Win2003グループ戦略のトラブルシューティング6つのヒント

グループ戦略の力はよく知られていますが、その結果があなたの期待の原因ではないこともよくあります。グループポリシーはシステム管理者にとって非常に重要ですが、グループポリシーに問題がある場合にはシステム管理者にとっても頭痛の種となります。 1.特定のユーザーやコンピュータにポリシーを適用したときの予期しない結果

新しい設定グループポリシーオブジェクトを作成したとします。ただし、設定はまだターゲットオブジェクトに適用されていません。このようなグループポリシーの問題を把握するのは困難です。ただし、マイクロソフトは新しいグループポリシー管理コンソールを採用しました。これは無料でダウンロードできます。このツールには、ポリシーに関連付けられているポリシーの結果セット（RSoP）情報をすばやく表示するためのウィザードが含まれています。図Aは、特定のコンピュータの特定のユーザーのRsoP情報を示しています。図A：RASという名前のサーバー上の管理者RSoP

ご覧のとおり、既定のドメインポリシーはWindowsによって管理されています。 WMIエラーのため、アーキテクチャ（WMI、Windows Management Instrumentation）フィルタが拒否されました。これは、グループ戦略の問題がどこにあるのかを判断する上で重要な第一歩を与えます。この場合、WMIフィルタはユーザーがWindows XP Professionalにログインしたときにのみポリシーが適用されると判断するため、ポリシーは適用されません。この特定のユーザーは、Windows Server 2003コンピュータにログインしているため、フィルタリングが失敗します。図Bは、Windows Server 2003でのWMIフィルタによるGPOアプリケーションの失敗を示しています。

図B：WMIフィルタがwindows xp Proを示している

オプションとして、gpresult.exe Windows Server 2003リソースキットのコマンドラインツールを使用してRsoP操作の詳細を表示することもできます。 GPMCは非常に強力で使いやすいので、この記事ではgpresult.exeについては説明しません。

2. WMIフィルタテストに合格していなくても、この戦略はWindows 2000コンピュータに適用されます。

これは簡単に解決できる問題です。 WMIフィルタは、Windows XPおよびWindows Server 2003クライアントでのみサポートされています。 Windows 2000はWMIフィルタをサポートしていないため、とにかくポリシーが適用されます。

3.このポリシーは、Windows NTまたはWindows 9xコンピュータには適用されていません。

グループポリシーを使用できるのは、Windows 2000以降のオペレーティングシステムを実行しているコンピュータのみです。初期のシステムはグループポリシーをサポートしていませんでした。

4. GPOを管理できない

他のほとんどのオブジェクトと同様に、グループポリシーオブジェクトにはセキュリティ権限が関連付けられています。 GPOの処理に問題がある場合は、それを管理するための適切な権限がないことが原因である可能性があります。誰がGPOを管理する権限を持っているかを確認するには、次の手順を実行します。グループポリシー管理コンソールを起動し、作業ドメインの下にあるGPOを選択します。次に、[委任]タブを選択して、GPOに対する操作が許可されているユーザーとグループを表示します。

図Cに示すように、認証ユーザーはGPOを読み取ることができます。この情報は他の場所には適用されないので便利です。それ以外の場合は、他のさまざまなオブジェクトに、GPOに対する編集、削除、およびその他の操作を実行する権限が与えられます。

図C：GPOのセキュリティ情報

この問題を解決するには、GPOを変更する権限を持つユーザーとしてログインする必要があります。ログインしたら、GPOを変更して必要なことを実行するか、元のユーザーオブジェクトにGPOを変更する権限を付与することができます。理論的には、GPOのアクセス許可が変更されていない管理者ユーザーオブジェクトは、ユーザーオブジェクトに直接アクセス許可を割り当てるのではなく、GPOを変更するアクセス許可を持つグループに追加します。

