Windows 10でグループポリシー設定を利用するには：基礎から分かるグループポリシー再入門（15）（1/2 ページ）

Windows 10の利用を検討したり、実際に使い始めたりしている企業の話を聞くことが増えてきた。そこで今回は、前回まで紹介した「基本設定」をいったん離れ、Windows 10でのグループポリシー活用方法を紹介する。

[国井傑（Microsoft MVP for Directory Services），株式会社ソフィアネットワーク]

連載目次

Windows 10用のグループポリシー設定はどこにある？

　これまでのWindowsがそうであったように、Windows 10もまた、独自の設定や機能を備えている。OSに搭載された新機能は「待ってました！」とばかりに積極的に活用されることもあれば、時期尚早として見送られたり、使わないことが推奨されたりすることもある。最近の例としては、インターネットバンキングでの「Microsoft Edge」ブラウザの利用自粛が挙げられるだろう。

　しばらくの間は新機能を使えないようにしたい――このような場面で役に立つのが「グループポリシー」による一括制御だ。

　しかし、グループポリシーの機能を提供するのはドメインコントローラーであり、Windows 10以前にリリースされたサーバOSのグループポリシーには、Windows 10の設定項目が含まれていないという問題がある。

　マイクロソフトではこの問題を解決するために、「Windows 10用の管理テンプレート」を提供している。この管理テンプレートをドメインコントローラーに提供することで、Windows 10のグループポリシー設定項目を利用できるようになる。

「Windows 10用の管理テンプレート」を適用する

　Windows 10の管理テンプレート（Administrative Templates for Windows 10）は、マイクロソフトの「ダウンロードセンター」サイトから入手できる。

• Administrative Templates（.admx）for Windows 10 − 日本語（マイクロソフト ダウンロードセンター）

　本稿執筆時点（2015年1月20日）では、「Windows 10用の管理テンプレート」（Windows10-ADMX.msi）と、パーソナルアシスタント機能の「Cortana（コルタナ）」に対応した「Windows 10 バージョン1511（ビルド10586）用の管理テンプレート」（Windows10_Version_1511_ADMX.msi）の2つが提供されている。

　グループポリシーで制御したいWindows 10のバージョンに対応した管理テンプレート（msiファイル）をダウンロードして実行すると、以下のフォルダに管理テンプレートファイルが展開される（フォルダのパスはWindows 10 バージョン1511の場合）。

• 「C:\Program Files（x86）\Microsoft Group Policy\Windows 10 Version 1511\PolicyDefinitions」フォルダ

　「PolicyDefinitions」フォルダに展開された管理用テンプレートファイルは丸ごとドメインコントローラーの「C:\Windows\PolicyDefinitions」フォルダにコピーすればよいのだが、コピーするファイルの「所有者」に注意してほしい。ダウンロードしたファイルの所有者は「Administratorsグループ」ではなく、「TrustedInstaller」になっているため、Administratorユーザーがファイルをそのままコピーしても、アクセス許可がないためにコピーが失敗してしまうのだ。

　そこで、コピーする前に「PolicyDefinitions」フォルダの所有者を「Administrators」グループに変更しよう。所有者は「PolicyDefinitions」フォルダのプロパティを開き、「セキュリティ」タブから「詳細設定」ボタンをクリックすると表示される画面で変更することができる（画面1の左側）。ここで所有者を「TrustedInstaller」から「Administrators」グループに変更し、「サブコンテナーとオブジェクトの所有者を置き換える」にチェックを入れる（画面1の右側）。

画面1　「PolicyDefinitions」フォルダの所有権

　所有者を変更したら、続いてアクセス許可も変更しよう。アクセス許可は「PolicyDefinitions」フォルダのプロパティを開き、「セキュリティ」タブから「詳細設定」ボタンをクリックして表示される画面で、「子オブジェクトのアクセス許可エントリすべてを、このオブジェクトから継承可能なアクセス許可エントリで置き換える」にチェックを入れることで変更できる（画面2）。

画面2　「PolicyDefinitions」フォルダのアクセス許可設定

　以上の操作で、Administratorユーザーが「PolicyDefinitions」フォルダのファイルをコピーするために必要なアクセス許可の設定は完了だ。

　なお、以上の操作は全てのドメインコントローラーで行う必要があるが、ドメインコントローラーのSYSVOL共有内で「セントラルストア（中央ストア）」を構成している場合は、任意の1台のドメインコントローラーの「％SystemRoot％￥sysvol￥domain￥policies」フォルダにファイルをコピーするだけでよい。なお、セントラルストアの詳細については、以下の記事を参考にしてほしい。

• 【参考】強化されたActive Directoryサービス（前編）（Windows Server Insider：Windows Server 2008の基礎知識）

　管理テンプレートのコピーが完了したら、「グループポリシーの管理」管理ツールを起動して、適用したい「グループポリシーオブジェクト」（GPO）の右クリックメニューから「編集」を選択して表示されるGPOの編集画面（グループポリシー管理エディター）を開く。

　すると、Microsoft Azure Active Directoryとの連携でWindowsへのサインインを可能にするWindows 10の新機能「Microsoft Passport」の設定が、グループポリシー設定項目に追加されていることが確認できる（画面3）。

• Microsoft Passportの概要（マイクロソフト TechNet）

画面3　GPOのMicrosoft Passport関連の設定画面

　Windows 10で構成可能なグループポリシー設定には、次のようなものがある。

• Microsoft Edgeブラウザの設定
• ユニバーサルWindowsアプリ（ストアアプリ）設定
• スタート画面と「スタート」メニューのレイアウト
• Windowsのヒント
• ユーザーエクスペリエンス（既定のスタートメニューに動的に挿入されるマイクロソフトのアプリのタイルやスタート画面に提示されるアプリ）
• Microsoft Passport
• Windows Updates for Business

　以降は、Windows 10のグループポリシー設定項目を具体的に見ていこう。