Windows10 管理テンプレートの適用について

前回のWSUS設定では設定の概要をお伝えしましたが、実際にWSUSを利用できるようにするためには、Active Directoryのグループポリシーを利用してWindows10の設定を変更する必要があります。

これは、Windows Server 2019を持っていても最新状態のポリシーは利用することができず、Windows10用のポリシーセットとなる管理テンプレートをダウンロードしてActive Directoryに適用する必要があります。

今回はその適用方法を解説したいと思います。

まずは以下サイトから利用したい管理テンプレートを選びダウンロードを進めていきます。

https://support.microsoft.com/ja-jp/help/3087759/how-to-create-and-manage-the-central-store-for-group-policy-administra

f:id:mohessu:20190505000431p:plain

今回は最新の1809を使っていきたいと思います。
直接のダウンロードは以下ですね。

https://www.microsoft.com/en-us/download/details.aspx?id=57576

ダウンロードの言語はEnglishとなっていますが、ファイルには日本語の言語セットも入っているので安心です。

f:id:mohessu:20190504002806p:plain

ダウンロードしたファイルはセットアップファイルなのでインストールが必要となります。ダウンロードしたファイルを実行していきましょう。こうすることで、ファイルに電子署名を付けることができ、マイクロソフトが配布したという確実性を作れるのでしょうね。

f:id:mohessu:20190504002648p:plain

インストールはNextを押していくだけです。
インストールまでは5分もかからないかと思います。

f:id:mohessu:20190504002710p:plain

インストール自体は簡単なのですが、ライセンスはちゃんと読みましょう。
問題がなければI Agreeを選択してNextを押していきましょう。 

f:id:mohessu:20190504002830p:plain

この後はファイルをコピーするので、インストール先は忘れないようにしましょう。
初期状態では 32bit側のProgram FilesのMicrosoft Group Policy内に入ります。

f:id:mohessu:20190504002851p:plain

最後に確認が入りインストールを進めていきます。 

f:id:mohessu:20190504002907p:plain

3分程度でインストールが完了します。
Closeを押して完了しましょう。

f:id:mohessu:20190504003014p:plain

ここからは管理テンプレートをコピーしていきます。

標準のインストールは以下ですが、エクスプローラーで表示させておきましょう。

C:\Program Files (x86)\Microsoft Group Policy

f:id:mohessu:20190504003152p:plain

更に開いていくとポリシーファイルと言語設定(各フォルダに言語設定が入っています)が見えます。
必要な言語とすべてのポリシーファイルを選択してコピーしておきましょう。

f:id:mohessu:20190504003751p:plain

コピーしたファイルはActive DirectoryのSysvol領域に格納する必要があります。

Sysvol内のドメインPoliciesにPolicyDefinitionsを作成し、その中に先ほどのファイルを格納していきます。
すでにフォルダがある場合は同一内容を重ねないように注意しながら配置しましょう。

f:id:mohessu:20190504003637p:plain

ファイル数は数百個に上りますが、サイズはそうでもないのでそんなに時間はかかりません。 

f:id:mohessu:20190504003822p:plain

これで事前準備が完了です。 

続いてWindows管理ツール内のグループ ポリシーの管理を起動します。

f:id:mohessu:20190504004211p:plain

ここではポリシーとOUを紐づけるのですが、ポリシーを選び右クリックして編集を行います。 

f:id:mohessu:20190504004514p:plain

ポリシーは管理テンプレート内に展開されます。
例えばですが、Windows Updateを探して開いていくと、以下のようにWindows Updateに対するスキャンを発生させる更新遅延ポリシー~が入っていれば1809版が入っていることがわかります。

f:id:mohessu:20190504014317p:plain

WSUSを有効化させるには、自動更新を構成する、イントラネットMicrosoft更新サービスの場所を指定するを有効にしておく必要があります。

後者にはURLを入力する欄がありますので、WSUSサービスの場所を指定しましょう。
(初期値では、httpのポート8530となっています。)

f:id:mohessu:20190504014409p:plain

基本はこれだけでよいのですが、Windows Updateに対するスキャンを発生させる更新遅延ポリシー~も有効にしておきましょう。
デュアルスキャンを防止することができます。(Windows Update for Businessの設定とWSUSの設定を同時に設定できなくなりますが、設定の意図を取り違えるケースが多かったのでしょうね。)

f:id:mohessu:20190504004111p:plain

これは単純に有効化するだけです。

f:id:mohessu:20190504014441p:plain

Defaultを変更すれば全体に、特定OUに設定したければ個別にポリシーを作って設定しましょう。
設定後はクライアント側を再起動すればポリシーが適用されたことが確認できます。

f:id:mohessu:20190504004752p:plain

Windows Updateに対するスキャンを発生させる更新遅延ポリシー~を有効にして再起動すると、再起動後は表示されるオプションが変わっていることがわかります。

f:id:mohessu:20190504015400p:plain

ちなみに設定アプリのWindows Updateでは適用されたポリシーが何なのかを確認することも可能です。

f:id:mohessu:20190504015622p:plain

うまくこの管理テンプレートを利用して、Windows Updateを安全に適用していきたいですね。

音楽:オベリスク