次の方法で共有


AllSigningEqual グループ ポリシー

AllSigningEqual グループ ポリシーが無効になっている場合、Windows は、Windows 署名機関 (Microsoft 署名) によって署名されたドライバー パッケージを、次のいずれかのドライバー パッケージよりもランク付けします。

  • Authenticode の署名。

  • ドライバー パッケージのデバイス セットアップ クラスの LowerLogoVersion 値より前の Windows バージョンの Microsoft 署名。

AllSigningEqual グループ ポリシーが無効になっている場合、Authenticode 署名済みドライバー パッケージがデバイスと一致する場合でも、Windows 署名機関によって署名されたドライバー パッケージが Authenticode 署名ドライバー パッケージ経由で選択されます。

Windows 署名機関からの署名は等しくランク付けされ、次の署名の種類が含まれます。

  • プレミアム WHQL 署名と標準 WHQL 署名

  • 受信トレイ ドライバー パッケージの署名

  • Windows Sustained Engineering (Windows SE) の署名

  • ドライバー パッケージのデバイス セットアップ クラスのLowerLogoVersion 値と同じかそれ以降のWindows バージョンの WHQL 署名

ネットワーク管理者は、 AllSigningEqualグループ ポリシーを有効にすることで、この動作を変更できます。 これにより、デバイスに最適なドライバー パッケージを選択するときに、すべての Microsoft 署名の種類と Authenticode 署名をランクに関して等しいものとして扱うように Windows が構成されます。

注: Windows 7 以降では、 AllSigningEqual グループ ポリシー が既定で有効になっています。

たとえば、次のように、ネットワーク管理者がドライバー パッケージをインストールするためにネットワーク上のクライアント コンピューターを構成する必要がある状況を考えてみましょう。

  • クライアント コンピューターは、ドライバー パッケージに、ネットワーク用に作成されたエンタープライズ証明機関 (CA) によって発行された Authenticode 署名がある場合にのみ、新しいドライバー パッケージをインストールする必要があります。 企業は、クライアント コンピューターにインストールされているすべてのドライバー パッケージに署名し、Microsoft 以外の唯一の信頼された署名機関が企業によって管理されている CA であることを確認するために、これを行うことをお勧めします。

  • 署名済みドライバー パッケージの場合は、最高ランクのドライバー パッケージを決定するために署名スコアを使用しないでください。 ドライバー パッケージのランクの比較には、機能スコアと識別子スコアの合計のみが使用されます。 たとえば、新しいドライバーの機能スコアと識別子スコアの合計が受信トレイ ドライバーの対応する合計よりも低い場合、Windows は新しいドライバー パッケージをインストールします。

これを実現するには、ネットワーク管理者は次の手順を実行します。

  • クライアント コンピューターの信頼された発行元ストアにエンタープライズ CA 証明書を追加します。

  • クライアント コンピューターで AllSigningEqual グループ ポリシーを有効にします。

ネットワーク管理者は、この方法でクライアント コンピューターを構成した後、エンタープライズ CA 証明書を持つドライバー パッケージに署名し、クライアント コンピューターにドライバーを配布できます。 この構成では、機能スコアと識別子スコアの合計が Microsoft 署名ドライバー パッケージの対応する合計よりも小さい場合、クライアント コンピューター上の Windows は、Microsoft 署名ドライバー パッケージの代わりにデバイスの新しいドライバー パッケージをインストールします。

Windows Vista 以降のバージョンの Windows で AllSigningEqual グループ ポリシーを構成するには、次の手順に従います。

  1. [Start] メニューで [Run]をクリックします。

  2. GPEdit.msc と入力してグループ ポリシー エディターを実行し、す[OK] をクリックします。

  3. グループ ポリシー エディターの左側のウィンドウで [コンピューターの構成] をクリックします。

  4. [管理テンプレート] ページで、[システム] をダブルクリックします

  5. [システム] ページで、[デバイスのインストール] をダブルクリックします。

  6. [ドライバーのランク付けと選択プロセスでデジタル署名されたすべてのドライバーを均等に扱う] を選択し、[プロパティ] をクリックします

  7. [設定] タブで、[有効] (AllSigningEqual グループ ポリシーを有効にする場合) または [無効] (AllSigningEqual グループ ポリシーを無効にするには) を選択します。

ターゲット システムで設定が確実に更新されるようにするには、次の操作を行います。

  1. Cmd.exeするデスクトップ ショートカットを作成し、Cmd.exe ショートカットを右クリックして、[管理者として実行] を選択します。

  2. コマンド プロンプト ウィンドウで、 GPUpdate.exeでグループ ポリシー更新ユーティリティを実行します。

この構成変更は 1 回行われ、AllSigningEqual が再構成されるまで、コンピューター上の後続のすべてのドライバー パッケージ インストールに適用されます。

ドライバー パッケージのランキング方法の詳細については、「Windows のドライバーのランキング方法」をご覧ください。