次の方法で共有

AllSigningEqual グループ ポリシー

  • [アーティクル]

AllSigningEqual グループ ポリシーが無効になっている場合、Windows は、Windows 署名機関 (Microsoft 署名) によって署名されたドライバー パッケージを、次のいずれかを持つドライバー パッケージよりも優先します。

AllSigningEqual グループ ポリシーが無効になっている場合、Windows は、たとえ Authenticode 署名済みのドライバー パッケージがデバイスにより適合していたとしても、Windows 署名機関によって署名されたドライバー パッケージを優先して選択します。

Windows 署名機関からの署名は等しくランク付けされ、次の署名の種類が含まれます。

  • Premium WHQL 署名と標準 WHQL 署名

  • インボックス ドライバー パッケージの署名

  • Windows Sustained Engineering (SE) の署名

  • ドライバー パッケージのデバイス セットアップ クラスLowerLogoVersion 値と以降の Windows バージョンの WHQL 署名。

ネットワーク管理者は、AllSigningEqual グループ ポリシーを有効にすることで、この動作を変更できます。 これにより、デバイスに最適なドライバー パッケージを選択するときに、すべての Microsoft 署名の種類と Authenticode 署名をランクに関して等しいものとして扱うように Windows が構成されます。

Windows 7 以降では、AllSigningEqual グループ ポリシーが既定で有効になっています。

たとえば、次のように、ネットワーク管理者がドライバー パッケージをインストールするためにネットワーク上のクライアント コンピューターを構成する必要がある状況を考えてみましょう。

  • クライアント コンピューターは、ドライバー パッケージに、ネットワーク用に作成されたエンタープライズ証明機関 (CA) によって発行された Authenticode 署名がある場合にのみ、新しいドライバー パッケージをインストールする必要があります。 企業は、クライアント コンピューターにインストールされているすべてのドライバー パッケージに署名し、Microsoft 以外の唯一の信頼された署名機関が企業によって管理されている CA であることを確認するために、これを行うことをお勧めします。

  • 署名済みドライバー パッケージの場合は、最高ランクのドライバー パッケージを決定するために署名スコアを使用しないでください。 ドライバー パッケージのランクの比較には、機能スコアと識別子スコアの合計のみが使用されます。 たとえば、新しいドライバーの機能スコアと識別子スコアの合計が受信トレイ ドライバーの対応する合計よりも低い場合、Windows は新しいドライバー パッケージをインストールします。

これを実現するには、ネットワーク管理者は次の手順を実行します。

  • クライアント コンピューターの信頼された発行元ストアにエンタープライズ CA 証明書を追加します。

  • クライアント コンピューターで AllSigningEqual グループ ポリシーを有効にします。

ネットワーク管理者は、この方法でクライアント コンピューターを構成した後、エンタープライズ CA 証明書を持つドライバー パッケージに署名し、クライアント コンピューターにドライバーを配布できます。 この構成では、機能スコアと識別子スコアの合計が Microsoft 署名ドライバー パッケージの対応する合計よりも小さい場合、クライアント コンピューター上の Windows は、Microsoft 署名ドライバー パッケージの代わりにデバイスの新しいドライバー パッケージをインストールします。

Windows Vista 以降のバージョンの Windows で AllSigningEqual グループ ポリシーを構成するには、次の手順に従います。

  1. [スタート] メニューの [ファイル名を指定して実行] をクリックします。

  2. GPEdit.msc 入力してグループ ポリシー エディターを実行し、[OK]クリックします。

  3. グループ ポリシー エディターの左側のウィンドウで、[コンピューターの構成]クリックします。

  4. [管理用テンプレート] ページで、[システム] をダブルクリックします。

  5. [システム] ページで、[] デバイスインストール [] をダブルクリックします。

  6. [ドライバーのランク付けと選択プロセスの で、デジタル署名されたすべてのドライバーを均等に扱う] を選択し、[プロパティ]クリックします。

  7. [設定] タブで、[有効] か ([AllSigningEqual グループ ポリシーを有効にする) または [無効] ([AllSigningEqual グループ ポリシーを無効にする) を選択します。

ターゲット システムで設定が確実に更新されるようにするには、次の操作を行います。

  1. Cmd.exeのデスクトップショートカットを作成し、Cmd.exe ショートカットを右クリックして、「管理者として実行 」を選択します

  2. コマンド プロンプト ウィンドウで、グループ ポリシー更新ユーティリティを実行 GPUpdate.exe

この構成変更は 1 回行われ、AllSigningEqual が再構成されるまで、コンピューター上の後続のすべてのドライバー パッケージ インストールに適用されます。

ドライバー パッケージのランク付けの詳細については、「Windows によるドライバーのランク付け」を参照してください。