グループ ポリシー管理テンプレート (.adm) ファイルを管理するための推奨事項
この記事では、ADM ファイルのしくみ、操作を管理するために使用できるポリシー設定、および一般的な ADM ファイル管理シナリオの処理方法に関する推奨事項について説明します。
適用対象: Windows Server (サポートされているすべてのバージョン)、Windows クライアント (サポートされているすべてのバージョン)
元の KB 番号: 816662
Note
中央ストアを使用してグループ ポリシー インフラストラクチャを管理するには、Windows Vista より後でリリースされた Windows を使用することをお勧めします。 この推奨事項は、Windows XP または Windows Server 2003 を実行しているコンピューターなど、ダウンレベルのクライアントとサーバーが環境に混在している場合でも当てはまります。 Windows Vista では、ADMX ファイルと ADML ファイルを使用してグループ ポリシー テンプレートを管理する新しいモデルが使用されます。
詳細については、次の Web サイトを参照してください。
Windows XP ベースまたは Windows Server 2003 ベースのコンピューターを使用してグループ ポリシー インフラストラクチャを管理する必要がある場合は、この記事の推奨事項を参照してください。
ADM ファイルの概要
ADM ファイルは、レジストリ ベースのポリシー設定がレジストリに格納される場所を記述するためにグループ ポリシーによって使用されるテンプレート ファイルです。 ADM ファイルは、管理者がグループ ポリシー オブジェクト エディター スナップインに表示するユーザー インターフェイスも記述します。 グループ ポリシー オブジェクト エディターは、管理者がグループ ポリシー オブジェクト (GPO) を作成または変更するときに使用されます。
ADM ファイルのストレージと既定値
各ドメイン コントローラーの Sysvol フォルダーでは、各ドメイン GPO は 1 つのフォルダーを保持し、このフォルダーの名前はグループ ポリシー テンプレート (GPT) です。 GPT には、GPO が最後に作成または編集されたときにグループ ポリシー オブジェクト エディターで使用されたすべての ADM ファイルが格納されます。
各オペレーティング システムには、ADM ファイルの標準セットが含まれています。 これらの標準ファイルは、グループ ポリシー オブジェクト エディターによって読み込まれる既定のファイルです。 たとえば、Windows Server 2003 には次の ADM ファイルが含まれています。
- System.adm
- Inetres.adm
- Conf.adm
- Wmplayer.adm
- Wuau.adm
カスタム ADM ファイル
カスタム ADM ファイルは、プログラム開発者または IT プロフェッショナルが作成して、レジストリ ベースのポリシー設定の使用を新しいプログラムとコンポーネントに拡張できます。
Note
プログラムとコンポーネントは、ADM ファイルに記述されているポリシー設定を認識して応答するように設計およびコーディングする必要があります。
グループ ポリシー オブジェクト エディターで ADM ファイルを読み込むには、次の手順に従います。
グループ ポリシー オブジェクト エディターを起動します。
[管理用テンプレート]を右クリックし、 [テンプレートの追加と削除]をクリックします。
Note
管理用テンプレートは、 Computer または User Configuration で使用できます。 カスタム テンプレートに適した構成を選択します。
追加をクリックします。
ADM ファイルをクリックし、 Open をクリックします。
[閉じる] をクリックします。
グループ ポリシー オブジェクト エディターでカスタム ADM ファイル ポリシー設定を使用できるようになりました。
ADM ファイルとタイムスタンプを更新する
グループ ポリシー オブジェクト エディターの実行に使用される各管理ワークステーションは、ADM ファイルを %windir%\Inf フォルダーに格納します。 GPO を作成して最初に編集すると、このフォルダーの ADM ファイルが GPT の Adm サブフォルダーにコピーされます。 これには、標準の ADM ファイルと、管理者によって追加されたカスタム ADM ファイルが含まれます。
