最近、管理職となると巷で噂の えろす師匠 が Windows 10 のクライアントを考慮したグループポリシー管理を実施するための方法を軽くまとめてみたいと思います。
Windows 10 向けのグループポリシーについては、
- Administrative Templates (.admx) for Windows 10 – 日本語
- Group Policy Settings Reference for Windows and Windows Server
をベースにするとよいかと。
Windows Server 2012 R2 までのドメインコントローラーで、Windows 10 の管理を実施することができますが、Windows Server 2012 R2 では、Windows 8.1 までの OS 向けのグループポリシーのテンプレートがデフォルトでインストールされた状態となりますので、Windows 10 で追加されたポリシーを設定することができません。
スプレッドシートを「New in Windows 10」や、「Supported On」 でフィルターすると追加されたものが確認できます。
Windows 10 のグループポリシー管理の方法としては、
- Windows Server 2012 R2 や、Windows 8.1 のグループポリシー管理ツールで、Windows 8.1 までで対応していたポリシーを設定
- Windows 10 をドメインに参加させ、Windows 10 からグループポリシー管理ツールを起動してポリシーを設定
- Windows Server 2012 R2 等のドメインコントローラー / Windows 8.1 等のドメインに参加しているクライアントに Windows 10 のグループポリシーテンプレートを投入することでポリシーを設定
の 3 パターンが代表的なものでしょうか。
「1.」については、Windows 10 で追加されたポリシーは使わずに 8.1 までのポリシーを使う方針ですが、Windows 10 がドメインに参加されている環境では、あまり適切でない方針かと。
「2.」については、ドメインコントローラー上でグループポリシーを設定するのではなく、ドメインに参加した、Windows 10 上でグループポリシーを設定する方法になります。
Windows 10 には、Windows 10 向けのグループポリシーテンプレートが導入されていますので、ドメインに参加した Windows 10 でグループポリシーを設定すれば、10 向けに追加されたグループポリシーの設定もできます。
# グループポリシー管理ツールを実行する環境にテンプレートが追加されていればよいので。
8/9 時点では、Remote Server Administration Tools for Windows 10 Technical Preview (January 2015)? が Windows 10 向けの RSAT になるのですが、TP 版 かつ、英語環境の Windows 10 でないとインストールをしても機能が追加できないので、こちらも現状は使用するのが難しいかと。
ということで、大体のパターンでは「3」で実施することになるかと思います。
最初にグループポリシーのテンプレートを導入する環境を決めます。
この環境は、「グループポリシー管理ツールを使用して、グループポリシーを設定する端末」となりますので、ドメインコントローラーでなく、管理用の Windows 8.1 でも問題ありません。
Administrative Templates (.admx) for Windows 10 – 日本語 は適当な環境でインストールをする必要がありますので、これをどこかの環境にインストールします。
「C:\Program Files (x86)\Microsoft Group Policy\Windows 10\PolicyDefinitions」にテンプレートが展開されますので、これをグループポリシーを設定する端末にコピーします。
- Windows 8.1 等のクライアントや、セントラルストアを使用していないドメインコントローラーの場合は、「C:\Windows\PolicyDefinitions」にテンプレートを上書き
- ドメインコントローラーのセントラルストアを使用している場合は「SYSVOL\<ドメイン名>\Policies」にテンプレートを上書き
することで、Windows 10 向けに追加されたグループポリシーを設定することができるようになります。
詳しい設定は、管理職になったえろす師匠 に任せたいと思います。
管理テンプレートを追加した後に、グループポリシーを設定しようとして、
- microsoft-windows-geolocation-wlpadm.admx
- PreviousVersion.admx
の警告が表示された場合は、
管理職となったえろす師匠が Windows 10 を考慮したグループポリシー管理を実施した際にエラーでつまづかないための方法
で紹介されている、KB3077013 の対応をするとよいかと。