第3回 グループ・ポリシーの設定ファイル:グループ・ポリシーのしくみ(3/4 ページ)
GPで設定される情報を定義する管理用テンプレートや、設定された情報がどのようにしてクライアントに渡されているかについて解説。
管理用テンプレート・ファイルを保存する\Admフォルダ
GPTの\Admフォルダには、「管理用テンプレート」のサーバ側拡張が、このGPOの作成に使用した管理用テンプレート・ファイル(.admファイル)のコピーが格納されている。
GPTの\Adm内のファイル
GPTの\Admフォルダには、「管理用テンプレート」のサーバ側拡張が、このGPOの作成に使用した管理用テンプレート・ファイル(.admファイル)のコピーが格納されている。
(1)NetMeeting用の管理用テンプレート・ファイル。
(2)Internet Explorer用の管理用テンプレート・ファイル。
(3)システム一般用の管理用テンプレート・ファイル。
(4)Windows Media Player用の管理用テンプレート・ファイル。
(5)自動更新(Automatic Updates)用の管理用テンプレート・ファイル。
管理用テンプレート・ファイルとは、「管理用テンプレート」のそれぞれのポリシーがどのレジストリのどの値を、どのように設定するかを定めたファイルのことである。グループ・ポリシー・エディタの[管理用テンプレート]以下のツリーは、GPTの\Adm内のこれらの管理用テンプレート・ファイルを総合して、GUI上に表現したものになっている。
標準で提供される管理用テンプレート・ファイル
対象とするコンポーネントごとに、標準でいくつかの管理用テンプレート・ファイルが提供されている。標準の管理用テンプレート・ファイルには以下のようなものがある。これらは、もともとは各コンピュータの%SystemRoot%\inf\に置かれているものである。
- conf.adm
NetMeeting用の管理用テンプレート・ファイル。 - inetres.adm
Internet Explorer用の管理用テンプレート・ファイル。 - system.adm
システム一般用の管理用テンプレート・ファイル。 - wmplayer.adm
Windows Media Player用の管理用テンプレート・ファイル。 - wuau.adm
自動更新(Automatic Updates)用の管理用テンプレート・ファイル。
システム・ポリシーでも複数のポリシー・テンプレートが提供されていたが、主にWindows 9xとNTを区別するためのものにすぎなかった。グループ・ポリシーの管理用テンプレートでは、システム・ポリシーに比べると、標準で用意されている管理用テンプレート・ファイルの数/内容ともに、はるかに充実している。
中でも、system.admが最も一般的な管理用テンプレート・ファイルであり、今回設定した、
- [ユーザーの構成]−[管理用テンプレート]−[コントロール パネル]−[画面]の[壁紙を変更できないようにする]
- [コンピュータの構成]−[管理用テンプレート]−[システム]の[詳細な状態メッセージを表示する]
の2つのポリシーも、system.admファイル中で定義されている。
管理用テンプレート・ファイルの追加と削除
標準で提供されている管理用テンプレート・ファイルでは定義されないレジストリを設定したい場合は、管理用テンプレート・ファイルを自作してGPOに追加すればよい。コンピュータ(HKEY_LOCAL_MACHINEキー)やユーザー(HKEY_CURRENT_USERキー)に対して、ほぼ自由にグループ・ポリシーでレジストリを設定できるようになる。
マイクロソフトでも、追加のコンポーネントやアプリケーションに対して管理用テンプレート・ファイルを提供している。例えば、近ごろリリースされたWindows Desktop Searchという総合検索アプリケーションでは、管理用テンプレート・ファイル「DesktopSearch.adm」が提供されており、Windows Desktop Searchに対するポリシーを設定できるようになっている。
管理用テンプレート・ファイルを追加するには、まずグループ・ポリシー・エディタを開き、[管理用テンプレート]を右クリックして、ポップアップ・メニューから[テンプレートの追加と削除]を選択する。
すると次のようなダイアログが表示されるので、ここから必要な管理用テンプレート・ファイルを追加したり、あるいは不要になったものを削除したりできる。管理用テンプレート・ファイルを追加/削除すると、それに応じてグループ・ポリシー・エディタの[管理用テンプレート]以下のツリーの表示内容が再構成される。
[テンプレートの追加と削除]ダイアログ
管理用テンプレート・ファイルの追加や削除ができる。
(1)現在使用している管理用テンプレート・ファイル。
(2)新しい管理用テンプレート・ファイルを追加するにはこれをクリックする。
(3)管理用テンプレート・ファイルを選択してからこれをクリックすると、一覧から削除される。
管理用テンプレート・ファイルの書式
マイクロソフト、あるいはそのほかのベンダから管理用テンプレート・ファイルが提供されていない場合は、ユーザー自身で自作すればよい。管理用テンプレート・ファイルはテキスト・ファイルであり、書式は基本的には連載第1回の「2.システム・ポリシー(1)」で解説した、システム・ポリシーのポリシー・ファイルと同じだ。管理用テンプレート・ファイルの拡張子は.admが使われる。
例えば、今回設定した
- [ユーザーの構成]−[管理用テンプレート]−[コントロール パネル]−[画面]の[壁紙を変更できないようにする]
