Windows Server 2003グループポリシーのトラブルシューティング方法

Windows 2000を使用したことがある、またはWindows Server 2003に関与しているかシステム構成を完了した場合は、少なくともグループポリシーについて少し知っているシステムアーキテクチャの管理を大幅に簡素化する。残念ながら、他のすべてのテクノロジと同様に、事故が発生した場合でもグループポリシーをトラブルシューティングする必要があります。 Windows Server 2003のグループポリシーとその解決方法で発生する可能性がある6つの問題は、次のとおりです。

1.特定のユーザーやコンピュータにポリシーを適用したときの予期しない結果

新しいグループポリシーの設定オブジェクトを作成したとします。ただし、設定はまだターゲットオブジェクトに適用されていません。このようなグループポリシーの問題を把握するのは困難です。ただし、マイクロソフトは新しいグループポリシー管理コンソールを採用しました。これは無料でダウンロードできます。このツールには、ポリシーに関連付けられているポリシーの結果セット（RSoP）情報をすばやく表示するためのウィザードが含まれています。図1は、特定のコンピューター上の特定のユーザーに関するRsoP情報を示しています。図A：RASという名前のサーバー上の管理者RSoP

ご覧のとおり、既定のドメインポリシーはWindows Management Instrumentation（WMI）によってフィルタ処理されています。デバイスはWMIエラーのため拒否しました。これは、グループ戦略の問題がどこにあるのかを判断する上で重要な第一歩を与えます。この場合、WMIフィルタはユーザーがWindows XP Professionalにログインしたときにのみポリシーが適用されると判断するため、ポリシーは適用されません。この特定のユーザーは、Windows Server 2003コンピュータにログインしているため、フィルタリングが失敗します。図2は、Windows Server 2003上のWMIフィルタによって引き起こされたGPOアプリケーションの失敗を示しています。


図2：WMIフィルタはWindows XP Proを示します。

オプションとして、gpresult.exe Windows Server 2003リソースキットのコマンドラインツールを使用してRsoP操作の詳細を表示できます。状況GPMCは非常に強力で使いやすいので、この記事ではgpresult.exeについては説明しません。

2. WMIフィルタテストに合格していなくても、この戦略はWindows 2000コンピュータに適用されます。

これは簡単に解決できる問題です。 WMIフィルタは、Windows XPおよびWindows Server 2003クライアントでのみサポートされています。 Windows 2000はWMIフィルタをサポートしていないため、とにかくポリシーが適用されます。

3.このポリシーは、Windows NTまたはWindows 9xコンピュータには適用されていません。

グループポリシーを使用できるのは、Windows 2000以降のオペレーティングシステムを実行しているコンピュータのみです。初期のシステムはグループポリシーをサポートしていませんでした。

4. GPOを管理できない

他のほとんどのオブジェクトと同様に、グループポリシーオブジェクトにはセキュリティ権限が関連付けられています。 GPOの処理に問題がある場合は、それを管理するための適切な権限がないことが原因である可能性があります。誰がGPOを管理する権限を持っているかを確認するには、次の手順を実行します。グループポリシー管理コンソールを起動し、作業ドメインの下にあるGPOを選択します。次に、[委任]タブを選択して、GPOに対する操作が許可されているユーザーとグループを表示します。

図3に示すように、認証ユーザーはGPOを読み取ることができます。この情報は他の場所には適用されないので便利です。それ以外の場合は、他のさまざまなオブジェクトに、GPOに対する編集、削除、およびその他の操作の実行を許可する権限が与えられます。


図3：GPOのセキュリティ情報

この問題を解決するには、GPOを変更する権限を持つユーザーとしてログインする必要があります。ログインしたら、GPOを変更して必要な操作を実行するか、元のユーザーオブジェクトにGPOを変更する権限を付与することができます。理論的には、GPOのアクセス許可が変更されていない管理者ユーザーオブジェクトは、ユーザーオブジェクトに直接アクセス許可を割り当てるのではなく、GPOを変更するアクセス許可を持つグループに追加します。

