GPOテンプレート(ADMX)の更新タイミングと判断基準|現場で使える運用ガイド

Active Directory設計・運用

「Windows 11のGPO設定を追加したいのに、該当の項目がGPMCに表示されない」——こういう問い合わせが来たとき、ADMXの更新を忘れていたことに気づく。現場でよくある光景です。

グループポリシーはADを使った環境管理の要ですが、その土台となるADMXテンプレートが古いままだと、新しいOSやアプリの設定項目がGPMCに表示されません。「設定したいのに項目がない」「設定したはずなのに効いていない」——こうしたトラブルの多くはADMXの更新漏れが原因です。

本記事では、ADMXとは何か、いつ・どのように更新すべきかを現場の判断基準とあわせて解説します。

ADMXとは

ADMXとは——グループポリシーの「設定項目」を定義するテンプレートファイル

ADMXとは、グループポリシー管理コンソール(GPMC)に表示される設定項目の一覧を定義するXMLファイルです。

ADMX(Administrative Template XML) グループポリシーの管理用テンプレートファイル。GPMC上に「どんな設定項目を表示するか」「その設定がレジストリのどのキーに対応するか」を定義する。Windows Vista以降で採用されたXML形式のファイル。

GPMC(Group Policy Management Console:グループポリシー管理コンソール) Active Directory環境でグループポリシーを作成・編集・管理するためのMicrosoft製ツール。サーバーマネージャーまたはRSATからインストールして使用する。

グループポリシーの設計・運用の基本については「グループポリシー(GPO)設計入門|セキュリティ設定をADで一括管理する方法」で詳しく解説しています。

ADMXがなければGPMCは設定項目を表示できません。OSのバージョンや新しいアプリケーションが追加されるたびに、そのADMXをインポートしてはじめて管理コンソール上に設定項目が現れます。

ADMXとADMLの関係——設定本体と言語ファイル

ADMXには必ずペアとなるADMLファイルが存在します。

ADML(Administrative Template XML Language) ADMXとセットで使う言語ファイル。設定項目の表示名・説明文などのテキストを言語ごとに定義する。日本語環境ではja-JPフォルダに格納されたADMLが使われる。

ファイル 役割
.admx 設定項目・レジストリキーの定義 Windows.admx
.adml 表示名・説明文(言語別) Windows.adml(ja-JPフォルダ)

ADMXだけをコピーしてADMLを忘れると、設定項目がGPMCに表示されないか文字化けします。更新時は必ずセットで扱ってください。

ADMXを更新すべきタイミング——3つのトリガー

トリガー①:Windowsのバージョンアップ・機能更新があったとき

Windows 10・11は年に数回の機能更新(Feature Update)があり、そのたびに新しいポリシー設定が追加されます。たとえばWindows 11 24H2では、Copilot関連やセキュリティ設定の新しいポリシーが追加されています。

OSのFeature Updateが展開された後にADMXを更新しないと、新しい設定項目がGPMCに表示されません。OSのFeature Update展開後は、対応するADMXの更新を忘れずセットで実施してください。

Microsoftは各Windowsバージョンに対応したADMXをMicrosoft ダウンロード センターで公開しています。ダウンロードキーワードは「Administrative Templates .admx」で検索すると見つかります。

トリガー②:新しいソフトウェアを展開するとき

Office・Edge・Chrome・Teams・Adobe Acrobatなど、GPOで集中管理できるアプリケーションの多くが独自のADMXを提供しています。新しいアプリを組織展開する前にADMXをインポートしておかないと、GPOで設定を配布できません。

代表的なADMX提供元を以下に整理します。

ソフトウェア ADMX入手先
Microsoft Edge Microsoft ダウンロードセンター
Google Chrome Google for Enterprise(chromeenterprise.google)
Microsoft 365 Apps(Office) Microsoft ダウンロードセンター
Adobe Acrobat Adobe Acrobat Enterprise Toolkit

新しいアプリのGPO管理を始める前に、そのアプリのADMXが導入済みかを必ず確認してください。

トリガー③:セキュリティベースラインが更新されたとき

MicrosoftはWindows・Office・Edgeなどに対して「Microsoft Security Baseline」を定期的に公開しています。セキュリティベースラインを適用する際、対応するADMXが古いバージョンのままだと設定項目が見つからず適用できないケースがあります。

Microsoft Security Baseline Microsoftが推奨するWindowsやOfficeのセキュリティ設定の基準値セット。Security Compliance Toolkit(SCT)からダウンロードできる。CISベンチマークと並んでセキュリティ設定の参照基準として広く使われる。

参考:Microsoft Security Compliance Toolkit(Microsoft Learn)

更新しないほうがいいケース

ADMXは「最新にしておけばよい」とは限りません。以下のケースでは更新を急がず、慎重に判断してください。

ケース①:テスト環境での検証が終わっていないとき

ADMXを更新すると、新しい設定項目が既存GPOに影響を与えるケースがあります。特に「未構成」のまま放置していた設定が新バージョンでデフォルト値を持つようになった場合、意図せず設定が変わることがあります。

