古いバージョンのドメインコントローラーにWindows 11の管理用テンプレートを入れる

サーバーOSより新しいバージョンのWindowsクライアントをGPOで制御する話。といっても、今回はもう何も解説するまでもなく、Microsoftのドキュメントに全部書いてある。

結局何？

AD DC上ででGPOを組み上げるとき、何も手を入れないとドメインコントローラのローカルOS内にあるPolicyDefinitionsが使われる(管理ツール経由だと、管理ツールを実行しているマシン内のものが参照されるのか、はたまたDCのローカルのものが参照されるのか、は調べていない)。そのため、例えばサーバーOSがWindows Server 2019で、クライアントOSがWindows 11 25H2だったりすると、クライアントOS側で新たに追加されているGP項目が出てこない。このような時のために、Microsoftが各バージョンのADMXファイルを配布してくれている。

前掲のページに各バージョンのADMXのインストーラが置いてあるので、ダウンロード・インストールし、ドキュメントにあるとおり、SYSVOL内に新規作成したPolicyDefinitionsフォルダにコピー(マージ)してやればいい。ドキュメントでは、PolicyDefinitionsフォルダがすでにある場合は、ロールバックできるようにバージョニングしながらマージ・移行することが推奨されている。

ドキュメントに書かれていない注意点として、上記Windowsの管理テンプレートには、Microsoft Edge (Chromium)の管理テンプレートが含まれていない。それらは別途、Microsoft Edge for Businessのダウンロードページから別途ダウンロードし、PolicyDefinitionsフォルダへマージしてやる必要がある。

これは何のメモなの？

ひとつめ。Windows用のADMXの配布場所。EdgeやChrome、Adobe Readerなんかで追加のADMXはよく使っていたが、ローカルセキュリティポリシーの場合、Windows自体のADMXを足す必要がないので、そういうものが用意されているのを知らなかった。

ふたつめ。スタンドアロンでない場合のADMXの適切なインストール先。今までまともにAD環境組んでなかったので、セントラルストアの存在を知らなかった。