none
グループポリシーの適用について RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    AD2003にてグループポリシーを設定しています。内容としては「コンピュータの構成」にてパスワードポリシーとWSUS、「ユーザの構成」にてOfficeテンプレートの設定を行なっています。
    ある時ふときになって、クライアント側でrsop.mscを実行してみたところ、「コンピュータの構成」の欄が×がついていて、ポリシーが適用されてないようでした。
    その為なのか、クライアント側で「wuauclt.exe /detectnow」を実行してもWSUSサーバ側で同期時刻が更新されません。
    クライアント側で「gpupdate /force」を実行し、再度「rsop.msc」を実行すると「コンピュータの構成」ポリシーが正しく反映されていました。

    コンピュータの構成のみポリシーが適用されないという場合、どのような事が考えられるのでしょうか。
    調査、確認方法も教えて頂ければ幸いです。宜しくお願い致します。

    2012年7月4日 2:31
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    もしGPOがOUにリンクされているのでしたら、(1)現象の発生しているクライアントのコンピュータオブジェクトがOU内に配置されていない(ユーザーオブジェクトは配置されている)ことが考えられますね。この場合は、コンピュータオブジェクトをOU内に配置した上で再起動して確認すればよいでしょう。GPOがドメインにリンクされている場合は、(2)「高速ログオン最適化」機能によるポリシー反映の遅延が考えられます。XP以降のクライアントOSでは、「高速ログオンの最適化」機能が有効になっています。簡単に言うと、コンピューターのネットワークが初期化される前にWindowsを起動させることによって、ユーザーが素早くログオンできるようになるというものです。最新のグループポリシー設定は、ネットワークが利用可能になってから(ネットワークが初期化されてから)、バックグラウンドで適用されるので、一部のポリシー設定(ネットワークを参照する必要のあるポリシー設定など)は、gpupdateコマンドの実行や、再ログオンなどを行わないと反映しない場合があります。この場合は、グループポリシーにて、コンピュータの構成>管理用テンプレート>システム>「ログオン」セクションにある“コンピュータの起動およびログオンで常にネットワークを待つ”を「有効」にして確認して下さい。この設定により「高速ログオンの最適化」はオフとなりますが、設定後はログオンが(ネットワークの初期化を待つ為)以前に比べ遅くなるはずです。ユーザーの利便性を重視するか、ポリシーの反映を重視するかはトレードオフとなります。

    • 回答の候補に設定 星 睦美 2012年7月9日 5:03
    • 回答としてマーク 星 睦美 2012年8月29日 1:27
    2012年7月5日 4:26
    |
  • Question
    サインインして投票
    0
    サインインして投票

    私もコンピュータの構成がおかしいと思いますが、全く適用されていない訳でも無さそうですよね。画面ショットを見ると「Skype」など追加された管理用テンプレート(別GPOで実装されてるのかな?)は適用されているように見えます。それとクライアントリカバリの件ですが、リカバリ後はドメインに正常にログオンできるのでしょうか。特に問題なくログオンでき、かつイベントにエラーや警告が(DC&クライアントに)出ていないようでしたら、コンピュータアカウントの再作成&リセットは本来不要かと思いますが、気になるようでしたら、

    (1)クライアントを一度ドメインから脱退させ(WorkGroupに戻し)、DC側でコンピュータアカウント削除後、クライアントをドメイン再参加。

    (Computersコンテナ配下にコンピュータアカウントが自動生成される)

    (2)参加後、クライアント側にてRSoPでポリシー(DefaultDomainPolicyなど)が適用されているか確認。

    (3)DC側で該当のコンピュータアカウントを(Computersコンテナから)OU配下に再配置。

    (4)再度RSoPにてポリシー確認。

    を試行されると良いかと思います。

    • 回答の候補に設定 星 睦美 2012年8月1日 6:26
    • 回答としてマーク 星 睦美 2012年8月29日 1:27
    2012年7月23日 2:09
    |

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    もしGPOがOUにリンクされているのでしたら、(1)現象の発生しているクライアントのコンピュータオブジェクトがOU内に配置されていない(ユーザーオブジェクトは配置されている)ことが考えられますね。この場合は、コンピュータオブジェクトをOU内に配置した上で再起動して確認すればよいでしょう。GPOがドメインにリンクされている場合は、(2)「高速ログオン最適化」機能によるポリシー反映の遅延が考えられます。XP以降のクライアントOSでは、「高速ログオンの最適化」機能が有効になっています。簡単に言うと、コンピューターのネットワークが初期化される前にWindowsを起動させることによって、ユーザーが素早くログオンできるようになるというものです。最新のグループポリシー設定は、ネットワークが利用可能になってから(ネットワークが初期化されてから)、バックグラウンドで適用されるので、一部のポリシー設定(ネットワークを参照する必要のあるポリシー設定など)は、gpupdateコマンドの実行や、再ログオンなどを行わないと反映しない場合があります。この場合は、グループポリシーにて、コンピュータの構成>管理用テンプレート>システム>「ログオン」セクションにある“コンピュータの起動およびログオンで常にネットワークを待つ”を「有効」にして確認して下さい。この設定により「高速ログオンの最適化」はオフとなりますが、設定後はログオンが(ネットワークの初期化を待つ為)以前に比べ遅くなるはずです。ユーザーの利便性を重視するか、ポリシーの反映を重視するかはトレードオフとなります。

    • 回答の候補に設定 星 睦美 2012年7月9日 5:03
    • 回答としてマーク 星 睦美 2012年8月29日 1:27
    2012年7月5日 4:26
    |
  • Question
    サインインして投票
    0
    サインインして投票

