WindowsServer2003のドメインコントローラでWindowsVista,7用のグループポリシーを使いたい

WindowsServer2003のドメインコントローラでActiveDirectoryドメインを構成しています。(ADのモードはWindows2000混在)

このドメインにWindows7搭載のPCが参加することになりました。

WindowsVista以降はグループポリシーの設定項目が増えたと聞いていたので、そのグループポリシーをWindowsServer2003のドメインコントローラで利用できるようにする方法です。

結構厄介かなと思ってましたが、やってみれば非常に簡単でした。

参考にしたのは、機能が向上したWindows Vistaのグループ・ポリシー:＠ITと、Windows Server 2003 Windows Vista 対応のグループポリシーを利用する方法です。

概要としては、Windows7のPCにあるGPOの管理テンプレートを、ドメインコントローラのSYSVOLに置くだけです。

GPOの編集は、クライアントツールをWindows7が動いている端末(おそらくVistaや2008でも可だがXPや2003はNGかと..)にインストールしてそこから行います。

管理テンプレートの設置

Windows Server 2003 ドメインコントローラ上も中央ストアとなる%SYSTEMROOT%\SYSVOL\domain\policiesフォルダ内に Policydefinitions フォルダを作成し、PolicyDefinitionsフォルダの中に ja-JP フォルダを作成します。

クライアントである Windows7(またはVista) の %SYSTEMROOT%\PolicyDefinitions\ja-JP フォルダ内のファイルを、%logonserver%\SYSVOL\%userdnsdomain%\policies\PolicyDefinitions フォルダ内のコピーします。(ドメイン管理者でログオンしておかないとコピー出来ないかもしれません)

同様に、クライアントの %SYSTEMROOT%\PolicyDefinitions\ja-JP フォルダ内のファイルを、%logonserver%\SYSVOL\%userdnsdomain%\policies\PolicyDefinitions\ja-JP フォルダ内のコピーします

ポリシーの設定

上記で中央ストアに追加した分のGPOの編集や設定は、WindowsServer2003上からは行えません。

Windows7上にRSAT(リモートサーバー管理ツール)をいれてそこから行う必要があります。

RSATはhttp://www.microsoft.com/downloads/ja-jp/details.aspx?displaylang=ja&FamilyID=7d2f6ad7-656b-4313-a005-4e344e43997dからダウンロードできます。

ダウンロードしたMSUファイルをダブルクリックで、インストールし再起動します。

その後、コンパネの[プログラムと追加]で、左ペインの[Windowsの機能の有効化または無効化]で、[リモートサーバ管理ツール]で[グループポリシー管理ツール]にチェックを入れます。

これで、Windows7の端末にドメイン管理者でログオンし、管理ツールにある[グループポリシー管理ツール]から、GPOの設定ができます。

かなり細かい部分まで設定できるようになっているので、かゆいところにも手が届きそうですね。

※グループポリシー管理ツール(GPMC)をWindowsServer2008R2に追加する場合は、サーバマネージャの機能の追加で[グループポリシー管理コンソール]を選んで追加すればいいようです。

参考：

Windows Server 2008をリモートから管理するツール(RSAT)