Amazon WorkSpaces用ADMX追加でハマった、GPO管理テンプレート表示崩れの原因

こんにちは、石川です。

今回は、Amazon WorkSpaces用の管理テンプレートをActive Directory環境に取り込んだ際に、
「既存のAD側の設定が上書きされたのでは？」と見えた事象について整理します。

結論から言うと、今回起きていたのはADのスクリプトや既存設定そのものが上書きされたわけではなく、GPOの管理テンプレートの参照先が中央ストアに切り替わったことによる見え方の変化でした。

同じように、ADMX/ADMLファイルの配置でハマる方がいるかもしれないため、備忘も兼ねてまとめます。

はじめに

Windowsのグループポリシーでは、
[Computer Configuration] > [Policies] > [Administrative Templates]
配下で各種ポリシーを管理できます。

今回、Amazon WorkSpaces用のテンプレートを取り込むために、wsp.admxとwsp.admlをADサーバ側へ配置したところ、
Administrative Templates配下の見え方が変わり、既存のWindows標準の管理テンプレートが表示されなくなりました。

一見すると、既存のテンプレートや設定がAmazon WorkSpaces用のテンプレートで上書きされたように見えます。
ただし、実際には少し違う仕組みでした。

何をしたのか

実施したのは、Amazon WorkSpacesクライアントに含まれるテンプレートファイルを、ADサーバ側の中央ストア相当の場所へ配置する作業です。

たとえば、以下のようなファイルを配置しました。

• wsp.admx
• wsp.adml

配置先は、以下のようなPolicyDefinitions配下です。

• C:\Windows\SYSVOL\sysvol\Policies\PolicyDefinitions\wsp.admx
• C:\Windows\SYSVOL\sysvol\Policies\PolicyDefinitions\en-US\wsp.adml

このとき、ADサーバ上で既存ファイルの削除や、Windows標準テンプレートへの直接的な上書きは実施していませんでした。

起きた事象

テンプレート配置後、GPOエディタのAdministrative Templates配下を見ると、
Windows標準の管理テンプレートが見えなくなり、Amazon WorkSpaces用テンプレートだけが反映されたように見える状態になりました。

そのため、最初は以下を疑い、心臓止まる思いでした。

• 既存のAD設定が壊れたのではないか
• 既存テンプレートが上書きされたのではないか
• GPOに影響が出たのではないか

原因

原因は、中央ストア（Central Store）が有効な状態になったことで、ローカルのPolicyDefinitionsではなく、SYSVOL配下のPolicyDefinitionsが優先参照されるようになったことでした。

GPOの管理テンプレートは、中央ストアが存在する場合、ローカルPC側の

C:\Windows\PolicyDefinitions

ではなく、ドメインコントローラ側の

\\sysvol\Policies\PolicyDefinitions

を参照します。

今回のケースでは、この中央ストア側にwsp.admx / wsp.admlだけを配置していたため、
中央ストア内に存在するテンプレートだけが表示される状態になっていました。

つまり、Windows標準テンプレートが消えたのではなく、中央ストア側に必要なテンプレート一式が揃っていなかったというのが本質です。

「上書き」ではなかった理由

ここは誤解しやすいポイントですが、今回起きたのは既存GPO設定そのものの上書きではありません。

あくまで、

• GPOエディタが参照するテンプレートの場所が変わった
• その結果、見えるテンプレートが変わった

という現象です。

既に設定済みのポリシー値まで即座に消える、という性質のものではありません。

復旧方法

復旧方法としては、中央ストアを使わずローカル参照へ戻す方法を実施しました。

中央ストアとして使われているPolicyDefinitionsフォルダを削除またはリネームし、ローカルのPolicyDefinitionsを再び参照させる方法です。

この場合、GPOエディタはローカルの

C:\Windows\PolicyDefinitions

を使うようになります。

ただし、運用としては中央ストアを使う方が一般的なため、実際には中央ストアを正しく整備する方向の方が再発防止にもつながります。

まとめ

今回の事象で特に重要だと感じたのは、次の3点です。

1. ADMX/ADMLは「追加しただけ」でも影響が見え方に出る

既存ファイルを削除していなくても、配置場所次第でGPOエディタの表示は大きく変わります。

2. 「上書きされたように見える」と「実際に上書きされた」は別

見た目上は既存テンプレートが消えたように見えても、実際には参照先変更の問題ということがあります。

3. テンプレート追加時は中央ストア全体を意識する

特定製品のADMX/ADMLだけを入れるのではなく、中央ストア全体として必要なテンプレート群が揃っているかを確認してから投入した方が安全です。

以上、参考になれば幸いです。