本番環境のADMXを更新する前に、テスト環境で動作確認を取ることを強く推奨します。

GPOの適用確認方法については「ADのセキュリティ監査手順|定期チェックで権限肥大化と設定ミスを防ぐ」のGPO確認セクションも参考にしてください。

ケース②:複数の管理者がGPO変更作業中のとき

ADMXはSYSVOL上のセントラルストアに格納されます。他の管理者がGPOを編集している最中にADMXを更新すると、テンプレートの不整合が起きる可能性があります。変更作業のタイミングを関係者と調整してから実施してください。

組織の運用方式別——推奨更新頻度の目安

Windows Updateに追随する構成(年2回が目安)

Windows 11のFeature Updateは年2回(春・秋)のリリースサイクルです。組織のOSバージョンアップに合わせてADMXを更新する運用であれば、年2回のサイクルが基本になります。

タイミング 作業内容
Feature Update展開前 新バージョンのADMXをテスト環境でインポート・動作確認
Feature Update展開後 本番のセントラルストアにADMXを反映

ソフトウェア展開主導の構成(展開前に都度)

アプリケーションの導入・更新のたびにADMXを確認する運用です。Edgeのメジャーアップデート、OfficeのADMX更新など、アプリベンダーの更新サイクルに合わせる形になります。

変更管理台帳にADMXのバージョンと更新日を記録しておくと、「どの設定を誰がいつ変更したか」が追跡しやすくなります。

更新手順の流れ

セントラルストア方式とローカル方式の違い

ADMXの管理方式は2種類あります。

セントラルストア(Central Store) SYSVOL内の特定フォルダ(\\ドメイン名\SYSVOL\ドメイン名\Policies\PolicyDefinitions)にADMXを集中管理する方式。このフォルダが存在すれば、GPMCは自動的にここを参照する。複数の管理端末から同じADMXを参照できるため、組織環境では必須。

SYSVOL(System Volume)ドメインコントローラー上の共有フォルダ。グループポリシーのテンプレートやログオンスクリプトなど、ドメイン内の全コンピューターに配布が必要なファイルを格納する。ドメイン内の全DCに自動的にレプリケーションされる。
パス例:\\nlab.local\SYSVOL\nlab.local\

方式 特徴 推奨環境
セントラルストア SYSVOL上で一元管理。全管理端末が同じ定義を参照 AD環境(必須)
ローカル 管理端末のローカルフォルダに格納。端末ごとに管理が必要 スタンドアロン・テスト環境のみ

AD環境ではセントラルストア方式を使ってください。ローカル方式では管理端末によって見える設定項目が異なり、混乱の原因になります。

実際の更新ステップ

① 既存ADMXのバックアップを取る

更新前に必ずセントラルストアのバックアップを取ります。

\\ドメイン名\SYSVOL\ドメイン名\Policies\PolicyDefinitions

上記フォルダをそのままコピーして保管します。更新後に問題が発生したときに元に戻せます。

② 新しいADMXをダウンロードする

Microsoftの場合はダウンロードセンターから該当バージョンのインストーラーを取得します。インストールするとC:\Program Files (x86)\Microsoft Group Policy\配下にADMXとADMLが展開されます。

③ テスト環境のセントラルストアにコピーして動作確認する

本番環境への反映前に、テスト用のAD環境でGPMCを開いて新しい設定項目が正しく表示されることを確認します。

④ 本番のセントラルストアにコピーする

確認が取れたら本番のセントラルストアに.admxファイルと、対応言語フォルダ(ja-JP等)の.admlファイルをコピーします。既存ファイルは上書きになりますが、手順①でバックアップを取っているので問題ありません。

⑤ GPMCで設定項目を確認する

GPMCを再起動し、新しい設定項目が表示されることを確認します。表示されない場合はADMLの配置先フォルダを確認してください。

チェックリスト

更新判断の確認

  • OSのFeature Updateが展開されたか、またはされる予定があるか
  • 新しいアプリケーションをGPOで管理する予定があるか
  • Microsoft Security Baselineの新バージョンが公開されているか
  • テスト環境での動作確認が完了しているか
  • 他の管理者がGPO編集中でないか確認したか

更新作業の確認

  • 既存のセントラルストアのバックアップを取得した
  • ADMXとADMLを必ずセットで更新した
  • セントラルストアの正しいパスにコピーした(PolicyDefinitionsフォルダ)
  • GPMCで新しい設定項目が表示されることを確認した
  • 変更管理台帳にバージョンと更新日を記録した

まとめ

今日確認すべきことは1つです。現在のセントラルストアのADMXバージョンと、運用中のOSバージョンが対応しているか確認してください。

「設定したい項目がGPMCにない」「設定が効かない」というトラブルの多くは、ADMXの更新漏れが根本原因です。Feature Updateのタイミングで意識的に確認する習慣をつけるだけで、こうしたトラブルの大半は防げます。

グループポリシーの設計・運用について詳しくは「グループポリシー(GPO)設計入門」も参照してください。

あわせてご覧ください

参考文献

コメント

タイトルとURLをコピーしました