none
グループポリシーでIEの設定を管理している場合の中央ストアの使用について RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    グループポリシーの中央ストアについてお伺いしたいのですが、

    弊社では現在サイトAとサイトBという二つのサイトがあり、それぞれにドメインコントローラが存在しています。双方ともOS2008R2です。ドメインは全体で一つのドメインに属しています。

    サイトAのドメインコントローラはPDCエミュレータで、インストールされているIE10です。サイトAのクライアントコンピュータもIE10がインストールされています。

    サイトBのドメインコントローラにはIE8がインストールされていて、サイトBのクライアントコンピュータもIE8を使用しています。グループポリシーを使ってIE8の設定を管理しています。

    グループポリシーのIE管理用の項目は、IE10がインストールされたコンピュータ上でグループポリシー管理ツールを開いた場合は表示されません。

    このような状況の中で、この度グループポリシーテンプレートの管理に中央ストアを使うことになり、後から追加されたOffice などのADMXだけでなく既存のADMXファイル(C:\Windows\PolicyDefinitions以下にあったもの)も中央ストアに移行しようと考えております。この際、IE10がインストールされているドメインコントローラ上でもIE8がインストールされているドメインコントローラ上でも、運用に支障がない状態にするには、

    1. IE10がインストールされているドメインコントローラ内のADMXを中央ストアにコピーしたほうがよいのか、
    2. IE8がインストールされているドメインコントローラ内のADMXを使用したほうがいいのか、
    3. もしくはこの要件では中央ストアを使用しないほうがよいのか。

    判断がつかずにおります。

    どなたかご存知の方がいらっしゃいましたら、ご教授いただけないでしょうか。

    2014年1月27日 6:09
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    ちょっと気になったので私の見解を書いてみます。

    基本的にADMXファイルは下位互換と認識しています。よって、最新のADMXファイルを使用すればIE10~IE8はそれで管理できる。これが大前提とします。

    今回問題となっているのは、IE10を入れることによってADMXファイルが書き変わる。そして、古いADMXファイルを使用して該当部分を編集すると新しいADMXファイルでの編集ができなくなると理解しました。

    ということは、セントラスストアを配置すればすべてのポリシー変更はセントラスストアを参照するのでその問題はなくなると思います。チャブーンさんが紹介しているサイトにも復旧方法としてセントラスストアのファイルを更新すればよいと書いてあるのでこれでいいと思います。

    以上、参考になれば幸いです。

    MVP:Virtual Machine Blog:MCTの憂鬱

    http://naonao71.wordpress.com/

    2014年1月29日 4:24
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    この件ですが、結論としてこの状況下では「中央ストアを使うべきではない」ということになるでしょう。したの資料を見てもらうとわかりますが、IE10をインストールしたドメインコントローラ上では、IE用admxファイルが以前のものから更新され、旧バージョンでポリシーを編集した場合、問題が発生するということです(治す方法はありますが、結局中央ストアを使うことをやめることになるでしょう)。

    http://technet.microsoft.com/ja-jp/library/jj822355.aspx

    これを防ぐ意味では、中央ストアは使わない方がいい、とは言えると思います。当座の解決方法として、各ドメインコントローラのPolicyDefinitionsフォルダーにOffice用のadmxファイルを配置すればいいでしょう。


    2014年1月27日 7:46
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンさん

    ご教授いただきありがとうございます。

    いただいたリンク先も参照したのですが、やはりチャブーンさんのおっしゃる通り中央ストアは使わず、都度必要なところにADMXファイルを配置する、という方針でいきたいと思います。

    ありがとうございました。

    2014年1月29日 2:48
    |
  • Question
    サインインして投票
    0
    サインインして投票

    ちょっと気になったので私の見解を書いてみます。

    基本的にADMXファイルは下位互換と認識しています。よって、最新のADMXファイルを使用すればIE10~IE8はそれで管理できる。これが大前提とします。

    今回問題となっているのは、IE10を入れることによってADMXファイルが書き変わる。そして、古いADMXファイルを使用して該当部分を編集すると新しいADMXファイルでの編集ができなくなると理解しました。

    ということは、セントラスストアを配置すればすべてのポリシー変更はセントラスストアを参照するのでその問題はなくなると思います。チャブーンさんが紹介しているサイトにも復旧方法としてセントラスストアのファイルを更新すればよいと書いてあるのでこれでいいと思います。

    以上、参考になれば幸いです。

    MVP:Virtual Machine Blog:MCTの憂鬱

    http://naonao71.wordpress.com/

    2014年1月29日 4:24
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    ABEさんからのご意見があり、簡単に検証してみました。

    • Firstサイト/SecondサイトそれぞれにDCを配置し、FirstサイトのDCをIE10にアップグレードする(inetres.admx日付が更新されたことも確認済み)
    • FirstサイトのDCのpolicydefinitionsフォルダを中央ストアにコピーし、複製させる
    • Firstサイト/SecondサイトそれぞれにDC上で[IEのメンテナンスポリシー]を表示させたところ、以下のようになった
      ・FirstサイトのDC→表示されない(IE10の既定動作)
      ・SecondサイトのDC→表示・編集が可能(IE8の既定動作)

    ということで、ABEさんの見解が正しいと結論します。inetres.admxの整合性を疑いコメントしましたが、下位互換には問題ないようですね。結果的に質問者の方には申し訳ないことをしました。お詫びして訂正します。

    2014年1月31日 12:09
    |
    モデレータ