Windowsのバージョンが混在する環境におけるポリシー管理用テンプレートのベストプラクティス：企業ユーザーに贈るWindows 10への乗り換え案内（118）

前回は、Windowsの古いポリシー管理用テンプレートに関する注意点について触れました。今回は、さまざまなバージョンのWindowsおよびWindows Serverが混在する企業のActive Directoryドメイン環境における「グループポリシー管理用テンプレート」の管理方法を取り上げます。

[山市良，テクニカルライター]

企業ユーザーに贈るWindows 10への乗り換え案内

ポリシー適用対象のWindows PCでポリシーを編集する方法

　Windowsのバージョンによって「ポリシー管理用テンプレート」は新しくなり、新しいポリシーが追加されたり、廃止されたり、同じポリシー設定内の設定項目が増えたりします。また、前回記事で指摘したように、同じバージョンのWindowsであっても、毎月の品質更新プログラムによって、新しい管理用テンプレートに置き換えられる場合もあります。

　さまざまなバージョンのWindowsおよびWindows Serverが混在しているActive Directoryドメイン環境では、「グループポリシーオブジェクト（GPO）」を分割することが考慮点の一つになります（WMIフィルターなどを使用して適用対象をフィルターできます）。

　「Windows 10」および「Windows 11」の場合は、Windowsのオプション機能である「RSAT：グループポリシー管理ツール」を追加することで（画面1）、SYSVOL共有経由でドメインのGPOを、ローカルのポリシー管理用テンプレート（C:\Windows\PolicyDefinitionsにある.admxおよび言語名\*.adml）を使用して編集できます（もちろん、ドメイン管理者としてログオンして編集する必要があります）。

画面1　Windows 10およびWindows 11の場合は、「RSAT：グループポリシー管理ツール」を有効にすることでドメインのGPOを編集できるようになる

　ポリシー適用対象と同じバージョンのWindowsでGPOを編集することで、そのWindowsの最新のポリシー管理テンプレート（Windows Updateで更新されたものを反映）で作業できるようになり、新しいバージョンのWindowsで追加された、目的のWindowsでは利用できないポリシーに誤って触れてしまう心配もありません（図1）。

図1　GPOの適用対象と同じバージョンのWindowsでGPOを編集する方法

　ただし、この方法は、Windowsのバージョンが増えると、編集用PCを都度切り替える必要があるため、大変です。ポリシー管理用テンプレートは、Windows 10をひとくくりとしており、バージョンの違いでポリシーに対応しているか否かまでは教えてくれません（最新のWindows 10 バージョン21H2は、13個目のバージョンです）。Windows 10の細かいバージョンの不一致は、設定ミスの原因になるかもしれません。

セントラルストアを使用する方法

　管理用のPCを1台（または少数）に限定し、全てのGPOを管理するには、SYSVOL共有にポリシー管理用テンプレートの「セントラルストア」を構成します。この方法であれば、どのバージョンのWindowsからでも、SYSVOL共有のセントラルストアにあるポリシー管理用テンプレートを使用して、GPOを編集できます（図2）。

• グループポリシー管理用の中央ストアを作成および管理するWindows（Microsoft Docs）

図2　セントラルストアに最新の管理用テンプレートを配置する方法

　ここで多くの方が疑問に思うのは、セントラルストアにどのバージョンのWindowsの管理用テンプレートを配置すればよいのか、ということでしょう。複数バージョンのWindowsの管理用テンプレートを、セントラルストアに別々に配置することは不可能です。

　答えは簡単で、導入されているWindowsバージョンのうち、最新バージョンのWindows PCの「C:\Windows\PolicyDefinitions」から、管理用テンプレート（*.admx）と言語ファイル（言語名\*.adml）をコピーすればよいのです。

　以下のMicrosoft公式ブログでも説明されているように、管理用テンプレートには下位互換性があるため、最新のWindowsのものをセントラルストアに配置することで、全てのバージョンをカバーすることができます。

　重要なのは、Windows Updateで更新された最新のものをセントラルストアにコピーし、常に最新状態に維持することです。前回記事でも指摘したように、前述したドキュメントのリンク先にあるWindowsの各バージョン向け管理用テンプレートは、リリース時点のものであり、Windows Updateによる更新で入れ替わったものは反映されていません。

• Windows 10 or Windows 11 GPO ADMX - Which One To Use For Your Central Store?［英語］（Microsoft Tech Community）

　Windows 11を導入済み、または間もなく導入予定であれば、Windows 11のものを配置すればよいですし、Windows 10の場合はバージョン21H2が最新です。上記の公式ブログでは、Windows 10 バージョン21H2でのみ利用可能なポリシー設定と、Windows 11（こちらもバージョン21H2）でのみ利用可能なポリシー設定が一覧にまとめられています。

　また、Windows Updateのポリシーに関しては、Windows 11でフォルダ構造が大きく変更されているため、Windows 11の管理用テンプレートを使用する場合は、その点についても注意してください（画面2）。

画面2　Windows 11では、Windows Updateのポリシーのフォルダ構造が大きく変更された。左がWindows 11、右がWindows 10

　Microsoftは以下の公式ブログで、新しいバージョンで実装されていないか、実装が変わったためにWindows 10およびWindows 11で設定すべきではない25のポリシー設定に関する情報も最近公開しました。

• Why you shouldn’t set these 25 Windows policies［英語］（Microsoft Tech Community）

　これは、混在環境において、適切にGPOを設定する上で重要な情報です。これまで不明確だった、Windows 10で利用できなくなったポリシー設定が意外と多いので、一読することをお勧めします。

筆者紹介

山市 良（やまいち りょう）

岩手県花巻市在住。Microsoft MVP 2009 to 2022（Cloud and Datacenter Management）。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows版Docker＆Windowsコンテナーテクノロジ入門』（日経BP社）、『ITプロフェッショナル向けWindowsトラブル解決 コマンド＆テクニック集』（日経BP社）。