グループポリシーの設定
重要:
WEM は現在、
HKEY_LOCAL_MACHINE
およびHKEY_CURRENT_USER
レジストリハイブに関連付けられたグループポリシー設定の追加と編集のみをサポートしています。
以前のリリースでは、グループポリシーの基本設定 (GPP) のみをWorkspace Environment Management (WEM) に移行できました。詳細については、 リボンの移行ウィザードの説明を参照してください。グループポリシー設定 (レジストリベースの設定) を WEM にインポートすることもできます。
設定をインポートした後、割り当てる GPO を決定する前に、各 GPO に関連付けられた設定を項目別に表示できます。他のアクションを割り当てるのと同様に、GPO を異なる AD グループに割り当てることができます。GPO を個々のユーザーに直接割り当てると、設定は有効になりません。グループには、ユーザーとマシンを含めることができます。マシンレベルの設定は、関連するマシンがグループに属している場合に有効になります。ユーザーレベルの設定は、現在のユーザーがグループに属している場合に有効になります。
ヒント:
マシンレベルの設定をすぐに有効にするには、Citrix WEMエージェントホストサービスを再起動します。ユーザーレベルの設定をすぐに有効にするには、ユーザーがいったんログオフしてからログオンし直す必要があります。
グループポリシー設定
注記:
WEM エージェントがグループポリシー設定を適切に処理するには、Citrix WEM ユーザーログオンサービスが有効になっていることを確認します。
グループポリシー設定の処理を有効にします。グループポリシー設定を処理するために WEM を有効にするかどうかを制御します。デフォルトでは、このオプションは無効になっています。無効にした場合:
- グループポリシー設定は構成できません。
- WEM では、グループポリシー設定がユーザーまたはユーザーグループに割り当てられている場合でも、グループポリシー設定は処理されません。
グループポリシーオブジェクトリスト
既存の GPO の一覧が表示されます。[ 検索 ] を使用して、名前または説明でリストをフィルタリングします。
- 更新。GPO の一覧を更新します。
- [インポート]。 グループポリシー設定のインポートウィザードを開きます 。このウィザードでは、グループポリシー設定を WEM にインポートできます。
- 編集。既存の GPO を編集できます。
- [削除]。選択した GPO を削除します。
グループポリシー設定のインポート
グループポリシー設定をインポートする前に、ドメイン Controller でグループポリシー設定をバックアップしてください。
-
グループポリシー管理コンソールを開きます。
-
[ グループポリシーの管理 ] ウィンドウで、バックアップする GPO を右クリックし、[ バックアップ] を選択します。
-
[ グループポリシーオブジェクトのバックアップ ] ウィンドウで、バックアップを保存する場所を指定します。オプションで、バックアップに説明を与えることができます。
-
[ バックアップ ]をクリックしてバックアップを開始し、[ OK]をクリックします。
-
バックアップフォルダに移動し、zip ファイルに圧縮します。
注記:
WEM では、複数の GPO バックアップフォルダを含む zip ファイルのインポートもサポートしています。
グループポリシー設定をインポートするには、次の手順を実行します。
-
WEMサービスの[管理]タブのメニューにある[アップロード]を使用して、GPOのzipファイルをCitrix Cloudのデフォルトフォルダにアップロードします。
-
[ 管理コンソール] > [アクション] > [グループポリシー設定 ] タブに移動し、[ グループポリシー設定の処理を有効にする] を選択し、[ インポート ] をクリックしてインポートウィザードを開きます。
-
インポートウィザードの [ インポートするファイル ] ページで、[ 参照 ] をクリックし、リストから該当するファイルを選択します。ファイル名を入力し、[ 検索 ] をクリックしてファイルを検索することもできます。
- 以前にインポートした GPO を上書きします。既存の GPO を上書きするかどうかを制御します。
-
[ インポートの開始 ] をクリックして、インポートプロセスを開始します。
-
インポートが完了したら、[ 完了] をクリックします。インポートした GPO は、[ グループポリシーの設定 ] タブに表示されます。
レジストリファイルからグループポリシー設定をインポートする
Windows レジストリエディターを使用してエクスポートしたレジストリ値を、管理および割り当て用の GPO に変換できます。レジストリエントリで使用できる「レジストリファイルのインポート」 オプションに慣れている場合は、次の機能を使用できます。
-
HKEY_LOCAL_MACHINE
とHKEY_CURRENT_USER
の両方でレジストリ値をインポートできます 。 -