Note
その GPO を後で編集せずに GPO を作成すると、ADM ファイルなしで GPT が作成されます。
既定では、GPO を編集すると、グループ ポリシー オブジェクト エディターは、ワークステーションの %windir%\Inf フォルダー内の ADM ファイルのタイムスタンプを、GPT Adm フォルダーに格納されているものと比較します。 ワークステーションのファイルが新しい場合、グループ ポリシー オブジェクト エディターはこれらのファイルを GPT Adm フォルダーにコピーし、同じ名前の既存のファイルをすべて上書きします。 この比較は、管理者が GPO を実際に編集しているかどうかに関係なく、グループ ポリシー オブジェクト エディターで [管理用テンプレート] ノード (コンピューターまたはユーザーの構成) が選択されている場合に発生します。
Note
GPT に格納されている ADM ファイルは、グループ ポリシー オブジェクト エディターで GPO を表示することで更新できます。
ADM ファイル管理ではタイムスタンプが重要であるため、システム提供の ADM ファイルの編集はお勧めしません。 新しいポリシー設定が必要な場合は、カスタム ADM ファイルを作成することをお勧めします。 これにより、サービス パックのリリース時にシステム提供の ADM ファイルが置き換えられるのを防ぐことができます。
グループ ポリシー管理コンソール
既定では、グループ ポリシー管理コンソール (GPMC) は、タイムスタンプに関係なく常にローカル ADM ファイルを使用し、ADM ファイルを Sysvol にコピーしません。 ADM ファイルが見つからない場合、GPMC は GPT で ADM ファイルを検索します。 また、GPMC ユーザーは ADM ファイルの別の場所を指定できます。 別の場所を指定すると、この代替の場所が優先されます。
GPO のレプリケーション
ファイル レプリケーション サービス (FRS) は、GPO の GPO をドメイン全体にレプリケートします。 GPT の一部として、Adm サブフォルダーはドメイン内のすべてのドメイン コントローラーにレプリケートされます。 各 GPO には複数の ADM ファイルが格納され、一部は非常に大きくなる可能性があるため、グループ ポリシー オブジェクト エディターを使用するときに追加または更新される ADM ファイルがレプリケーション トラフィックにどのように影響するかを理解する必要があります。
ポリシー設定を使用して ADM ファイルの更新を制御する
ADM ファイルの管理に役立つ 2 つのポリシー設定領域。 これらの設定により、管理者は特定の環境での ADM ファイルの使用を調整できます。 これらは、[ADM ファイルの自動更新をオフにする] と [グループ ポリシー エディターにローカル ADM ファイルを常に使用する] の設定です。
ADM ファイルの自動更新をオフにする
このポリシー設定は、Windows Server 2003 のユーザー構成\管理用テンプレート\システム\グループ ポリシー、Windows XP、および Windows 2000 で使用できます。 この設定は、グループ ポリシーが有効なクライアントに適用できます。
グループ ポリシー エディターには常にローカル ADM ファイルを使用する
このポリシー設定は、[コンピューターの構成]、[管理用テンプレート]、[システム]、[グループ ポリシー] で使用できます。 これは新しいポリシー設定です。 Windows Server 2003 クライアントにのみ正常に適用される場合があります。 この設定は古いクライアントに展開できますが、動作には影響しません。 この設定を有効にすると、グループ ポリシー オブジェクト エディターでは、グループ ポリシー オブジェクトを編集するときに、ローカル システム %windir%\Inf フォルダー内のローカル ADM ファイルが常に使用されます。
Note
このポリシー設定が有効になっている場合、ADM ファイルの自動更新をオフにするポリシー設定は暗黙的です。
多言語管理の問題に関する一般的なシナリオと推奨事項
環境によっては、ポリシー設定を異なる言語でユーザー インターフェイスに表示する必要がある場合があります。 たとえば、米国の管理者は英語で特定の GPO のポリシー設定を表示し、フランスの管理者はフランス語を優先言語として使用して同じ GPO を表示できます。 GPT は ADM ファイルのセットを 1 つだけ格納できるため、GPT を使用して両方の言語の ADM ファイルを格納することはできません。
