none
GPOのレジストリ設定において、ツリー下部の設定がツリー上部で吸収され実行される。 RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    お世話になっております。
    この度、GPOを使用してレジストリを設定しようと考えております。

    2012Server
    Windows7(クライアント)

    といったところです。

    現状、

    OU1←レジストリ設定A
      -OU2←レジストリ設定B

    といったような設定をしております。
    両方とも別の設定値で、競合することも上書きされることもございません。

    が、OU2にクライアントを配属させ、GPOを適用させまして、
    gpresult /h にてhtmlファイルとして出力させましたところ
    設定Bで作成されるはずのレジストリが、設定Aで作成されているという結果が出力されました。

    結果としては結果オーライなのですが、Aで設定していないのにレジストリを勝手に作成するなんてことがあるのでしょうか。

    また、原因として考えられることは何なのでしょうか。

    何卒、ご教示のほどよろしくお願いいたします。

    2014年7月22日 10:18
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    いただいた情報を基に試してみましたが、こちらは正常に動作しますね。gpresurtではなく、ドメインコントローラ側でのシミュレーション(RSoP)を試した場合も同じ結果になるでしょうか?

    レジストリの設定ですが、新規作成についても「更新」で問題ないです。レジストリがない場合新規に作成されますので。ちなみに、NetworkListのCategoryレジストリの種類はDword値で、Reg_Sz値ではないです。

    • 回答の候補に設定 佐伯玲 2014年8月1日 0:12
    • 回答としてマーク renren6116 2014年8月4日 4:16
    2014年7月31日 0:48
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    どうしてそうなるのか?ですが、現状ではわからないです。ですから、まず切り分けを行って、「問題箇所の特徴」を把握しましょう。簡単な切り分け方法としては、

    1. OU1にリンクされているGPOA(レジストリ設定Aがされているもの)のリンクをはずして無効化する
    2. OU2にリンクされているGPOB(レジストリ設定Bがされているもの)のリンクをはずして無効化する

    を行ってみることです。GPOAのリンクをOFFにしてAB両方の設定反映が消えてしまうのであればGPOの設定自体がそうなっている可能性が高く、同じケースでAだけ消えてBが残るのであれば、gpresult /h自体の問題かリンクの状況(設定)に誤りがある可能性があります。

    以下の状況も合わせて記載された方が、よい回答を得られる可能性が高くなります。

    • 具体的なポリシー設定の項目はなにか
    • ポリシーはどういう方法で設定しているのか(エディターで通常編集したのではない場合)
    • OUとポリシーのリンクについてはどういう関係なのか(1つのポリシーにレジストリ設定を2つしている、あるいは1つのポリシーを2つのOUに同時にリンクしている等)
    • 回答の候補に設定 佐伯玲 2014年7月28日 1:03
    2014年7月27日 9:32
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンさん

    ご回答ありがとうございます。

    私も何が原因か探りたく、1,2の試験は行っておりました。
    結果、どちらも一意にリンクされており、GPO A(上位OUにリンク)を無効化すると、GPO B(下位OUにリンク)の設定だけが有効になり、
    逆もしかりでございました。

    設定項目としては
    コンピューターの構成
     ∟基本設定
      ∟windowsの設定
       ∟レジストリ

    より、新規作成→レジストリ項目から作成しております。
    GPO A → HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall
    PolicyVersion   REG_SG  522
    作成 更新

    GPO B → HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\........
    Category   REG_SZ   1
    作成 更新

    同じようなレジストリが二つと、

    値の名前が CategoryReadOnly に変わるものの計3つが設定されております。
    設定内容としてはA,Bそれぞれ一意のもので、上書きされることもないと考えております。

    リンクの状況といたしましては、最初に提示したツリー構造の通り
    同時に二つのOUにそれぞれ一つずつがリンクしている状況になっております。
    コンピューターオブジェクトは下位OUに所属するものとします。

    現状、「更新」設定を追加しました。
    その結果、GPO Bが行うはずの「作成」は上位リンクのGPO Aが行いますが、更新は下位リンクのGPO Bが行うという形になり、落ち着かせております。

    以上のような状況です。
    とりあえずまとまってはいるのですが、少々気になります。

    何卒、よろしくお願いいたします。

    2014年7月28日 4:04
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    いただいた情報を基に試してみましたが、こちらは正常に動作しますね。gpresurtではなく、ドメインコントローラ側でのシミュレーション(RSoP)を試した場合も同じ結果になるでしょうか?

    レジストリの設定ですが、新規作成についても「更新」で問題ないです。レジストリがない場合新規に作成されますので。ちなみに、NetworkListのCategoryレジストリの種類はDword値で、Reg_Sz値ではないです。

    • 回答の候補に設定 佐伯玲 2014年8月1日 0:12
    • 回答としてマーク renren6116 2014年8月4日 4:16
    2014年7月31日 0:48
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンさん

    お世話になっております。ご回答ありがとうございます。

    ドメインコントローラー側のRSoPということはmmcから「ポリーシーの結果セット」にてクライアントサーバーを指定して開くということでよろしいでしょうか。
    環境に不備があるのか、RPCサーバーエラーですと表示され接続・確認できなかったのですが…;

    レジストリ値のご指摘ありがとうございます!
    危ういところでした。
    レジストリ値の修正後、再適用させgpresult /hで出力したところ、問題なく作成されてました。
    どうやら原因はこちらにあったようです。

    いろいろとご相談に乗っていただきありがとうございます!

    2014年8月4日 4:16
    |