2018/07/23

Windows 10 ver 1803 管理用テンプレート v2 について

Windows 10バージョン1803用の管理用テンプレートのバージョン2.0が7月に出たから Pro ユーザーは最新版に更新しておこうみたいな不思議な記事を見かけました。

けど、これってActive Directoryのグループポリシーで、最新バージョンの Windows 10 のポリシーを編集できるように中央ストア(Central Store)にコピーする用の最新版だと思うので(半期チャネル向けリリースに合わせて)、誤解のないように。詳しくは以下。

How to create and manage the Central Store for Group Policy Administrative Templates in Windows
https://support.microsoft.com/en-us/help/3087759/


つまり、Windows 10 バージョン 1803 Pro ユーザーへのインストールは全く不要(間違ってたらごめんなさい)。

(19:00 追記:問題の記事は既に取り下げられた模様、なんかごめんなさい、ホントにごめんなさい)

中央ストアの管理用テンプレートは、最新の Windows からコピーしてもいいし、ダウンロードセンターで提供される管理用テンプレートを使ってもいい。これはむかーし昔からのスタイルで変わらない(.adm形式だったWindows 2000のときからだと思う。ほら → https://www.microsoft.com/en-us/download/details.aspx?id=18664)。

また、ダウンロードセンターで提供されるWindows 10 バージョン1803の管理用テンプレートをインストールしただけでは、C:\Program Files (x86)またはProgram Files\Microsoft Group Policy\Windows 10 April 2018 Update (1803) v2\PolicyDefinitions に管理用テンプレート(.admx)と各国語版言語サポート(.adml)がコピー用に大量に展開されるだけ(問題の記事の手順はインストールしただけのよう、つまりディスク使用を無駄に増やしただけ)。Windows 10 バージョン 1803 のローカルのポリシーストア %Windir%\PolicyDefinitions の管理用テンプレートが更新されるわけではありません。%Windir%\PolicyDefinitionsの下にコピーしたとしても(Office などの管理用テンプレートを追加するのとは違って、OS のシステムファイル扱いのファイルの上書きなので、アクセス許可の問題で簡単にはできないはず)、今後の品質更新プログラムで上書きされちゃうこともあります。下手にコピーすると、逆にダウングレードされちゃうことも(管理用テンプレートの ja-jp\CredSSP.admlを使用すると、ポリシー名や説明の一部が英語にダウングレードしちゃうと思う)。

中央ストアにコピーして使う場合も、Windows 10バージョンが統一されている場合はいいんですけど、複数バージョンのWindows 10が混在している場合、厄介なことになるかもしれないです。中央ストアには、バージョン固有の管理用テンプレートを複数配置するなんてことできないので。Windows Server 2016 のドメインコントローラーのローカルの %Windir%\PolicyDefinitions にコピーするともっと厄介なことになると思うので厳禁(その前にアクセス拒否してくれるはずですが)。例えば、Windows 10バージョン 1703以降のWindows Update for BusinessのポリシーとWindows 10バージョン1607やWindows Server 2016のWindows Updateの延期ポリシーは、ポリシー設定が微妙に違う(更新の一時停止のレジストリの持ち方とか)けど、どちらも WindowsUpdate.admx/.adml。

運用環境で皆さんどう対応しているんでしょうか。私は、Windows 10バージョンごとにRSAT(リモートサーバー管理ツール)をインストールした環境(グループポリシー編集環境)を用意して、Windows 10の新しいポリシーや変更されたポリシーは、その端末から編集するのがいいと思う。そんでもって、WMIフィルターとかでGPOの対象を識別したりして。中央ストアをまったく使用せずにね。

中央ストアを使っていて、Windows 10とWindows 8.1以前を混在している場合は、「'Microsoft.Policies.Sensors.WindowsLocationProvider' は、既にストア内の別のファイルの...」エラーにもご注意あれ。古い話ですが、たまにこの問題(Microsoft-Windows-Geolocation-WLPAdm.admx/.adml残存問題)が残っている Windows 10 PC とか中央ストアとかあるみたい。Windows 10 バージョン 1803 では、SearchOCR.admx/.adml にもなにやら対応が必要になることがあるみたい。

Windows 10 バージョン 1511 にしてから gpedit.msc がエラーに(2015/12/10)
"'Microsoft.Policies.Sensors.WindowsLocationProvider' is already defined" error when you edit a policy in Windows
https://support.microsoft.com/en-us/help/3077013/



0 件のコメント:

コメントを投稿

注: コメントを投稿できるのは、このブログのメンバーだけです。