    カディス様

    ご返信有難うございます。OUへのリンクはまず問題ないので、やはり「高速ログオンの最適化」について検証してみます。

    進展があり次第ご報告させて頂きます。

    2012年7月9日 1:55
    |
  • Question
    サインインして投票
    0
    サインインして投票

    カディス様

    GP低速リンクテストOUを作成し、「コンピュータの起動及びログオンで常にネットワークを待つ」を有効にしたポリシーと、
    WindowsUpdateのポリシー2つをリンクさせ、PCをログインし、Rsop.mscを実行しました(一番下の画像)

    「コンピュータの起動及びログオンで常にネットワークを待つ」は有効になっていますが、コンピュータの構成→Windowsの設定→管理用テンプレート→WindowsコンポーネントにWindows Updateがありません。
    その後、gpupdate/forceを実行し、再度rsop.mscを実行しました(上の画像)
    今度はWindows Updateが表示され、正しくポリシーが適用されていました。

    高速ログオンは無効になっていると思うのですが、思っていたような結果が得られませんでした。
    こちらの環境によるものなのかもしれませんが、何か解決方法がわかりましたらご教示ください。

    2012年7月19日 5:46
    |
  • Question
    サインインして投票
    0
    サインインして投票

    すみません、多忙につきレス遅れました。m(_ _)m

    下の画像の(×印が表示されている)状態で、コンピュータの構成を右クリック>プロパティ>全般タブで、「すべてのGPOとフィルターの状態を表示する」および

    「管理の対象を表示する」チェックボックスをオンにし、該当のGPOの状態をご確認下さい。「フィルター」欄と「管理の対象」欄にどのように表示されるでしょうか?

    それと、(1)各設定を2つのGPOでなく1つのGPOに組み込んで適用を試行することは可能でしょうか?(例えば「GP高速ログオン無効」GPO内にWindowsUpdateの設定を追加すると挙動はどうか)、

    (2)「WSUSポリシー」GPO内の“ユーザーの構成”内の設定は適用されているのでしょうか?(未設定なら何かテスト用の設定を有効にして適用されるかどうか)

    (3)「WSUSポリシー」と同じ設定を構成した新しいGPOを代わりにリンクすると挙動はどうか?

    など原因の特定には至らないかも知れませんが、多少切り分けにはなると思います。

    2012年7月20日 9:44
    |
  • Question
    サインインして投票
    0
    サインインして投票

    カディス様

    お忙しいところご返信有難うございます。早速ですが「×」の状態のプロパティ画面にてフィルタ状態を確認してみたところ、フィルタ欄は「適用」、管理の対象は「ou="ou名",dc=XX,dc=co,dc=jp」となっていました。
    「×」にはなっていますが、グループポリシーは適用されているような気がします。

    (1)のように1つのGPOにまとめて(新規作成)してOUにリンクさせ、クライアントで何度かログオンしましたが、元のポリシーのままで、gpupdate/forceを実行すると新規作成したポリシーにかわりました。気になったのでユーザの構成を設定しているポリシーを入れ替えてログインしたところ、すぐに適用されました。

    以上から、おそらくコンピュータの構成のポリシーに限り、動作がおかしいと考えています。
    気になっているのは、クライアントをリカバリする際に、PC名が一緒であればコンピュータオブジェクトをそのまま使っています。
    一度削除して再作成したり、アカウントのリセット等した方がよいのでしょうか。

    • 回答の候補に設定 カディス 2012年7月23日 1:44
    • 回答の候補の設定解除 カディス 2012年7月23日 1:44
    2012年7月20日 10:23
    |
  • Question
    サインインして投票
    0
    サインインして投票

    私もコンピュータの構成がおかしいと思いますが、全く適用されていない訳でも無さそうですよね。画面ショットを見ると「Skype」など追加された管理用テンプレート(別GPOで実装されてるのかな?)は適用されているように見えます。それとクライアントリカバリの件ですが、リカバリ後はドメインに正常にログオンできるのでしょうか。特に問題なくログオンでき、かつイベントにエラーや警告が(DC&クライアントに)出ていないようでしたら、コンピュータアカウントの再作成&リセットは本来不要かと思いますが、気になるようでしたら、

    (1)クライアントを一度ドメインから脱退させ(WorkGroupに戻し)、DC側でコンピュータアカウント削除後、クライアントをドメイン再参加。

    (Computersコンテナ配下にコンピュータアカウントが自動生成される)

    (2)参加後、クライアント側にてRSoPでポリシー(DefaultDomainPolicyなど)が適用されているか確認。

    (3)DC側で該当のコンピュータアカウントを(Computersコンテナから)OU配下に再配置。

    (4)再度RSoPにてポリシー確認。

    を試行されると良いかと思います。

    • 回答の候補に設定 星 睦美 2012年8月1日 6:26
    • 回答としてマーク 星 睦美 2012年8月29日 1:27
    2012年7月23日 2:09
    |
  • Question
    サインインして投票
    0
    サインインして投票

    フォーラム オペレーターの星 睦美です。

    カディス さん、回答ありがとうございます。

    spiralscratch さん、こんにちは
    カディス さんからの返信に引き続き質問がないようですので、質問された内容に関して
    回答が参考になったのではないかと思います。

    今回は私のほうで[回答としてマーク]をさせていただきますね。
    もし引き続き質問がありましたら遠慮なく[回答としてのマークの解除]をして返信できます。

    これからもTechNet フォーラムをよろしくお願いします。

    日本マイクロソフト株式会社 フォーラム オペレーター 星 睦美

    2012年8月29日 1:27
    |