないものなのでしょうか?

はい。
ローカル→サイト→ドメイン→組織単位(OU)それぞれの組織単位で設定された
結果が、レジストリに反映され、Windowsの挙動にはそのレジストリが関係します。

引用:

またその場合、レジストリ→グループポリシー の方向で反映させる方法はあるのでしょうか?

これは知らないです。
がみさん
会議室デビュー日: 2004/02/18
投稿数: 8
投稿日時: 2005-02-08 11:10
返信ありがとうございます。

引用:

ローカル→サイト→ドメイン→組織単位(OU)それぞれの組織単位で設定された
結果が、レジストリに反映され、Windowsの挙動にはそのレジストリが関係します。


それについては理解しているつもりです。ただしこの例の場合、非ADなのでローカルのみ
(サイト以降の設定はない)、ということであっていますでしょうか?

仮にAD環境であっても、PC起動時点での各組織ポリシーを総合した結果がレジストリに反映される、
ということだと思っています。
とすると、gpdeit.mscの内容がその時点でのレジストリと異なるということは、gpedit.mscは
レジストリとは別に設定内容を保持/ないしはキャッシュしているのでは?と思うのですが。
gpedit.mscは何を根拠に内容を表示しているのでしょう???

#発端は、gpedit.mscはビジュアルなレジストリエディタ(というより設定確認)として使用し、
 でも各端末に設定するのは 項目が複数あってめんどうなので.regファイルで配布できたらなー
 という目的だけだったんですが・・・。なんだか複雑で(汗)
 つまり、ローカルPC上で最終的な設定内容を確認するにはgpeditは使えない、直接レジストリを
 見ろ、ということになるんでしょうか。。。。
ぴんぴん
大ベテラン
会議室デビュー日: 2004/05/07
投稿数: 141
投稿日時: 2005-02-15 06:55
GPOは削除したら、GPO適用前のレジストリに戻ることに(基本的には)なっています。
ですから、レジストリは2段構えになっていて、最初のレジストリにGPOを適用した
ものが、最終的なレジストリとして使用されるということではないかと思います。

指摘の操作をした場合、regeditでは「最初のレジストリ」を書き換えてしまった
ため、GPOには何も無くても、最終的なレジストリの値が変更されているということ
だと思います。このように、直接レジストリを書き換える処理は、MS的には
好まれません。

GPO(あるいはセキュリティテンプレート?)ってエクスポートできませんでしたっけ?
そちらで、設定内容を移行するのが正しい道なのでは?
がみさん
会議室デビュー日: 2004/02/18
投稿数: 8
投稿日時: 2005-02-15 09:52
返信ありがとうございます。
gpeditでインポートエクスポートをしてみました。結果としては、

エクスポート:
  「Windows Update」などといった単位でしかエクスポートできず、
  (2階層以下をまとめてエクスポートできない)
  出力はtxtまたはcsvで、右側ウインドウの「標準」タブ状態のものが
  そのまま出力される

インポート:
  テンプレートの追加(.adm形式)でしかできず、上記でエクスポートした
  ものを取り込むメニューがない

ということで、私が調査した限り
「少なくともgpeditでは、エクスポートしたものはインポートできる形式でない」
との結論になりました。mmcではinf形式でできるようですが、WindowsUpdateの
項目がどこにあるのかがわからず、いったんあきらめました。

-----
非AD環境では、(.regファイルのように)簡単にユーザに配布/適用作業をしてもらえて、
かつ適用の確認を(gpeditのように)ビジュアルに行える方法って、ないんでしょうか。
実は、SUSを組むためにMSが配布している「ステップバイステップ SUS導入ガイド」を読んで
そこには、「ローカルコンピュータポリシーによる構成」と「レジストリによる構成」が
載っていました。しかし、相互の関係や確認方法については触れられておらず、
困っていたところです。また、非AD環境での配布方法は.regによる配布しか書かれておらず、
ポリシーを使った配布には触れられていませんでした。

