グループポリシーオブジェクトはテンプレートとして存在しています。 しかし、このテンプレートは利用するOS毎に追加のオブジェクトが存在します。
例えば、Windows10 には WindowsXP には無いEdge用のGPOが追加されています。
GPOテンプレートはクライアント/サーバ間で差異が無いので、基本的には最新のクライアント用テンプレートは使えば良いのですが、サーバにあるテンプレートは最新のクライアントに対応できないケースが出てきます。 最新のテンプレートはマイクロソフトからダウンロード可能ですが、これをすべてのADサーバに展開するのはあまり効率が良くありません。
そこで、Active Directoryではセントラルストアとしてクライン用のテンプレートをActive Directoruに集中管理できようになっています。
セントラルストアを使うことで、クライアントが利用しているADサーバによることなく最新のGPOを利用することが可能になります。
なお、以下の操作はADに参加中のPCから実行します。
最新のテンプレートの入手
最新のテンプレートは以下のサイトから入手できます。
https://support.microsoft.com/ja-jp/help/3087759/how-to-create-and-manage-the-central-store-for-group-policy-administra
入手するテンプレートは、サーなとクライアントに差異がないのでクライアントPC用の最新のもので構いません。
最新のテンプレートを使うことで、そのバージョンに追加された機能のGPOが利用できるようになります。 逆に古いテンプレートのままだと、新しい機能に対するグループポリシーでの操作ができなくなります。 例えば、Windows7用のテンプレートのままだと、Windows10のセキュリティアップデートで追加された、P2Pを使った更新が設定できません)
入手したテンプレートを適当なフォルダに解凍します。
セントラルストアにコピー
エキスプローラで、"\\ドメイン名\sysvol\ドメイン名\Policies"にアクセスします。 ここに”PolicyDefinitions”というフォルダを作成します。 すでにセントラルストアが構成されている場合は”PolicyDefinitions”が存在しているので、これを別の名前にして改めてPolicyDefinitionsを作成します。
そこへ解凍したテンプレートのすべての”*.admx” と ”ja-JP”と”en-US”フォルダのすべてをコピーします。(”en-US”フォルダは英語環境を使わない場合はコピーしなくて構いません。)
アクセス権の変更
”\\ドメイン名\sysvol\ドメイン名\Policies\PolicyDefinitions”フォルダ以下の所有者をドメインのAdministratersグループに変更します。
以上でセントラルストアの設定は完了です。 セントラルストアが利用できるようになると、グループポリシーエディタでテンプレートを指定した際に、画面上にセントラルストアから取得したポリシー定義である事が表示されるようになります。