- [コンピュータの構成]−[管理用テンプレート]−[システム]の[詳細な状態メッセージを表示する]
は、system.admファイル中では次のように定義されている。
※system.admファイルの抜粋(一部省略)
CLASS MACHINE
CATEGORY !!AdministrativeServices
POLICY !!VerboseStatus
KEYNAME "Software\Microsoft\Windows\CurrentVersion
\Policies\System"
EXPLAIN !!VerboseStatus_Help
VALUENAME "VerboseStatus"
END POLICY
END CATEGORY ; AdministrativeServices
CLASS USER
CATEGORY !!Cpl
CATEGORY !!Display
POLICY !!sz_DWP_DisableChanges
KEYNAME "Software\Microsoft\Windows\CurrentVersion
\Policies\ActiveDesktop"
EXPLAIN !!NoChangingWallPaper_Help
VALUENAME "NoChangingWallPaper"
END POLICY
END CATEGORY ;Display
END CATEGORY ;;cpl
これを見ると、先に挙げた2つのポリシーでは、NoChangingWallpaperとVerboseStatusというレジストリ値を設定するように定義していることが分かる。つまり、ポリシーとレジストリの関係は次のようになっている。
- [コンピュータの構成]−[管理用テンプレート]−[システム]の[詳細な状態メッセージを表示する]というポリシー
HKEY_LOCAL_MACHINEのSoftware \Microsoft \Windows \CurrentVersion \Policies \SystemキーにVerboseStatusという値を設定する。 - [ユーザーの構成]−[管理用テンプレート]−[コントロール パネル]−[画面]の[壁紙を変更できないようにする]というポリシー
HKEY_CURRENT_USERのSoftware \Microsoft \Windows \CurrentVersion \Policies \ActiveDesktopキーにNoChangingWallPaperという値を設定する。
ここでは深く立ち入らないが、管理用テンプレート・ファイルを自作する場合も、同様の書式で作成すればよい。
ただし「管理されているポリシー」ではなく、「設定(preferences)」を定義した管理用テンプレート・ファイルを追加する場合は、特に必要性を検討してからにした方がよい。
ローカルからGPTへの、管理用テンプレート・ファイルのコピー
グループ・ポリシー・エディタで追加した管理用テンプレート・ファイル(.admファイル)は、GPTの\Admフォルダに自動的にコピーされる。グループ・ポリシー・エディタでGPOを開いたときには、GPTの\Admにある管理用テンプレート・ファイルが使用される。
もし、GPTの\Admに保存されている管理用テンプレート・ファイルよりも新しい管理用テンプレート・ファイルが%SystemRoot%\infに存在していれば(後からリリースされたService PackやOSには、より新しいバージョンの管理用テンプレート・ファイルが含まれていることがある)、%SystemRoot%\infからGPTの\Admに新しい管理用テンプレート・ファイルがコピーされる。これにより、どのコンピュータからGPOを編集しても、管理用テンプレートのポリシーの編集は最新の管理用テンプレート・ファイルに基づいて行われることになる。
ローカル(%SystemRoot%\inf)とGPTの管理用テンプレート・ファイルについて、どちらが新しいかは、ファイルの日付で判断される。そのため、同じGPOをいろんなコンピュータのグループ・ポリシー・エディタで開く場合は、やや注意が必要となる。特に、異なる複数のOS上のグループ・ポリシー・エディタで同じGPOを開く場合は注意が必要だ。バージョンの低いOSの最新Service Packの方が、バージョンが上のOSより新しい日付のファイルを持っているときなど、GPTの\Admに保存されている管理用テンプレートが意図せぬ「ダウングレード」を起こすこともある。
また、異なる言語のOS上のグループ・ポリシー・エディタでGPOを開いていると、管理用テンプレートが思わぬ言語で表示される、といったことも起きる。
このような問題を避けるため、いっそのこと、GPTの\Admの管理用テンプレート・ファイルの自動更新をやめたり、GPTの\Admフォルダ内の管理用テンプレート・ファイルではなくローカル・コンピュータの管理用テンプレートを使用したりしたくなることもあるだろう。そのような場合は、グループ・ポリシー・エディタ(上の管理用テンプレートのサーバ側拡張)の動作を変更することができる。変更の設定はグループ・ポリシーで行う(グループ・ポリシーの動作もグループ・ポリシー自身で管理されているわけだ)。グループ・ポリシー・エディタを開くコンピュータに対して、[コンピュータの構成]−[管理用テンプレート]−[システム]−[グループ ポリシー]で、[ADM ファイルの自動的更新をオフにする]や[グループ ポリシー オブジェクト エディタに対してローカル ADM ファイルを常に使用する]というポリシーを設定すればよい。詳しくは次の情報を参考にしていただきたい。
Copyright© Digital Advantage Corp. All Rights Reserved.