GPOセントラルストアを適切に設定し、トラブルシューティングする方法
グループポリシーセントラルストアの整理は、特に正しく同期されていないように見える場合や、予期せぬエラーが発生している場合は、面倒な作業になることがあります。ここでの目標は、ドメイン全体でADMX/ADMLテンプレートを効率的に管理し、バージョンの不一致やポリシーの不足に悩まされることがないようにすることです。しかし、ファイルをコピーするだけでは不十分な場合があり、Windowsはどのテンプレートを取得するかがかなり不安定な場合があります。そこで、このステップバイステップガイドのような手順を踏むことで、あらゆる問題に対応できます。
GPOセントラルストアの作成 – 理由と方法
まず、セントラルストアをまだ設定していない場合、Windows は自動的には作成しません。デフォルトでは、各マシンのC:\Windows\PolicyDefinitionsに保存されているローカルテンプレートが使用されます。真の威力を発揮するのは、 SYSVOL内に共有リポジトリを持つことです。これにより、すべてのドメインコントローラーが同じ ADMX/ADML ファイルにアクセスできるようになるため、ネットワーク全体でポリシー管理の一貫性が確保されます。設定によっては、どのテンプレートが使用されているかに関するエラーや混乱も軽減されます。リポジトリを手動で作成する場合は、Windows サーバーまたはドメインコントローラーからローカルの PolicyDefinitions を次のパスにコピーするだけです。
\\woshub.com\SYSVOL\woshub.com\Policies\PolicyDefinitionsこの方法を採用することで、すべてのポリシーテンプレートの整合性を確保できます。ただし、ADMX/ADMLテンプレートを使用する場合は、ADMファイルをこのフォルダにコピーしないでください。ADMは従来の形式であり、中央ストアではサポートされなくなったためです。代わりに、ADMXとその*.admlローカリゼーションファイルに注目してください。
テンプレートを適切に同期する – コマンドラインのコツ
Microsoftなどのソースから最新のテンプレートをコピーする場合は、PowerShellを使用するのが最適です。以下は、私が実際に使用した簡単なスニペットです。ローカルのC:\Windows\PolicyDefinitionsからCentral Storeにすべてをコピーします。
$Destination = "\\woshub.com\SYSVOL\woshub.com\Policies\PolicyDefinitions" $Source = "C:\Windows\PolicyDefinitions" Copy-Item -Path $Source\* -Destination $Destination -Recurse -Force -PassThru信じられないかもしれませんが、Windowsやスクリプトの権限設定がおかしくなり、ファイルが期待通りにコピーされないことがあります。PowerShellを管理者として実行すると問題が解決するほか、一部のマシンではコピー後に再起動することで、GPOエディターに新しいテンプレートが正しく読み込まれるようになります。
バージョンの不一致とローカリゼーションファイルの処理
よくある悩みの一つは、ADMXのバージョンが複数存在することです。特に、一部のバージョンが古い場合、「属性xxxxで参照されているリソースxxxxが見つかりません」といったエラーが発生します。そのため、GPOを編集する前に、必ず最新のMicrosoftダウンロードからADMXテンプレートを更新してください。これらのテンプレートは、Microsoftの公式ページから入手できます。
また、英語以外のバージョンをご利用の場合は、言語固有のADMLファイルも必ず更新してください。de_DE、en-US、fr-FRなどのローカライズフォルダをPolicyDefinitionsフォルダに配置すると、ポリシー名と説明が希望の言語で表示されます。ただし、ほとんどの場合、特に異なる言語環境を管理する場合は、en-USフォルダを使用する方が安全です。
GPOエディターが中央ストアを使用していることを確認する
セントラルストアを設定しても、GPO管理コンソールが頑固なままローカルテンプレートを読み込んでしまうことがあります。これを強制するには、レジストリキーを設定します。
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\PolicyDefinitions\EnableLocalStoreOverride = 1 (DWORD)これにより、GPOエディターは中央ストアを無視し、ローカルテンプレートで作業するようになります。これは、トラブルシューティングや個々のマシンでテンプレートをテストする場合に便利です。一方、中央ストアが使用されていることを確認するには、gpmc.mscを開いてメッセージを確認してくださいPolicy Definitions (ADMX files) retrieved from the central store。このメッセージが表示されていれば、問題なく動作します。
よくあるエラーに注意し、修正する方法
GPOエディターを開いた際に「リソース…が見つかりません」などのエラーが表示される場合、通常は一部のADMLファイルが正しく同期されていないか、不足していることを意味します。PolicyDefinitionsディレクトリ内のすべての言語フォルダーが適切に配置されていること、そしてファイルがコピーしたADMXのバージョンと一致していることを再度ご確認ください。ファイルレプリケーションサービスがドメインコントローラー全体に変更をプッシュするのを待つことで問題が解決する場合もありますが、バックアップから手動で復元したり、テンプレートを再コピーしたりする方が早い場合もあります。
もちろん、Windows では必要以上に難しくする必要があります。
ChromeやOfficeなどの新しいテンプレートを追加する場合は、ADMX/ADMLファイルが最新リリースに更新されていることを確認してください。そうでないと、設定がおかしく表示されてしまったり、設定が全く利用できなくなったりする可能性があります。また、古いADMファイルと新しいADMXファイルを混在させるのは避けてください。トラブルの原因となります。
全体的に、すべてのものがどこに属しているかを理解すれば、中央ストアの設定はそれほど複雑ではありませんが、テンプレートが適切に同期されていない場合はトラブルシューティングが難しくなる可能性があります。
まとめ
- フォルダを作成します\\
\SYSVOL\ \ポリシー\ポリシー定義 - Microsoft から ADMX/ADML ファイルをコピーします (PowerShell を使用するのが望ましい)
- 必要に応じてローカライズ用の言語フォルダを更新します
- GPOエディタが中央ストアを使用していることを確認し、メッセージを確認します。
- 大きな更新を行う前に、PolicyDefinitions フォルダをバックアップしてください。
- ファイルの複製には時間がかかることがあるため、忍耐が必要です。
まとめ
中央ストアをスムーズに動作させることで、特に複数のサーバーにまたがるポリシーを管理する場合、将来的に多くの頭痛の種を防ぐことができます。テンプレートを最新の状態に保ち、頻繁にバックアップを取り、ファイルの不一致や不足をトラブルシューティングできるようにしておきましょう。最初の試みで必ずしも完璧とは限りません。ある設定ではすぐにうまくいきましたが、別の設定では数回の再起動と手動でのコピーが必要でした。この方法が、私が経験した何時間ものフラストレーションを誰かが回避するのに役立つことを願っています。