Meaningless days

自分が書きたいことを適当に書くだけ

同一OUに複数バージョンのWindows 10クライアントが存在するときの管理について

お前誰やねん

  • 主に都内(と神奈川)でWindows系のインフラの設計や導入支援をおこなっている人で、世間的に言うとインフラエンジニアという仕事をしている人だそうです
  • 最近はWindows 10のデバイス管理が主な仕事になっております。

複数バージョンとはどういうことか

Windows 10はWindows as a Service(以下WaaSと記載)というポリシーに従って半期に一回機能更新プログラム(通称Feature Update,以下FUと記載)を適用していく必要があります。そのFUによって行われる更新によって半年に一回機能追加が随時行われていくことになります。

FUを適用するごとに機能が追加されるということは察しが良い方は想像に難くないのかもしれませんが、その機能に関連したグループポリシーも追加されることになります。そのため、IT管理者はFUの適用を行うごとにグループポリシーの設定をどうするか考えないといけないのです。ちなみにこちらのページにて各バージョンごとのグループポリシーテンプレート(admxファイル)が配布されております。

さらにややこしいことに。。。

上記のリンクにて配布されているバージョンごとのグループポリシーには細かい差異があり、場合によっては「これまでのバージョンで設定していたグループポリシーがいつのまにか消えてしまっている」という事態も想像できます。また、半年に一回FUを一斉に適用させるのはネットワークの帯域なども含めてかなり困難かと考えられます。なので、少なからずどのような環境においても「一部のPCは1709(Fall Crators Update)の状態、一部のPCは1803(April 2018 Update)の状態」といった場面がみられるかと思います。

じゃあどうするか

では、ドメイン内にて二つのクライアントバージョンを存続させつつ、異なるadmxファイルに基づくグループポリシーを適用させるにはどのようにすればよいかというと下記の二つの手段を用いて設定すると二つのadmxファイルを共存させた状態で設定することになります。 - リモートサーバー管理ツール(RSAT)を用いたバージョン別のadmxファイルを用いたグループポリシーの作成 - WMIフィルターによるGPOの適用先の区別

今回の検証環境

※各クライアント端末にはリモートサーバー管理ツール(RSAT)をインストールしておくこと

RSATを用いたバージョン別のグループポリシーの作成

  1. 各端末にてあらかじめインストールしておいたRSATツールに含まれている「グループポリシーの管理」を起動するf:id:doich0508:20181029191306p:plain
  2. 「グループポリシーオブジェクト」にて右クリックして「新規」からグループポリシーを作成する(今回はグループポリシーの名前をそれぞれ「GPO_1709」「GPO_1803」とした)」)f:id:doich0508:20181029191306p:plain
  3. 各バージョンごとに設定するグループポリシーを編集する。今回は1803の端末には「管理用テンプレート>WindowsコンポーネントMicrosoft Edge」から「書籍ライブラリ構成の更新を許可する」を、1709の端末には「管理用テンプレート>WindowsコンポーネントMicrosoft FIDO認証」から「FIDOデバイスを用いたサインインを有効にします」を設定した。(いずれも1803, 1709に固有な項目である)

1803に設定した項目f:id:doich0508:20181029191548p:plain

1709に設定した項目f:id:doich0508:20181029191552p:plain

WMIフィルターを用いたGPOの設定先の変更

このままでは作成したGPOが両者とも適用されてしまうのでWMIフィルターを用いた適用先の区別を行う

  • 先ほどまで開いていたグループポリシーエディターから「WMIフィルター」を右クリックして「新規」を選択する

f:id:doich0508:20181029191627p:plain

  • そして、名前とWMIフィルターで用いるクエリを1709用のGPOには「Select * from Win32_OperatingSystem where Caption like "Microsoft Windows 10%" and Version = "10.0.16299"」、1803用のGPOには「Select * from Win32_OperatingSystem where Caption like "Microsoft Windows 10%" and Version = "10.0.17134"」と入力する。f:id:doich0508:20181029191732p:plain
  • 再度先ほど設定したGPOの画面を開いて下のWMIフィルターからそれぞれ適用させたいWMIフィルターを選択して設定する。f:id:doich0508:20181029191705p:plain

以上で設定は終了です。

結果

下記の画像の通りに1803の端末に対しては1803用のGPOが1709のGPOに対しては1709用のGPOが適用されました。

1803端末におけるグループポリシーの適用結果 f:id:doich0508:20181029191924p:plain 1709端末におけるグループポリシーの適用結果 f:id:doich0508:20181029191929p:plain

また、サーバー(ad01)からは下記の画像の通りにみえており、該当するGPOがないものについてはレジストリの値が直接指定されるようです。 f:id:doich0508:20181029192018p:plain

以上です。ご覧いただきありがとうございました。