Remove From My Forums

コンピュータからなるセキュリティグループをセキュリティフィルタに指定した場合、"Windows 7"と"Windows Vista(SP1)"でGPO適用のされ方が違うのでしょうか？

質問
0

サインインして投票
コンピュータ構成に適用するGPOに対して、
セキュリティフィルタを"Authenticate Users"に代えて、
コンピュータからなるセキュリティグループを指定した場合、
"Windows 7"と"Windows Vista(SP1)"で適用のされ方が違うのでしょうか？

コンピュータを構成するための同じGPOを、
"Windows 7"と"Windows Vista(SP1)"に適用しようとして、以下のように
"Windows 7"では拒否されて、"Windows Vista(SP1)"では適用できています。

気になるのは、"Windows Vista(SP1)"の場合、
一連のコンピュータからなるセキュリティグループ"BC-ClientComputers"が
認識されているのに、"Windows 7"の場合はそれが見えないことです。
(※の箇所)

環境としては、以下のようにしています。
ドメインコントローラー/GPO管理： Windows Server 2008 R2
クライアントコンピュータ        ： Windows 7 Enterprise
                                    Windows Vista SP1
GPOで構成している項目           ：コンピュータの構成に関するもののみ
　　　　　　　　　　　　　　　　　　→　BranchCacheのクライアント構成に必要な項目

情報またはアドバイスをお願いいたします。

【Windows7】
＞RSOP のデータ BC-Win7RTM-CL01\Administrator - BC-WIN7RTM-CL01 : ログモード
＞----------------------------------------------------------------------------
＞
＞OS 構成:                     メンバーワークステーション
＞OS バージョン:               6.1.7600
＞サイト名:                    Default-First-Site-Name
＞移動プロファイル:             N/A
＞ローカルプロファイル        C:\Users\Administrator
＞低速リンクで接続: いいえ
＞
＞
＞コンピューター設定
＞-------------------
＞    CN=BC-WIN7RTM-CL01,CN=Computers,DC=BranchCache,DC=com
＞    前回のグループポリシーの適用時: 2010/02/16 (19:42:07)
＞    グループポリシーの適用元:       BC-WS08R2RTM-MO.BranchCache.com
＞    グループポリシーの低速リンクのしきい値:   500 kbps
＞    ドメイン名:                        BRANCHCACHE
＞    ドメインの種類:                        Windows 2000
＞
＞    適用されたグループポリシーオブジェクト
＞    -----------------------------------------
＞        Default Domain Policy
＞
＞    次の GPO はフィルターで除外されたため適用されませんでした。
＞    ------------------------------------------------------------
＞        BranchCache(DC) Client Computers
＞            フィルター: 拒否 (セキュリティ)
＞
＞        ローカルグループポリシー
＞            フィルター: 未適用 (空)
＞
＞    システムは次のセキュリティグループの一部です
＞    ---------------------------------------------
＞        BUILTIN\Administrators
＞        Everyone
＞        BUILTIN\Users
＞        NT AUTHORITY\NETWORK
＞        NT AUTHORITY\Authenticated Users
＞        This Organization
＞        BC-WIN7RTM-CL01$
＞        Domain Computers
＞        System Mandatory Level

【Vista】
＞RSOP のデータ BC-VistaSP1CL01\Administrator - BC-VISTASP1CL01 : ログモード
＞----------------------------------------------------------------------------
＞
＞OS 構成:                     メンバワークステーション
＞OS バージョン:               6.0.6001
＞サイト名:                    Default-First-Site-Name
＞移動プロファイル:             N/A
＞ローカルプロファイル        C:\Users\Administrator
＞低速リンクで接続: いいえ
＞
＞
＞コンピュータ設定
＞-----------------
＞    CN=BC-VISTASP1CL01,CN=Computers,DC=BranchCache,DC=com
＞    前回のグループポリシーの適用時: 2010/02/16 (21:05:12)
＞    グループポリシーの適用元:       BC-WS08R2RTM-MO.BranchCache.com
＞    グループポリシーの低速リンクのしきい値:   500 kbps
＞    ドメイン名:                        BRANCHCACHE
＞    ドメインの種類:                        Windows 2000
＞
＞    適用されたグループポリシーオブジェクト
＞    -----------------------------------------
＞        Default Domain Policy
＞        BranchCache(DC) Client Computers
＞
＞    次の GPO はフィルタで除外されたため適用されませんでした。
＞    ----------------------------------------------------------
＞        ローカルグループポリシー
＞            フィルタ: 未適用 (空)
＞
＞    システムは次のセキュリティグループの一部です
＞    ---------------------------------------------
＞        BUILTIN\Administrators
＞        Everyone
＞        BUILTIN\Users
＞        NT AUTHORITY\NETWORK
＞        NT AUTHORITY\Authenticated Users
＞        This Organization
＞        BC-VISTASP1CL01$
＞        BC-ClientComputers        ← ※
＞        Domain Computers
＞        System Mandatory Level
- 移動三沢健二Moderator 2010年2月17日 4:42 AD カテゴリが適切と判断したため (移動元:Windows 7 ソフトウェア)
- 編集済み twitters get ruby ツイゲルビ 2010年4月8日 13:37 誤記
2010年2月16日 12:53

