グループ ポリシー再確認 (2)

Transcript

1. グループポリシー再確認② Murachi Akira aka Hebikuzure

2. About me • Murachi Akira aka hebikuzure ( 村地 彰

   ) • 株式会社エクシードワン 技術フェロー • 株式会社シーピーエス 技術教育スペシャリスト • 専門学校東京テクニカルカレッジ非常勤講師 • Microsoft MVP (Most Valuable Professional) • Since Apr. 2011 ( 14 Years! ) • Award Category: Windows and Devices - Windows Cloud and Datacenter Management – Windows Server • Expertise • Windows client / user management and security • Microsoft 365, Active Directory, Microsoft Endpoint Manager https://www.linkedin.com/in/akiramurachi/ https://www.facebook.com/amurachi/ https://x.com/hebikuzure 2025/04/26 2 Murachi Akira aka Hebikuzure

3. 目次 • 前回のおさらい • グループ ポリシーの適用 • グループ ポリシーの実体 •

   管理用テンプレート • まとめ 2025/04/26 Murachi Akira aka Hebikuzure 3

4. 前回のおさらい 2025/04/26 Murachi Akira aka Hebikuzure 4

5. 前回のセッション • スライド グループポリシー再確認 - Speaker Deck • YouTube 2025

   .NETラボ 勉強会3月オンライン勉強会 2025/04/26 Murachi Akira aka Hebikuzure 5

6. グループ ポリシーとは • Windows を実行しているコンピューターで… • ユーザーとコンピューターの設定と構成管理する仕組み 2025/04/26 Murachi Akira

   aka Hebikuzure 6 グループ ポリシー コンピューターの構成 ユーザーの構成

7. ローカル ポリシーとドメイン ポリシー • グループ ポリシーはコンピューター単位でローカルに構成可能 ⇒「ローカル ポリシー」 • Active

   Directory ドメインでドメイン参加しているコンピューターと ユーザーを対象に構成可能 ⇒「ドメイン ポリシー」 2025/04/26 Murachi Akira aka Hebikuzure 7 ローカル ポリシー ドメイン ポリシー

8. グループ ポリシーと GPO • GPO（Group Policy Object、グループ ポリシー オブジェクト） •

   GPO • グループ ポリシー設定 • スコープ（ポリシーの適用対象） • セキュリティ権限 2025/04/26 Murachi Akira aka Hebikuzure 8

9. 設定・スコープ・権限 2025/04/26 Murachi Akira aka Hebikuzure 9 スコープ 設定 権限(委任)

10. GPO の適用 • GPO はドメインの Active Directory コンテナーにリンクする • リンクされたコンテナー内のオブジェクトに

    GPO が反映される • GPO をリンクできる最下位のコンテナーは組織単位 (OU) 2025/04/26 Murachi Akira aka Hebikuzure 10 GPO OU GPO OU GPO OU ドメイン

11. グループ ポリシーの構成要素 • 「コンピューターの構成」と「ユーザーの構成」 • 各「構成」の配下 • ポリシー • ソフトウェアの設定

    • Windows の設定 • 管理用テンプレート • 基本設定（ドメイン ポリシーのみ） • Windows の設定 • コントロール パネルの設定 2025/04/26 Murachi Akira aka Hebikuzure 11

12. ポリシーと基本設定 ポリシー 基本設定 設定の強制 （ユーザーは変更できない） 設定の既定値の提供 （ユーザーは変更可） GPO 更新ごとに適用 一度だけ適用、

    または GPO更新ごとに適用 OU 対象、WMI フィルター構成可能 OU、WMI フィルターに追加して 対象設定可能 2025/04/26 Murachi Akira aka Hebikuzure 12

13. グループ ポリシーの適用 2025/04/26 Murachi Akira aka Hebikuzure 13

14. グループ ポリシーの適用 • フォアグラウンド処理 • Windows 起動時にグループ ポリシー クライアント サービス

    (GPSVC) が起動 • winlogon が RPC を通じて GPSVC を呼び出す • GPSVC がグループ ポリシーの処理を行う • 同期実行/非同期実行を選択可能 • バックグラウンド処理 • GPSVC が定期的（既定では90分+α の間隔）に処理を行う • 常に非同期実行 • フォアグラウンド処理でのみ適用されるポリシーもある （フォルダー リダイレクトなど） 2025/04/26 Murachi Akira aka Hebikuzure 14

15. ポリシーを適用するモジュール Winlogon ログオン 処理 GPSVC (Group Policy Client) グループ ポリシー

    の処理 CSE (Client-Side Extension) 実際のポリシーの構成 2025/04/26 Murachi Akira aka Hebikuzure 15

16. Client-Side Extension (CSE) • GPO を実際にコンピューターやユーザーの設定に反映させるモジュール • ポリシーの項目により、利用するモジュールが異なる • CSE

    はレジストリに登録されている • HKEY_LOCAL_MACHINE¥SOFTWARE¥Microsoft¥Windows NT ¥CurrentVersion¥Winlogon¥GPExtensions 2025/04/26 Murachi Akira aka Hebikuzure 16