REG_BINARY
とREG_MULTI_SZ
型のレジストリ値をインポートできます。 - .reg ファイルで定義したレジストリキーと値に関連付けられた削除操作の変換をサポートします。.reg ファイルを使用してレジストリキーと値を削除する方法については、「https://support.microsoft.com/en-us/topic/how-to-add-modify-or-delete-registry-subkeys-and-values-by-using-a-reg-file-9c7f37cf-a5e9-e1cd-c4fa-2a26218a1a23」を参照してください。
開始する前に、次の点に注意してください。
- ZIP ファイルから設定をインポートする場合、ファイルには 1 つ以上のレジストリファイルが含まれることがあります。解凍したファイルのサイズが 30 M を超えないようにしてください。
- 各.reg ファイルは GPO に変換されます。変換された各 GPO は、一連のレジストリ設定として扱うことができます。
- 変換された各 GPO の名前は、対応する.reg ファイルの名前に基づいて生成されます。例:.reg ファイルの名前が
test1.reg
の場合、変換された GPOの名前はtest1
になります。 - 変換された GPO の説明は空です。それらの状態はデフォルトで有効 (チェックマークアイコン) です。
グループポリシー設定をインポートするには、次の手順を実行します。
-
管理コンソールで、[ アクション] > [グループポリシー設定] に移動し、[ グループポリシー設定の処理を有効にする] を選択し、[ インポート] の横にある下矢印をクリックして [ レジストリファイルのインポート] を選択します。
-
表示されるウィザードで、レジストリファイルの ZIP バックアップを参照します。
- 既存の GPO を上書きします。競合が発生したときに既存の GPO を上書きするかどうかを制御します。
-
[ インポートを開始] をクリックします。
-
インポートが完了したら、[ 完了] をクリックします。レジストリファイルから変換された GPO は、[ グループポリシー設定]に表示されます。
グループポリシー設定の編集
一覧から GPO をダブルクリックすると、その設定の項目別ビューが表示されます。また、必要に応じて設定を編集します。
GPO を複製するには、GPO を右クリックし、メニューから [ コピー ] を選択します。[ コピー] をクリックすると、クローンが自動的に作成されます。クローンはオリジナルの名前を継承し、サフィックス「-Copy」が付加されます。 [編集] を使用して名前を変更できます。
[ 編集] をクリックすると、[ **グループポリシーオブジェクトの編集**] ウィンドウが表示されます。
Name:GPO の一覧に表示される GPO の名前。
説明。GPO の一覧に表示される GPO に関する追加情報を指定できます。
レジストリ操作。GPO に含まれるレジストリ操作を表示します。
警告:
レジストリベースの設定を誤って編集、追加、および削除すると、ユーザー環境で設定が有効にならなくなる可能性があります。
- 追加。レジストリキーを追加できます。
- [編集]。レジストリキーを編集できます。
- [削除]。レジストリキーを削除できます。
レジストリキーを追加するには、右側の [ 追加 ] をクリックします。次の設定が使用可能になります。
-
オーダー。レジストリキーの展開順序を指定できます。
-
操作。レジストリキーのアクションのタイプを指定できます。
- 値を設定します。レジストリキーの値を設定できます。
- 値を削除します。レジストリキーの値を削除できます。
- キーを作成します。ルートキーとサブパスの組み合わせで指定したキーを作成できます。
- キーを削除します。レジストリキーの下にあるキーを削除できます。
- すべての値を削除します。レジストリキーの下のすべての値を削除できます。
-
ルートキー。サポートされている値:
HKEY_LOCAL_MACHINE
およびHKEY_CURRENT_USER
。 -
サブパス。ルートキーを含まないレジストリキーのフルパス。たとえば、
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
がレジストリキーのフルパスである場合、Software\Microsoft\Windows
はサブパスです。 -
価値。レジストリ値の名前を指定できます。次の図全体で強調表示されている項目は、レジストリ値です。
-
タイプ。値のデータ型を指定できます。
- REG_SZ。このタイプは、人間が読めるテキスト値を表すために使用される標準文字列です。
- REG_EXPAND_SZ。この型は、アプリケーションによって呼び出されたときに置換される変数を含む拡張可能なデータ文字列です。たとえば、次の値の場合、文字列「%SystemRoot%」は、オペレーティングシステム内のフォルダの実際の場所に置き換えられます。