Windows 2000 では、グループ ポリシー オブジェクト エディターによるローカル ADM ファイルの使用はサポートされていません。 これを回避するには、[ADM ファイルの自動更新を無効にする] ポリシー設定を使用します。 このポリシー設定は新しい GPO の作成には影響しないため、ローカル ADM ファイルは Windows 2000 の GPT にアップロードされ、Windows 2000 で GPO を作成すると、実質的に "GPO の言語" が定義されます。 すべての Windows 2000 ワークステーションで [ADM ファイルの自動更新を無効にする] ポリシー設定が有効な場合、GPT の ADM ファイルの言語は、GPO の作成に使用されるコンピューターの言語によって定義されます。
Windows XP および Windows Server 2003 を使用している管理者の場合は、[グループ ポリシー エディターにローカル ADM ファイルを常に使用する] ポリシー設定を使用できます。 これにより、GPT に格納されている ADM ファイルに関係なく、フランス語の管理者が自分のワークステーション (フランス語) にローカルにインストールされている ADM ファイルを使用してポリシー設定を表示できます。 このポリシー設定を使用する場合は、GPT に対する ADM ファイルの不要な更新を回避するために、[ADM ファイルの自動更新を無効にする] ポリシー設定が有効になっていることが示されます。
また、多言語管理環境の管理ワークステーション用に Microsoft の最新のオペレーティング システムを標準化することを検討してください。 次に、[グループ ポリシー エディターにローカル ADM ファイルを常に使用する] と [ADM ファイルの自動更新をオフにする] ポリシー設定の両方を構成します。
Windows 2000 ワークステーションを使用している場合は、管理者向けの [ADM ファイルの自動更新を無効にする] ポリシー設定を使用し、GPT の ADM ファイルをすべての Windows 2000 ワークステーションの有効な言語と見なします。
Note
Windows XP ワークステーションでは、ローカル言語固有のバージョンを引き続き使用できます。
オペレーティング システムと Service Pack のリリースに関する一般的なシナリオと推奨事項
各オペレーティング システムまたはサービス パックのリリースには、以前のリリースで提供された ADM ファイルのスーパーセットが含まれています。これには、新しいリリースとは異なるオペレーティング システムに固有のポリシー設定が含まれます。 たとえば、Windows Server 2003 で提供される ADM ファイルには、Windows 2000 または Windows XP Professional にのみ関連するものを含め、すべてのオペレーティング システムのすべてのポリシー設定が含まれます。 つまり、オペレーティング システムまたはサービス パックの新しいリリースを使用するコンピューターからの GPO のみを表示すると、ADM ファイルが効果的にアップグレードされます。 以降のリリースは通常、以前の ADM ファイルのスーパーセットです。これは通常、使用されている ADM ファイルが編集されていないと仮定して、問題を作成しません。
場合によっては、オペレーティング システムまたはサービス パックのリリースに、以前のリリースで提供された ADM ファイルのサブセットが含まれている場合があります。 これにより、ADM ファイルの以前のサブセットが表示される可能性があるため、グループ ポリシー オブジェクト エディターを使用すると、ポリシー設定が管理者に表示されなくなります。 ただし、ポリシー設定は GPO でアクティブなままです。 グループ ポリシー オブジェクト エディターでのポリシー設定の表示のみが影響を受けます。 アクティブ (有効または無効) ポリシー設定はグループ ポリシー オブジェクト エディターには表示されませんが、アクティブなままです。 設定は表示されないため、管理者がこれらのポリシー設定を表示または編集することはできません。 この問題を回避するには、管理者は、そのオペレーティング システムでグループ ポリシー オブジェクト エディターを使用する前に、各オペレーティング システムまたはサービス パックのリリースに含まれている ADM ファイルについて理解しておく必要があります。GPO を表示する操作は、タイムスタンプの比較によって更新プログラムが適切であると判断された場合に、GPT 内の ADM ファイルを更新するのに十分であることに留意してください。
