none
グループポリシーのWindows10クライアントからの管理 RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    現在、WindowsServer2008R2がドメインコントローラであるドメインで、
    Windows10のグループポリシーを設定したいと考えております。(機能レベルはいずれも2008R2)

    また、今後複数のFeatureUpdate(FU)を管理するため、セントラルストアを利用せず、各FU毎のWindows10クライアントをドメインに参加させ管理したいと考えております。
    (いくつかのサイトにて、そういった方法が紹介されており、参考にさせていただきました。)

    そこで、WindowsServer2008R2のドメインコントローラのあるドメインに、Windows10(1809)を参加させ、ドメイン既存のGPOを編集しようとしたのですが、セントラルストアにあるadmxが参照され、Windows10に対応する項目が表示されておりませんでした。

    また、別途Windows10(1809)の管理テンプレートを取得し、「グループポリシー管理エディタ」よりテンプレートの追加(コンテキストメニューの「テンプレートの追加と削除」)を実施しようとしたのですが、admxファイルおよびadmlファイル共にポリシーテンプレートとして追加できませんでした。(選択に表示されない)

    以上のような状況になっております。
    その上で、以下3点、コメントいただけますと幸いです。


    (1) Windows2008R2ドメイン環境に参加させたWindows10からはRSATの「グループポリシーの管理」から
    それと同じバージョンのポリシーを編集可能という認識は間違っておりませんでしょうか。

    (2) 上記認識で間違っていない場合、その他、必要な手順はありますでしょうか。

    (3) そもそもこの手法以外に、グループポリシーを複数FU管理できるような手立てはありますでしょうか。


    以上、よろしくお願いいたします。

    • 編集済み naga-o 2019年7月1日 9:03
    2019年7月1日 9:02
    |

回答

  • Question
    サインインして投票
    2
    サインインして投票

    「グループポリシーの管理」を開いた際に、ドメインコントローラーのセントラルストアにある管理テンプレート (ADMX) では無く、「グループポリシーの管理」を起動したコンピューターのローカルにある管理テンプレート(ADMX)を使用したい、と言うことでしょうか?

    であれば、以下で解説されているレジストリの変更が必要だと思われます。(機械翻訳なので日本語がおかしいですが・・・)

     

    グループ ポリシー オブジェクトエディターに対してローカルの ADMX ファイルの使用を有効にする更新プログラムがあります。

    https://support.microsoft.com/ja-jp/help/2917033/an-update-is-available-to-enable-the-use-of-local-admx-files-for-group

     

    ==============以下抜粋=============

    修正プログラムを適用した後、ローカルの ADMX ファイルの使用を手動で有効にします。構成には、ドメイン コント ローラーまたはリモート サーバー管理ツール (RSAT) がインストールされているクライアントは、ポリシー エディターを実行するコンピューターで実行します。

     

    中央ストアをバイパスして、代わりに、ローカルストアから ADMX ファイルを使用して、次のレジストリエントリを1に設定しますHKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Group Policy\EnableLocalStoreOverride型: REG_DWORD。

    値:

    0が存在する場合は、Sysvol に PolicyDefinitions を使用 (既定値)

    1 - ローカル PolicyDefinitions を常に使用

    2019年7月3日 1:35
    |

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    Windows 10 1809のGPMCの動作に疑問があるということでしょうか?詳細はともかく、最初に「正しく導入している」ことを確認するといいように思います。

    すでに実施していたら申し訳ないですが、1809のRSATの扱いについては、ダウンロードによる追加インストールではなく、Features on Demandからのインストール(OS内部で実施)になります。

    https://www.microsoft.com/en-US/download/details.aspx?id=45520
    (うえはダウンロードしないようにして、System Requirementsをみてみてください)

    ----

    Starting with Windows 10 October 2018 Update, RSAT is included as a set of "Features on Demand" right from Windows 10. Do not download an RSAT package from this page. Instead, just go to "Manage optional features" in Settings and click "Add a feature" to see the list of available RSAT tools. Select and install the specific RSAT tools you need. To see installation progress, click the Back button to view status on the "Manage optional features" page.
    ----

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2019年7月2日 1:06
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーン様

    ご指摘ありがとうございます。

    RSATはFeatureOnDemandでインストールしております。

    (オプション機能画面にて、「RSAT: Group Policy Management Tools」と認識されております。)

    情報漏れており、失礼いたしました。

    また、GPMCの動作については、先に記載させていただいたような管理手法ができるのではと見込んで検証を実施しましたが、想定通りにならなかったため、そもそもの認識が間違っていたのか、環境に何か阻害要因があるのかを判断したく、知見をうかがっていた次第です。

    以上、よろしくお願いいたします。

    2019年7月2日 2:14
    |
  • Question
    サインインして投票
    2
    サインインして投票

    「グループポリシーの管理」を開いた際に、ドメインコントローラーのセントラルストアにある管理テンプレート (ADMX) では無く、「グループポリシーの管理」を起動したコンピューターのローカルにある管理テンプレート(ADMX)を使用したい、と言うことでしょうか?

    であれば、以下で解説されているレジストリの変更が必要だと思われます。(機械翻訳なので日本語がおかしいですが・・・)

     

    グループ ポリシー オブジェクトエディターに対してローカルの ADMX ファイルの使用を有効にする更新プログラムがあります。

    https://support.microsoft.com/ja-jp/help/2917033/an-update-is-available-to-enable-the-use-of-local-admx-files-for-group

     

    ==============以下抜粋=============

    修正プログラムを適用した後、ローカルの ADMX ファイルの使用を手動で有効にします。構成には、ドメイン コント ローラーまたはリモート サーバー管理ツール (RSAT) がインストールされているクライアントは、ポリシー エディターを実行するコンピューターで実行します。

     

    中央ストアをバイパスして、代わりに、ローカルストアから ADMX ファイルを使用して、次のレジストリエントリを1に設定しますHKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Group Policy\EnableLocalStoreOverride型: REG_DWORD。

    値:

    0が存在する場合は、Sysvol に PolicyDefinitions を使用 (既定値)

    1 - ローカル PolicyDefinitions を常に使用

    2019年7月3日 1:35
    |
  • Question
    サインインして投票
    0
    サインインして投票

    naga-o様

    フォーラムにご投稿くださいましてありがとうございます

    皆さんから寄せられた投稿はお役に立ちましたか。

    参考になった回答には [回答としてマーク] をお願い致します。

     

    ご不明な点がございましたら、お気軽にお問い合わせください

    Fan

    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年7月4日 5:51
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票
    Lapivy様

    コメントありがとうございます。

    ご指摘いただきました通り、ドメインに参加したWindow10上のGPMCからローカルの管理テンプレートを参照してグループポリシーを編集することが目的となります。

    そもそも私の認識が間違っており、先とは別の検証用ドメイン環境を用意して動作確認し、セントラルストアを有効にすると、RSATのGPMCではセントラルストア上の管理テンプレートが優先されることを理解しました。
    セントラルストアを無効にすると再度ローカルの管理テンプレートが参照されることも確認いたしました。
    前提確認が不足しており、大変失礼いたしました。

    また、Lapivy様からご提示いただきました、セントラルストアの管理テンプレートをバイパスする方法にて、先の目的を実現できることを検証で実施して確認できました。

    つきましては、本件解決済みとさせていただきます。
    ご助言いただきました皆様、大変ありがとうございました。
    2019年7月4日 6:31
    |