見出し画像
Photo by f00b4r

[IT]Windowsの管理用テンプレート(~.admx、~.adml)について

夕町

久しぶりにWindowsの管理用テンプレートについて調べる機会があったため内容を整理したので以下に調べた内容を記載。


1. 管理用テンプレートとは

そもそも管理用テンプレートとは何かというと、グループ ポリシーの設定項目を定義したファイルである。

管理用テンプレートには、以下の 2 つのファイル(~.admxと~.adml)が提供されていて、これらを対象のコンピュータに追加することで、グループ ポリシー管理エディター内の項目を追加更新し、新しいグループ ポリシーの設定ができるようになる。

  • admx ファイル:グループ ポリシーの設定が含まれるファイル

  • adml ファイル:各言語ごとのグループ ポリシーの項目名や説明が含まれるファイル(英語の場合は「en-US」フォルダ配下)

管理用テンプレートの更新を行う場合(古いadmx/admlファイルを新しいadmx/admlファイルで上書き保存)だが
テンプレートの項目が新しいテンプレートによって上書きされたとしても、現在利用中のグループ ポリシーの設定に影響はないとのこと。

グループ ポリシー管理エディターで設定した情報は、registory.pol というファイルにレジストリ情報として格納され、グループ ポリシーが適用されているドメイン メンバーは、このファイルをもとにレジストリが設定される動作となり、管理用テンプレートを更新した場合もドメイン メンバーに配布している registry.pol ファイルに対して変更や削除などの処理は行われないため、利用中のグループ ポリシーの設定に影響はありません。

しかしながら、グループ ポリシー管理エディター上の設定項目が更新されるため、古いバージョンのテンプレートでは存在した設定項目が新しいバージョンでは削除されていたり、設定項目が変更されたグループ ポリシーもあるため、表示上の影響があるらしい。

「registory.pol」のファイルはGPOの再適用後15分ほどで新たに作成される挙動とのこと。(ドメインコントローラー上でこのファイルがみつからなかった。おそらくGPOを適用しているクライアントマシン上にこのregistory.polが作成される挙動と思われる。ドメインコントローラーにもGPOは適用されている認識のため挙動として矛盾していると思うが)

注意点としては、
・新しい管理用テンプレートで更新したときに、更新前の古い管理用テンプレートで存在した項目が削除されていると更新後は項目が表示されないことと設定項目が変更された項目については表示上の影響が発生する。

2. ナレッジ整理

①C:\Windows\System32\GroupPolicy\Machine\registry.polを削除して、gpupdate /forceを実行しても再作成されない。

A. gpedit.mscから設定変更後に、gpupdate /forceを実施時に再作成される挙動となる

②admxファイルのみ管理用テンプレートを該当のフォルダ配下に配置した場合の挙動について

A.グループポリシー管理エディターの画面に警告が表示されて、対象のadmxのGPOの設定項目が表示されない。(警告が表示されるタイミングはたしかコンピュータの構成かユーザーの構成の管理用テンプレートを開いたとき。なんで警告が表示されるかadmxファイルに対応するadmlファイルが該当のフォルダ配下に配置されていないため)

③admlファイルのみ管理用テンプレートを該当のフォルダ配下に配置した場合の挙動について

A.グループポリシー管理エディターの画面は問題なく開けるが、対象のadmxのGPOが無いため設定項目が表示されない。

④既存の管理用テンプレート(admx/adml)ファイルを新しい管理用テンプレートファイル(admx/adml)に入れ替える場合、既存のものと新しいもので名前が異なり、管理用テンプレートを共存させたときの挙動について

A.グループポリシー管理画面で、コンピュータの構成かユーザーの構成の管理用テンプレートを開いたときに、既に該当する管理用テンプレートが反映されている旨の警告画面が表示されて、基本は新しい管理用テンプレート(admx/adml)ファイルが先に適用される挙動となる。
このとき新しいものに不具合があり適用されない場合はその旨の警告が表示されて既存のものが適用される挙動となる。
(↑この挙動は調べても情報がなかったので検証してよかった)
そのため障害を避けるために事前にPolicyDefinitionsのバックアップをとっておき、新しい管理用テンプレート(admx/adml)を該当のフォルダに配置したら、古い管理用テンプレート(admx/adml)は削除して、グループポリシー管理エディターから表示を確認する方法を進める。

 

正直、管理用テンプレートについては調べると色々わかるため今後また何かあったら更新予定。

この記事が気に入ったらサポートをしてみませんか?