Thursday, January 15, 2009

レジストリ設定をグループポリシーを用いて展開する

ドメイン内のクライアントコンピュータへレジストリ設定を漏れなく行う方法、というと、真先に
思いつくのはスタートアップスクリプトを用いてレジストリキーの設定を行う方法ではないでしょうか。
この方法ですとユーザーがログオンするたびに黒い窓が一瞬表示されてしまい、場合によっては、
ユーザーからの問い合わせを多数受けることになります。

こんな時、 ADM テンプレートを用いてレジストリ設定を展開してみてはいかがでしょうか。

ADM テンプレートファイルの作成方法、適用方法については The Lazy Admin に分かりやすい
解説記事があります。
Creating Custom ADM Templates
http://thelazyadmin.com/blogs/thelazyadmin/archive/2005/07/05/Creating-Custom-ADM-Templates.aspx

どうしても日本語で、ということなら Microsoft の KBを参照してください。

システム ポリシー エディタで使用するカスタム ADM ファイルの記述方法
http://support.microsoft.com/kb/225087/ja
管理用テンプレート (.adm ファイル) を追加または削除する
http://technet.microsoft.com/ja-jp/library/cc739134.aspx

このテクニックのポイントは (The Lazy Adminの記事にて紹介されていますが) gpedit.mmc にて
ADMテンプレートを取り込んだ後、当該テンプレートを右クリック -> 表示 -> フィルタ を選択し、
完全に管理されているポリシー設定のみ表示します オプションのチェックを外すことです。

チェックを外す前までは、

HKEY_CURRENT_USER\Software\Policies (preferred location)
HKEY_LOCAL_MACHINE\Software\Policies (preferred location)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies

上記以外のレジストリに対する設定項目はフィルタリングされ非表示となっており、当該設定を
選択し、有効にすることができなくなっています。

フィルタリングを外した後、表示されたポリシーをいつも通り有効にすれば望んだ通りの動作を
してくれるでしょう。

Microsoft さんのMSDNライブラリの文書には

Implementing Registry-based Policy
http://msdn.microsoft.com/en-us/library/aa374292(VS.85).aspx
> Registry keys for your policy settings must be stored in one of
> the following Policy keys:
> 上記4つのレジストリキーが列挙

というように記載されていますが、上記以外のレジストリキーに対する設定を行うことができます。
グループポリシーの設定がどのように実現されているかを考えれば自然なことですね。

No comments:

Post a Comment