5. GPOの更新プログラムは適用されていますが、顧客は更新プログラムを受け取っていません。

コンピューターがRsoPテストに合格し、顧客がポリシー設定を取得したと判断したとします。この問題が発生した場合、いくつかの可能性があります。

まず、ドメインコントローラが複数ある場合は、しばらくお待ちください。これにより、ポリシーがネットワークにコピーされるのに十分な時間が確保されます。すべてのドメインコントローラ上。時間が短すぎると、問題が発生する可能性があります。

しばらく経っても新しいポリシー設定がまだ有効になっていない場合は、GPOToolを使用してレプリケーションの状態を確認できます。 GPOToolは各ドメインコントローラからすべてのグループポリシー情報を読み取り、比較します。 GPOToolは、Windows Server 2003リソースキットの一部としてMicrosoftのサイトからダウンロードできます。このツールを使用するには、コマンドプロンプトで「gpotool」と入力します。コマンドを入力すると、同様のテキストが表示されます。

C：\\ Documents and Settings \\ Administrator> gpotool

DCの検証...

利用可能なDC：< Br>

ras.example.com

ポリシーを検索しています...

2つのポリシーが見つかりました

============= ==================================ポリシーポリシー{31B2F340-016D-11D2-945F-00C04FB984F9}

フレンドリー名前：デフォルトのドメインポリシー

ポリシーOK

==================================== =======

ポリシー{6AC1786C-016F-11D2-945F-00C04FB984F9}

フレンドリ名：デフォルトのドメインコントローラポリシー

ポリシーOK

====================================================== >

この例では、個別のドメインコントローラがあり、すべてのポリシーテストに合格しています。 GPOToolにはいくつかのコマンドラインオプションがあります：

/gpo：GPO [、GPO]…—確認するGPO; GUIDまたはGPO名を指定できます;デフォルトは現在のドメインのすべてのGPOです;

/domain：name - GPOが配置されているドメインのドメイン名

/dc：{ドメインコントローラ} [、{ドメインコントローラ} - GPOを処理するためのドメインコントローラ名のリスト;

/checkacl—各サーバーのsysvolでACLを確認します;

/verbose - 処理中に詳細を表示します;

ドメインコントローラ間のレプリケーションに問題がある場合は、これを修正する必要があります。問題があり、ドメインポリシー操作をやり直してください。これでGPOの問題が解決するかどうかを強制的に確認することができますが、この方法は時間がかかる場合があるため、お勧めできません。

複製とグループポリシーの詳細

グループポリシーは、Active Directoryの複製とファイルシステムの複製の両方に依存しています。 Active Directoryの複製は、どのポリシーがどのユーザーおよびコンピュータに適用されているかに関する情報など、ディレクトリグループポリシーコンテナの複製を担当します。ファイルシステムの複製を使用して、各GPOのテンプレートを含むSYSVOL共有をコピーします。実行できるのはActive Directoryの複製だけです。

顧客のグループポリシーの更新

問題の2番目の潜在的な原因は、顧客側のグループポリシーの更新サイクルです。この期間は、グループポリシーの変更が有効になるまでの時間間隔を定義します。既定の設定では、クライアントコンピュータで90分ごと（プラスマイナス30分）にグループポリシー情報が更新されます。設定をすぐに有効にする必要がある場合は、グループポリシーの更新をトリガーする可能性のあるイベントがいくつかあることを知っておく必要があります。

ユーザーがコンピュータにログインしている;

システムの起動;

クライアントgpupdataコマンドラインを実行します。

6.GPOが空として表示されます。

GPOが空として表示される場合は、GPOにポリシーが設定されていないことを意味します。この場合、以下のようにしてもよい。まず、設定をいくつか追加する準備をすることができます。次に、ドメインとGPOの間のリンクを削除できます。この方法では、GPMCを使用してからGPOを右クリックし、図Dに示すようにリンク有効オプションを削除します。
D：GPOとドメイン接続の削除

複雑ではあるが非常に便利なサービスとして、グループポリシーでトラブルシューティングを行う必要がある場合があります。幸いなことに、特にマイクロソフトの新しいグループポリシー管理コンソールでは、市販のツールを使用してほとんどのエラーをすばやく見つけることができます。