- REG_BINARY。あらゆる形式のバイナリデータ。
- REG_DWORD。32 ビットの数値。この型はブール値によく使用されます。たとえば、「0」は無効を意味し、「1」は有効であることを意味します。
- REG_DWORD_LITTLE_ENDIAN。リトルエンディアン形式の 32 ビット数値。
- REG_QWORD。64 ビットの数値。
- REG_QWORD_LITTLE_ENDIAN。リトルエンディアン形式の 64 ビット数値。
- REG_MULTI_SZ。この型は、リストまたは複数の値を含む値を表すために使用される複数文字列です。各エントリはヌル文字で区切られます。
- データ。レジストリ値に対応するデータを入力できます。データ型が異なると、異なる形式で異なるデータを入力しなければならない場合があります。
変更が有効になるまでに時間がかかる場合があります。次の点に注意してください。
-
HKEY_LOCAL_MACHINE
レジストリハイブに関連する変更は、 Citrix WEMエージェントホストサービスが起動するか 、 指定したSQL設定のリフレッシュ遅延がタイムアウトしたときに有効になります 。 -
HKEY_CURRENT_USER
レジストリハイブに関連付けられた変更は、ユーザーがログオンしたときに有効になります。
グループポリシー設定のコンテキスト化
フィルタを使用して割り当てをコンテキスト化することで、グループポリシー設定を条件付きにすることができます。フィルタは、ルールと複数の条件で構成されます。WEM エージェントは、ルール内のすべての条件が実行時にユーザー環境で満たされた場合にのみ、割り当てられたグループポリシー設定を適用します。そうしないと、エージェントはフィルタを適用するときにこれらの設定をスキップします。
グループポリシー設定を条件付きにする一般的なワークフローは次のとおりです。
-
管理コンソールで、[ フィルタ] > [条件 ] に移動し、条件を定義します。 条件を参照してください。
重要:
使用可能なフィルタ条件の一覧については、「 フィルタ条件」を参照してください。グループポリシー設定は、ユーザーとコンピューターの設定で構成されます。一部のフィルタ条件は、ユーザー設定にのみ適用されます。これらのフィルタ条件をマシン設定に適用すると、WEM エージェントはフィルタ条件を無視し、マシン設定を適用します。コンピュータ設定に適用されないフィルタ条件の一覧については、「 マシン設定に適用できないフィルタ条件」を参照してください。
-
[ フィルタ] > [ルール ] に移動し、フィルタルールを定義します。ステップ 1 で定義した条件を、そのルールに含めることができます。 ルールを参照してください。
-
[ 操作] > [グループポリシーの設定] に移動し、グループポリシー設定を構成します。
-
[ 管理コンソール] > [割り当て] > [アクションの割り当て] に移動し、以下を完了します。
-
設定を割り当てるユーザーまたはユーザーグループをダブルクリックします。
-
アプリケーションを選択し、右矢印(>)をクリックして割り当てます。
-
「 フィルタの割り当て 」ウィンドウで、ステップ 2 で定義したルールを選択し、 「OK」をクリックします。設定が [ 使用可能 ] ペインから [ 割り当て済み ] ペインに移動します。
-
[ 割り当て済み ] ペインで、設定の優先度を構成します。整数を入力して優先度を指定します。値が大きいほど、優先順位が高くなります。優先度の高い設定は後で処理され、競合や依存関係がある場合に有効になります。
-
マシン設定には適用されないフィルタ条件
フィルタ名 | マシン設定に適用可能 |
---|---|
クライアント名の一致 | いいえ |
クライアント IP アドレスの一致 | いいえ |
レジストリ値の一致 | HKCU で始まるレジストリ値を設定する場合、コンピュータ設定に適用すると、 レジストリ値の一致 (Registry Value Match)フィルタは機能しません。 |
ユーザーの国一致 | いいえ |
ユーザー UI 言語の一致 | いいえ |
ユーザ SBC リソースタイプ | いいえ |
Active Directory パスの一致 | いいえ |
Active Directory 属性の一致 | いいえ |
クライアント名が一致しません | いいえ |
クライアント IP アドレスが一致しない | いいえ |
一致するレジストリ値がありません | いいえ |
ユーザーの国が一致しません | いいえ |
ユーザー UI 言語が一致しません | いいえ |
Active Directory パスが一致しません | いいえ |
Active Directory 属性が一致しない | いいえ |
クライアントのリモートOSの一致 | いいえ |
クライアントのリモートOSの一致なし | いいえ |
Active Directory グループの一致 | いいえ |
Active Directory グループの一致がありません | いいえ |
発行されたリソース名 | いいえ |