ううむ、レジストリ直接とGPOは似て非なる「まったくの別物」とみなして作業した
ほうがよさそうですね。

-----
まとめたいのでご意見をください。非AD環境において、WindowsUpdateのような
全社的な適用をしなければならない場合、

A案).regファイルで配布する −適用は簡単だが、確認は素人には敷居が高い
B案)各PCでgpeditを立ち上げて編集する −確認は簡単だが、適用操作は面倒
                   ユーザが指示通り設定してくれるか不安
C案)−いい案をお持ちでしたらご教示ください

のどれが良いと思われますか?
ちなみに、「AD環境にする」というのは無しです。どうしてもはずせない業務アプリ
があり、これがAD環境で動かせないものでして。

ちゃっぴ
ぬし
会議室デビュー日: 2004/12/10
投稿数: 873
投稿日時: 2005-02-15 20:11
引用:
非AD環境では、(.regファイルのように)簡単にユーザに配布/適用作業をしてもらえて、
かつ適用の確認を(gpeditのように)ビジュアルに行える方法って、ないんでしょうか


WorkGroupでは、管理が煩雑なのでそのためのADでは?

ただ、ないものは自分で作ってしまえばいいという考え方も存在します。
Windows Script Hostを使えば、Remote Machineの設定の一括変更なんてこと
簡単に出来てしまいます。
(もっとも、全く触れたことないならお勉強が必要ですが・・・)

ここら辺を参考に


レジストリの値を読み込む
VBなんで、Scriptでやるならば、ちょこっと改造してやる必要がありますが・・・

StdRegProv

TechNet スクリプト センター

VBをちょこっとでもかじっている人なら、1日もかからないと思いますし、
初めてやられるにしても、数日みっちり修行すれば出来るかと・・・

引用:

ちなみに、「AD環境にする」というのは無しです。どうしてもはずせない業務アプリ
があり、これがAD環境で動かせないものでして。


上記提案がすべていやなら、業務アプリの仕様変更も真剣に
検討してみるべきでしょうね。

[ メッセージ編集済み 編集者: ちゃっぴ 編集日時 2005-02-15 20:12 ]

[ メッセージ編集済み 編集者: ちゃっぴ 編集日時 2005-02-18 02:40 ]
がみさん
会議室デビュー日: 2004/02/18
投稿数: 8
投稿日時: 2005-02-16 09:25
返信ありがとうございます。

引用:

WorkGroupでは、管理が煩雑なのでそのためのADでは?


その辺は重々承知しています。その業務アプリに関係ないPCは
すでにAD環境になっていますので問題ないんですが、ADに入れない
PCが相当数残ってまして。

引用:

ただ、ないものは自分で作ってしまえばいいという考え方も存在します。
Windows Script Hostを使えば、Remote Machineの設定の一括変更なんてこと
簡単に出来てしまいます。


つまり、遠隔で変更できるスクリプトを書いてしまおう!ということですね。
VBはほとんど触ったことありませんが、一応プログラマ稼業もしているので
がんばってみます。ありがとうございます。

引用:

上記提案がすべていやなら、業務アプリの仕様変更も真剣に
検討してみるべきでしょうね。


自分が作成したものならそうするところですが、他社から買ったものなので
自分ではどうにもできません。要望は伝えてあるのですが、改修スケジュールは
おろか、対応可否さえ返ってきてません。困ったもんですね。

やきそば
会議室デビュー日: 2005/03/16
投稿数: 1
投稿日時: 2005-03-16 13:31
既に解決されているかもしれませんが、非AD環境にてグループポリシーを適用させる方法ですが、以下の方法は如何でしょうか?

1、元になるPCにてグループポリシーを設定する。

2、グループポリシーファイル(以下、GPファイル)を取り出す。

3、適用させたいPCに設定済みのGPファイルをコピーする。

4、適用させたいPCにてバッチファイル等でgpupdate /forceを実行する。


設定内容にもよると思いますが、これでできないでしょうか?

●GPファイル保存先
%Systemroot%\System32\GroupPolicy(隠しフォルダで、一度もGPを設定していないと存在しません)

上記ディレクトリ内のMachineがコンピュータの構成、Userがユーザーの構成に対応していると思われます。

●コピーするファイル

Registry.pol
gpt.ini
2つのファイルです。

1|2 次のページへ»

スキルアップ/キャリアアップ(JOB@IT)