お使いの環境でこれを計画するには、次のいずれかをお勧めします。
GPO のすべての表示と編集を行う標準のオペレーティング システム/サービス パックを定義し、使用されている ADM ファイルにすべてのプラットフォームのポリシー設定が含まれていることを確認します。
すべてのグループ ポリシー管理者の [ADM ファイルの自動更新をオフにする] ポリシー設定を使用して、グループ ポリシー オブジェクト エディター セッションによって GPT で ADM ファイルが上書きされないようにし、Microsoft から入手できる最新の ADM ファイルを使用していることを確認します。
Note
"グループ ポリシー エディターにローカル ADM ファイルを常に使用する" ポリシーは、通常、グループ ポリシー オブジェクト エディターの実行元のオペレーティング システムでサポートされている場合に、このポリシーで使用されます。
Sysvol フォルダーから ADM ファイルを削除する
既定では、ADM ファイルは GPT に格納されるため、Sysvol フォルダーのサイズが大幅に増える可能性があります。 また、GPO を頻繁に編集すると、大量のレプリケーション トラフィックが発生する可能性があります。 "ADM ファイルの自動更新をオフにする" ポリシー設定と "グループ ポリシー エディターにローカル ADM ファイルを常に使用する" ポリシー設定を組み合わせて使用すると、Sysvol フォルダーのサイズを大幅に削減し、ポリシーの編集が大量に発生するポリシー関連のレプリケーション トラフィックを減らすことができます。
Sysvol ボリュームまたはグループ ポリシー関連のレプリケーション トラフィックのサイズが問題になる場合は、Sysvol に ADM ファイルが格納されない環境の実装を検討してください。 または、管理ワークステーションで ADM ファイルを維持することを検討してください。 このプロセスについては、次のセクションで説明します。
ADM ファイルの Sysvol フォルダーをクリアするには、次の手順に従います。
- GPO を編集するすべてのグループ ポリシー管理者に対して、[ADM ファイルの自動更新を無効にする] ポリシー設定を有効にします。
- このポリシーが適用されていることを確認します。
- カスタム ADM テンプレートを %windir%\Inf フォルダーにコピーします。
- 既存の GPO を編集し、GPT からすべての ADM ファイルを削除します。 これを行うには、 Administrative Templates を右クリックし、[テンプレートの追加と削除] クリックします。
- 管理ワークステーションの [グループ ポリシー オブジェクトの編集にローカル ADM ファイルを常に使用する] ポリシー設定を有効にします。
管理ワークステーションで ADM ファイルを維持する
[グループ ポリシー エディターにローカル ADM ファイルを常に使用する] ポリシー設定を使用する場合は、各ワークステーションに既定の ADM ファイルとカスタム ADM ファイルの最新バージョンがあることを確認します。 すべての ADM ファイルをローカルで使用できない場合、GPO に含まれる一部のポリシー設定は管理者に表示されません。 すべての管理者に対して標準のオペレーティング システムとサービス パックのバージョンを実装することで、この問題を回避します。 標準のオペレーティング システムとサービス パックを使用できない場合は、すべての管理ワークステーションに最新の ADM ファイルを配布するプロセスを実装します。
Note
- ワークステーション ADM ファイルは %windir%\Inf フォルダーに格納されるため、これらのファイルの配布に使用されるすべてのプロセスは、ワークステーション上の管理者資格情報を持つアカウントのコンテキストで実行する必要があります。
- Sysvol フォルダーに ADM ファイルがない場合、Windows XP は GPO の編集をサポートしていません。 ライブ環境では、この設計上の制限を考慮する必要があります。