Active directory 環境へグループポリシーテンプレート（admx）を追加するのは意外と簡単

Active directory のグループポリシーは便利な機能ですね。
ポリシーファイル（「ポリシーテンプレート」とも言う）は内容が新しくなるので、更新が必要です。

「ポリシーファイル(admxファイル)の追加方法がわからない」
といった基本的な手順を解説します。

ポリシーファイルの更新する理由

ADサーバの運用経験としては、Windows 2003 R2 のころから構築・運用に携わってきています。

さまざまなお客様の運用を見てきましたところ、ポリシーファイル更新は実施されずに残念になっていることが多いですね。たとえば、「OS構築時にからポリシーファイルが更新されていない」とかはマズイと思います。

ポリシーファイルの更新しない場合、OS制御が不完全になったり、上手く機能しなかったりします。

設定内容はレジストリの値だったりしますので、OSバージョンが変わるごとにレジストリーのパスや値が変更になります。結果的に古いテンプレート利用していると、レジストリがうまく適用できずにOS制御に失敗してしまいます。

ポリシーテンプレートURL一覧

ポリシーテンプレートは各ウェブサイトからダウンロードする形となります。

各URLからダウンロードして、”admxファイル” と “admlファイル” を抽出します。

ダウンロードしたZIPファイルを展開すると、”admxファイル”と言語フォルダの2つが存在しており、
「言語フォルダ」に”admlファイル”が存在します。

「違いはなんだろう？」と思うかもしれませんが、”admxファイル”は言語に依存しないテンプレートファイルで、 “admlファイル” は各言語に対応した翻訳集です。

たとえば、Google chrome の場合、以下の2つのファイルがドメインに必要です。
Ja-JP\chrome.adml
chrome.admx

• Windows
  Windows でグループ ポリシー管理用テンプレート用のセントラル ストアを作成および管理する方法
  https://support.microsoft.com/ja-jp/help/3087759/how-to-create-and-manage-the-central-store-for-group-policy-administra
• Office 365
  Administrative Template files (ADMX/ADML) and Office Customization Tool for Office 365 ProPlus, Office 2019, and Office 2016
  https://www.microsoft.com/en-us/download/details.aspx?id=49030
• Chromium Edge
  ビジネスに適した新しい Microsoft Edge をダウンロードして展開する
  https://www.microsoft.com/ja-jp/edge/business/download
• Google Chrome
  管理対象パソコンに Chrome ブラウザのポリシーを設定する
  https://support.google.com/chrome/a/answer/187202?hl=ja

テンプレートをドメインセントラルへ配置する

ドメインへテンプレートファイルの追加する方法です。

ドメインサーバにログインします。先ほど入手したテンプレートファイル（admxファイル” と “admlファイル”）を下記のフォルダへ手動でコピーします。

あっけないですが、これだけです。

• admxファイル
  C:\Windows\Sysvol\domain\Policies\PolicyDefinitions
• admlファイル
  C:\Windows\Sysvol\domain\Policies\PolicyDefinitions\ja-JP

具体的な例では、Contoso というドメインでのSysvol共有パスになります。

\\contoso.com\SYSVOL\contoso.com\policies\PolicyDefinitions

ドメインの解説をしますと、”C:\Windows\Sysvol\” は「ドメインコントローラ上のSYSVOL共有」と呼ばれるものになります。このSYSVOL共有に”PolicyDefinitions”フォルダを作成し、テンプレートを配置します。

なお、”PolicyDefinitions”フォルダは「セントラル ストア」とも呼ばれます。

SYSVOL共有のセントラル ストアは、既定でグループ ポリシーツールによるチェック対象となるファイルの場所です。つまり、セントラル ストア内にあるすべての .admx ファイルを使用します。

いったん、１台のドメインコントローラーのセントラルストアにテンプレートを配置すると、セントラル ストア内のファイルは、ドメイン内のすべてのドメイン コントローラーにレプリケート（複製）されます。

まとめ

意外とかんたんな方法だったと思います。

今回、Active Directory へのテンプレート追加方法を具体的に解説したブログがすくなかったので解説してみました。

長年のAD運用からADの活用していないお客さんが多く、GPOをもっと利用してIT活用していただければ幸いです。