5. GPO更新プログラムは適用されましたが、顧客は更新結果を受け取っていません。

コンピューターがRsoPテストに合格し、顧客がポリシー設定を取得したと判断したとします。この問題が発生した場合、いくつかの可能性があります。

まず、ドメインコントローラが複数ある場合は、しばらく待つ必要があります。これにより、ポリシーがネットワークにコピーされるのに十分な時間が確保されます。すべてのドメインコントローラ上。時間が短すぎると、問題が発生する可能性があります。

しばらく経っても新しいポリシー設定がまだ有効になっていない場合は、GPOToolを使用してレプリケーションの状態を確認できます。 GPOToolは各ドメインコントローラからすべてのグループポリシー情報を読み取り、比較します。 GPOToolは、Windows Server 2003リソースキットの一部としてMicrosoftのサイトからダウンロードできます。このツールを使用するには、コマンドプロンプトで「gpotool」と入力します。コマンドを入力すると、同様のテキストが表示されます。

C：\\ Documents and Settings \\ Administrator> gpotool
DCの検証中...
利用可能なDC：
ras.example。 Com
ポリシーを検索しています...
2つのポリシーが見つかりました
================================= =======
ポリシー{31B2F340-016D-11D2-945F-00C04FB984F9}
フレンドリ名：デフォルトドメインポリシー
ポリシーOK
========== =========================ポリシー{6AC1786C-016F-11D2-945F-00C04FB984F9}
フレンドリーネーム：デフォルトドメインコントローラポリシー
ポリシーOK
================================================== >

ポリシーOK

この例では、別のドメインコントローラがあり、すべてのポリシーテストに合格しています。 GPOToolにはいくつかのコマンドラインオプションがあります：

/gpo:GPO[,GPO]...—チェックが必要なGPO; GUIDまたはGPO名を指定できます;デフォルトは現在のドメインのすべてのGPOです。 Br>

/domain：name - GPOが存在するドメインのドメイン名;

/dc：{ドメインコントローラ} [、{ドメインコントローラ} - GPOを処理するためのドメインコントローラ名のリスト;

/checkacl - 各サーバー上のsysvolのACLを確認します。

/verbose - 処理中に詳細を表示します。

ドメインコントローラ間の複製に問題がある場合は、この問題は修正されるべきであり、ドメインポリシー操作をやり直す試みです。これでGPOの問題を解決できるかどうかを強制的に判断してレプリケーションを試みることができますが、これは長いプロセスになる可能性があるため、この方法はお勧めできません。

複製とグループポリシーの詳細

グループポリシーは、Active Directoryの複製とファイルシステムの複製の両方に依存しています。 Active Directoryの複製は、どのポリシーがどのユーザーおよびコンピュータに適用されているかに関する情報など、ディレクトリグループポリシーコンテナの複製を担当します。ファイルシステムの複製を使用して、各GPO用のテンプレートを含むSYSVOL共有をコピーします。適用できるのはActive Directoryの複製だけです。

顧客グループポリシーの更新

問題の2番目の潜在的な原因は、顧客側のグループポリシー更新サイクルです。この期間は、グループポリシーの変更が有効になるまでの時間間隔を定義します。既定の設定では、クライアントコンピュータで90分ごと（プラスマイナス30分）にグループポリシー情報が更新されます。設定をすぐに有効にする必要がある場合は、グループポリシーの更新をトリガーする可能性のあるイベントがいくつかあることを知っておく必要があります。

ユーザーがコンピュータにログインしている;

システムの起動;

クライアントgpupdataコマンドラインを実行します。

6.GPOが空として表示される

GPOが空として表示される場合、GPOにポリシーが設定されていないことを意味します。この場合、以下のようにしてもよい。まず、設定をいくつか追加する準備をすることができます。次に、ドメインとGPOの間のリンクを削除できます。この方法では、GPMCを使用してからGPOを右クリックし、[リンク有効]オプションを削除します（図4を参照）。図4：GPOとドメイン接続の削除

操作困難だが価値がある

グループポリシーでは、複雑ではあるが非常に便利なサービスとして、トラブルシューティングを行うための手順が必要になることがあります。幸いなことに、特にマイクロソフトの新しいグループポリシー管理コンソールでは、市販のツールを使用してほとんどのエラーをすばやく見つけることができます。