[FAQ:Win10]Windows Server Essentials エクスペリエンスロールにおけるグループポリシーの管理と、Windows 10 にGroup Policy を適用するための留意点

先日開催した「中小企業の社員と情報を守るWindows Server Essentials 体験＆勉強会」では、Windows Server 2012 R2 Essentials 上でグループポリシーを構成することで、社内環境に合わせたクライアントの初期設定も自動化出来ることに触れました。たとえば、イントラネットのアプリケーションサイトやファイルサーバーへのショートカット、プリンターの設定などをテンプレート化しておくことで、面倒な初期設定を効率化することができます。

Windows Server Essentials エクスペリエンスロールのグループポリシー
Windows 10にグループポリシーを適用する場合の留意点２つ
1. 1. WMIフィルターの編集
  1. サーバー上でWMIフィルターを編集
2. 2. 強化されたUNCパスのグループポリシー設定

Windows Server Essentials エクスペリエンスロールのグループポリシー

Windows Server Essentialsのグループポリシーは、ダッシュボードからＧＵＩを用いて適用することができます。[デバイス]タブを開き、[コンピュータータスク]の[グループポリシーの実装]を押下します。

ダッシュボードから構成出来るグループポリシーは、クライアントＰＣ上のユーザーフォルダーの「フォルダーリダイレクション」と、クライアントＰＣにおけるセキュリティ設定（「Windows Update」「Windows Defender」「ネットワークファイアーウォール」）を強制的に有効にするポリシーです。

これらのポリシー以外にも、スタートメニューから「グループポリシーの管理」を開くことで、詳細なポリシーを構成することができます。

上述の、「フォルダーリダイレクション」と「セキュリティ設定」は、グループポリシーオブジェクト内の[WSE Group Policy Foder Redirection]と[WSE Group Policy Security Templates]でそれぞれ構成されています。

その上にある、[Default Domain Policy]では、パスワードの長さなどドメインのクライアントコンピューターに適用するデフォルトのポリシーが構成されています。

Windows 10にグループポリシーを適用する場合の留意点２つ

1. WMIフィルターの編集

Windows Server 2012 R2 Essentialsの登場時はWindows 10が登場していなかったため、Essentialsサーバーで構成されているWMIフィルターはWindows 10が考慮されていません。そのため、WMIフィルターの問題でダッシュボードで構成した「フォルダーリダイレクション」と「セキュリティ設定」はWindows 10クライアントには反映されません。

Essentialsサーバーに接続したWindows 10クライアント上でコマンドプロンプトから

gpresult /f

を実行すると、以下のようにコンピューターに対するポリシーの[WSE Group Policy Security Templates]も、ユーザーに対するポリシーである[WSE Group Policy Foder Redirection]もいずれもWMIフィルターで除外されたため適用されていないことがわかります。

サーバー上でWMIフィルターを編集

Windows 10にダッシュボードで構成した[WSE Group Policy Foder Redirection]と[WSE Group Policy Security Templates]を適用するには、WMIフィルター内の[WSE Group Policy WMI Filter]を右クリックして編集します。

クエリを以下のように編集して保存を押下します。

select * from Win32_OperatingSystem where (Version >= “6.1%” or Version like “10.%”) and ProductType = “1”

[FAQ:WSR2E]Windows 10にグループポリシーを適用可能にするも参考にしてください。

再起動後、

gpresult /r

を再び実行すると、ポリシーが全て適用されていることが確認出来ます。

2. 強化されたUNCパスのグループポリシー設定

Windows 10でグループポリシーの適用に失敗し、コマンドプロンプトからgpupdateを実行しても\\サーバー\SYSVOL配下にアクセス出来ないと表示される場合があります。

その場合、グループポリシーで、コンピューターの構成＞管理用テンプレート＞ネットワーク＞ネットワークプロバイダーを開き、強化されたUNCパスを有効にします。

オプション欄の下の方にある、表示ボタンを押下、強化されたUNCパスに２つの値を設定します。

値の名前：\\*\NETLOGON

RequireMutualAuthentication=1,RequireIntegrity=1

値の名前：\\*\SYSVOL

RequireMutualAuthentication=0,RequireIntegrity=0,RequirePrivacy=0

参考：

Windows 10 cannot be access Sysvol & Netlogon folder on the server 2012 r2

MS15-011: Vulnerability in Group Policy could allow remote code execution: February 10, 2015