17. CSE の例 • appmgmts.dll：ソフトウェアのインストール • gpscript.dll：ログオン/ログオフ/スタートアップ/シャットダウン スクリプト • gpprefcl.dll：グループ ポリシーの基本設定

    • CSE の一覧 • Group Policy Client Side Extension List | Microsoft Learn（古い) • List Group Policy Client Side Extensions, CSEs, from Windows 10 – DeployWindows (レジストリの情報を取ってきて表示する) 2025/04/26 Murachi Akira aka Hebikuzure 17

18. CSE の実行順序 • 管理用テンプレートの処理（最初に実行される） • CSE の処理 • レジストリ キー

    GPExtensions に登録されているサブキー順に実行 • サブキーは CSE に割り当てられている GUID • 結果、GUID の名前順（昇順）に実行される 2025/04/26 Murachi Akira aka Hebikuzure 18 参考： Re-ordering Group Policy Client Side Extensions - SDM Software

19. CSE の独自実装 • 独自の CSE とそれに対応するグループ ポリシー管理エディタ スナップイ ンを作成して、グループ ポリシー基本設定を拡張できる

    • Using Group Policy API | Microsoft Learn • Implementing a Group Policy Client-side Extension | Microsoft Learn • About Group Policy Preferences | Microsoft Learn • Extending the Group Policy Management Editor | Microsoft Learn • Implementing RSoP on the Server | Microsoft Learn 2025/04/26 Murachi Akira aka Hebikuzure 19

20. ポリシー適用のトラブルシューティング 1 • CSE のイベントを確認 • CSE のイベントはアプリケーション ログに出力される •

    イベント ID とその意味については以下参照 Group Policy Infrastructure | Microsoft Learn • 例 • Event ID 101 — Software Installation Processing | Microsoft Learn • Event ID 1130 — Group Policy Scripts Processing | Microsoft Learn • Event ID 1085 — Application of Group Policy | Microsoft Learn 2025/04/26 Murachi Akira aka Hebikuzure 20

21. ポリシー適用のトラブルシューティング 2 • GPSVC の詳細ログを取得する 1. %windir%¥debug に usermode フォルダーを作成する

    2. HKEY_LOCAL_MACHINE¥Software¥Microsoft¥Windows NT¥CurrentVersion に Diagnostics キーを作成する 3. Diagnostics キー 内に GPSvcDebugLevel (DWORD) を作成する 4. GPSvcDebugLevel のデータを 30002 (HEX) にする • バックグラウンド更新が行われるまで待つか、gpupdate /force で更新するか、 コンピューターを再起動すると、 usermode フォルダー内に gpsvc.log が出 力されます 2025/04/26 Murachi Akira aka Hebikuzure 21

22. グループ ポリシーの実体 2025/04/26 Murachi Akira aka Hebikuzure 22

23. グループ ポリシーの実体 • ドメインの Sysvol 共有に保存される • ¥¥<domain>¥SYSVOL¥domain¥Policies 配下に保存 •

    GPO ごとにフォルダー分けして保存されている • フォルダー名は GPO の「一意な ID」 • ドメイン コントローラー間で複製され、すべてのドメイン コントローラーで 同じ情報が保持される 2025/04/26 Murachi Akira aka Hebikuzure 23

24. GOP ごとのフォルダー 2025/04/26 Murachi Akira aka Hebikuzure 24 このフォルダーは Exprimental

    GPO のフォルダーであることが分かる

25. GPO フォルダーの中身 ./ Machine Applications Microsoft Scripts Preferences Registry.pol comment.cmtx

    User ……… GPT.INI 2025/04/26 Murachi Akira aka Hebikuzure 25

26. GPT.INI • ポリシーのバージョン情報が書かれている • GPO を編集するたびにバージョンが上がる 2025/04/26 Murachi Akira aka

    Hebikuzure 26

27. フォルダーの内容 2025/04/26 Murachi Akira aka Hebikuzure 27 Applications ソフトウェア インストール

    Microsoft セキュリティの設定 Scripts スクリプト Preferences 基本設定 Registry.pol 管理用テンプレート comment.cmtx （コメント）

28. セキュリティの設定 • ./Machine¥Microsoft¥Windows NT¥SecEdit¥GptTmpl.inf 2025/04/26 Murachi Akira aka Hebikuzure 28

29. 基本設定 2025/04/26 Murachi Akira aka Hebikuzure 29

30. Registry.pol • 管理用テンプレートで指定したレジストリ構成情報を記載したファイル • バイナリ ファイルに見えるが、中身は UNICODE テキスト 2025/04/26 Murachi

    Akira aka Hebikuzure 30

31. Scripts • スクリプトを格納 • Machine にはスタートアップ/シャットダウン スクリプト • User にはログオン.ログオフスクリプト

    2025/04/26 Murachi Akira aka Hebikuzure 31

32. 管理用テンプレートの実体 2025/04/26 Murachi Akira aka Hebikuzure 32

33. 管理用テンプレート • 「管理用テンプレート」はレジストリ ベースのポリシー設定のテンプレート • .admx ファイル：グループ ポリシーの設定が含まれるファイル • .adml