返信

|

引用

すべての返信

0

サインインして投票
こんにちは、フォーラムオペレーターの三沢健二です。

GPO の「セキュリティフィルター処理」から "Authenticate Users" を削除し、ある特定のグループメンバーに対してのみ適用するような設定にしたところ、クライアントによって適用結果が異なるという事ですね。

私の方でもちょっとした検証を行ってみましたが、私の環境では Windows 7 と Vista で同じような適用結果となりました。

コンピューターがグループのメンバーでない場合には、除外の理由が「フィルター: 未適用 (不明な理由)」になるはずなので、除外の理由が「フィルター: 拒否 (セキュリティ)」になっている事も気になりますね。

すぐに原因を特定する事は困難かもしれませんので、もしよろしければ、"gpsvc.log" などから調査を行われてはいかがでしょうか？

"gpsvc.log" を有効にする方法は下記 KB944043 を参考にしてください。
http://support.microsoft.com/default.aspx/kb/944043/ja

それでは、こちらの情報が少しでもお役にたてれば幸いです。

______________________________________
マイクロソフト株式会社　フォーラムオペレーター　三沢健二
- 回答としてマーク服部清次 2010年2月26日 11:13
- 回答としてマークされていない twitters get ruby ツイゲルビ 2010年3月1日 8:33
2010年2月22日 8:39

返信

|

引用

モデレータ
0

サインインして投票

情報ありがとうございます。

"gpsvc.log" での調査をはじめたいと思います。

ところで、三沢さんの検証においては、
対象のGPOは、ドメインにリンクして公開したのでしょうか、
それとも、作成しておいたOUにリンクしたのでしょうか？
当方は前者の形態を採って、投稿したような状態になりました。

2010年2月23日 4:49

返信

|

引用
0

サインインして投票
こんにちは。

はい、私の方でも、ドメインに新しく作成した GPO をリンクし検証を行いました。
GPT.ini へアクセス出来ないようにしたり、その他思いつく事をいくつか試してみましたが再現出来ませんでした。

あとは、「セキュリティフィルター処理」が "Authenticate Users"（デフォルト）のままであれば適用出来るのか、全ての Windows 7 クライアントで発生しているのか、ログオン後に "gpupdate /force" を実施すると適用されるのか、なども気になるところです。
（そもそも、なぜグループのメンバーとして認識されていないのかも気になるところではあります）

ちなみに、今回の現象は本番環境での結果になりますか？それともテスト環境での結果でしょうか？
もし、新しく構築したシンプルなテスト環境でも再現出来るのであれば、詳細な再現手順をお知らせいただけると、他の方からもアドバイスが集まりやすいのかなと思われます。
（本番環境での結果ですと、他の設定も絡んでくると思うので、再現が難しいですね、、、）

それでは。

______________________________________
マイクロソフト株式会社　フォーラムオペレーター　三沢健二
- 回答としてマーク服部清次 2010年2月26日 11:13
- 回答としてマークされていない twitters get ruby ツイゲルビ 2010年3月1日 8:32
2010年2月23日 8:30

返信

|

引用

モデレータ
0

サインインして投票
ツイゲルビ さん、

こんにちは。
フォーラムオペレーターの服部清次です。
こちらの質問が投稿されてから少し時間が経ちましたが、その後の状況はいかがでしょうか？

今回、弊社の三沢健二の回答が1つの情報として参考になるのではないかと思いましたので、
勝手ながら、ひとまず私の方で [回答としてマーク] のチェックを付けさせていただきました。