    ファイル：各言語ごとのの項目名や説明が含まれるファイル • Windows の機能が更新・追加されるとテンプレートも更新される • 追加のコンポーネント用の管理用テンプレートも別途利用可能 • Office / Microsoft Edge / OneDrive など • サードパーティー製品のテンプレートもサードパーティーから提供されてい るものがある（Google Chrome など） 2025/04/26 Murachi Akira aka Hebikuzure 33

34. 代表的な追加できるテンプレート • Office • https://www.microsoft.com/en-us/download/details.aspx?id=49030 • Microsoft Edge（最新版のテンプレート） • https://www.microsoft.com/ja-jp/edge/business/download

    • OneDrive • （OneDrive のインストール フォルダー内内の adm フォルダー • Google Chrome • https://dl.google.com/dl/edgedl/chrome/policy/policy_templates.zip 2025/04/26 Murachi Akira aka Hebikuzure 34

35. .admx ファイル / .adml ファイル • グループ ポリシー管理エディターの「管理用テンプレート」に表示する項 目と、構成するレジストリの情報が書かれた XML

    ファイル • .admx ファイル：グループ ポリシーの設定が含まれるファイル • .adml ファイル：各言語ごとのの項目名や説明が含まれるファイル 2025/04/26 Murachi Akira aka Hebikuzure 35

36. 管理用テンプレートの表示 2025/04/26 Murachi Akira aka Hebikuzure 36

37. 対応する .admx 2025/04/26 Murachi Akira aka Hebikuzure 37

38. 対応する .adml 2025/04/26 Murachi Akira aka Hebikuzure 38

39. .admx と .adml の関係 • 同名のファイルがペア • .adml は言語別のフォルダーに格納 •

    .admx を読み込む際、ロケールに合わせて言語別のフォルダーから .adml を読み込む • .admx のプレースホルダー（「$(string.PublishDfsRoots)」のよう な部分）を .adml の指定で置き換える 2025/04/26 Murachi Akira aka Hebikuzure 39

40. プレースホルダーの置き換え • .admx <policy name="PublishDfsRoots" class="User" displayName="$(string.PublishDfsRoots)" …… • .adml

    <string id="PublishDfsRoots">DFS ルートの公開を許可する </string> • 実際の表示 2025/04/26 Murachi Akira aka Hebikuzure 40

41. ポリシーの編集に利用されるテンプレート • 既定では、ポリシーを編集している（グループ ポリシー エディターを起動 している）コンピューターにある管理用テンプレート • 古いバージョンのコンピューターで編集すると、新しいバージョン用のポ リシーが編集できない場合がある •

    追加のコンポーネント用のテンプレートを、編集するコンピューターごと にインストールする必要がある • セントラル ストアを構成して、管理用テンプレートを一括管理できる • セントラル ストアの作成と管理 - Windows 2025/04/26 Murachi Akira aka Hebikuzure 41

42. ローカルのテンプレート • %windir%¥PolicyDefinitions 2025/04/26 Murachi Akira aka Hebikuzure 42

43. セントラル ストア • ¥¥<domain>¥SYSVOL¥domain¥Policies¥PolicyDefinitions に .admx ファイルと .adml ファイルを格納してセントラル ストアを

    作成する • ドメイン ポリシーの編集ではセントラル ストアからテンプレートが 読み込まれる • ドメイン内のどのコンピューターで編集しても常に同じテンプレートが 利用できる 2025/04/26 Murachi Akira aka Hebikuzure 43

44. セントラル ストアの代わりに ローカル テンプレートを使用する • ローカルのテンプレートを使用して編集したいコンピューターで レジストリ値を構成する • キー： HKLM¥SOFTWARE¥Policies¥Microsoft¥Windows¥Group

    Policy • 名前：EnableLocalStoreOverride • 種類：REG_DWORD • データ：1 2025/04/26 Murachi Akira aka Hebikuzure 44

45. 参考情報 2025/04/26 Murachi Akira aka Hebikuzure 45

46. 参考情報 • Troubleshooting Group Policy Using Event Logs | Microsoft

    Learn • A Treatise on Group Policy Troubleshooting–now with GPSVC Log Analysis! | Microsoft Learn • Group Policy Preferences | Microsoft Learn • ADMX ポリシーについて | Microsoft Learn • Group Policy Search 2025/04/26 Murachi Akira aka Hebikuzure 46

47. 参考情報（続き） • イベントビューアからグループポリシーのトラブルシューティングを行う | 国 井 傑のブログ • グループポリシーのクライアントサイド拡張(CSE) |

    国井 傑のブログ • グループ・ポリシーのしくみ - ＠IT 2025/04/26 Murachi Akira aka Hebikuzure 47

48. まとめ 2025/04/26 Murachi Akira aka Hebikuzure 48

49. グループ ポリシー • 前回のおさらい • グループ ポリシーの適用 • グループ ポリシーの実体

    • 管理用テンプレートの実体 • 続きは次回以降の .NET ラボ勉強会にて！ 2025/04/26 Murachi Akira aka Hebikuzure 49

50. 2025/04/26 Murachi Akira aka Hebikuzure 50 ありがとうございました