もし ツイゲルビ さんの方で調査の結果、何か分かったことなどがありましたら、教えていただけると嬉しいです。
また、もし ツイゲルビ さんの方でまだ疑問が残っているような場合は、
遠慮なく [回答としてマーク] のチェックを外して質問を続けてください。 (^^)

今後とも、TechNet フォーラムをよろしくお願いします。
それでは、また！ (^_^)/

__________________________________________________
マイクロソフト株式会社　フォーラムオペレーター　服部清次
- 編集済み服部清次 2010年2月26日 11:19 改行
2010年2月26日 11:15

返信

|

引用
0

サインインして投票

情報ありがとうございます。

ご質問の件について、回答させていただきます。

＞・「セキュリティフィルター処理」が "Authenticate Users"（デフォルト）のままであれば適用出来るのか、

BrancCacheのためのテストをしてます。
このため、マシン単位のフィルタリングをしないと、
クライアントのWin7以外のマシン、
例えば、ドメインコントローラをはじめとするサーバ群にも適用されてしまいます。
従って、ドメインリンクのGPOに"Authenticate Users"の適用ということ自体を実施していません。

＞・全ての Windows 7 クライアントで発生しているのか、

クライアントマシンとして3台のWin7を準備していますが、
全てのマシンで同じです。

＞・ログオン後に "gpupdate /force" を実施すると適用されるのか

gpupdate /force実行後において、申告したような状況です。

＞ちなみに、今回の現象は本番環境での結果になりますか？それともテスト環境での結果でしょうか？

BrancCacheのためのテストをしている環境です。

なお、"gpsvc.log" での調査ですが、
レジストリを操作した上でgpupdate /forceで、クライアント上でGPOの強制適用をしても、
%windir%\debug\usermodeにログが生成されません。
regeditで設定状態を確認しても、以下のようになっており、レジストリ上は設定されています。

キー名:              HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Diagnostics
クラス名:             <クラスなし>
最終書き込み時刻: 2010/03/01 - 17:08
値 0
名前:            GPSvcDebugLevel
種類:            REG_DWORD
データ:            0x30002

一部設定値を0x10002とする記事を見つけたため
:http://social.technet.microsoft.com/Forums/en/winserverGP/thread/9b06bccb-afd8-4bad-92eb-e94a4c8af3b3
その値で試しましたが結果は変わりません。

なお、レジストリの操作はバッチ化されているので、
同じものをVistaで実行してgpupdate /forceを実行すると、
%windir%\debug\usermodeにgpsvc.logが作成されます。

以上です。

2010年3月1日 8:13

返信

|

引用
0

サインインして投票

ご無沙汰しておりました。

若干進展があったのでご報告半分、質問半分です。

>私の方でもちょっとした検証を行ってみましたが、私の環境では Windows 7 と Vista で同じような適用結果となりました。

当方でも、VistaSP1とWin7で同様の結果を得られましたが、Win7はUltimateのみで、Enterpriseではダメです。

今回、VistaSP1はそのままにして、Win7Ent、Win7Ultを二つ作成しました。(Hyper-V上の仮想ﾏｼﾝです)

１＋2の計3台のクライアントマシンに対して、コンピュータグループを作成し、
セキュリティフィルタをこのコンピュータグループにして、ドメインリンクの同一のGPOを適用したところ、
Win7Entだけが、適用できない状態になりました。

問題の、Win7Entと、Win7Ultで、gpsvd.dllのdependencyを調べてみましたが、差異がないことを確認しています。
いずれも、新規に構築してすぐに検証しており、過去の設定が影響することは考えにくい状況になっています。

正直、訳がわからない状況なのですが、情報お持ちでしたらお願いいたします。

2010年4月8日 14:02

返信

|

引用

製品

Resources

Solutions

更新プログラム

評価版

関連サイト

トレーニング

認定資格

その他のリソース

製品別サポート

その他のサポート

IT 担当者以外の方へ

質問者

コンピュータからなるセキュリティグループをセキュリティフィルタに指定した場合、"Windows 7"と"Windows Vista(SP1)"でGPO適用のされ方が違うのでしょうか？

質問

すべての返信