none
練習用環境でActiveDirectoryを構築したが、グループポリシーが適用されない RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    現在、システム管理の練習として、Windows server 2008 R2 - HUB - クライアントPC(win7)1台をつなげた閉鎖環境で
    Activedirectory(以下AD)の構築と設定を行っておりますが、
    どうやってもグループポリシーが適用されず、 原因がわからずホトホト困り果てています。

     実施した内容は下記のとおりです。

     ・サーバにADドメインサービス、DNSの役割追加
     ・ドメインにユーザ5名、グループ、クライアントPCを登録
     ・ドメインに「ユーザ」「グループ」「コンピュータ」のOUを作成。
     ・「ユーザ」OUに「正社員」「派遣社員」のOUを作成。
     ・「正社員」OUに登録したユーザ5名を移動。
     ・クライアントPCをドメイン参加させ、ユーザ5名のユーザアカウントを作成。
     ・クライアントPCを再起動させ、ドメインに登録したユーザアカウントでドメインにログオンできる事を確認。
     ・サーバ側で、グループポリシーの管理を立ち上げ、ドメイン名のところで
      右クリックし、「このドメインにGPOを作成しコンテナにリンクする」を選び、下記のグループポリシーを作成。
       「コンピューターの構成」-「ポリシー」-「管理用テンプレート」-「Windowsコンポーネント」-「Windows Media Player」
        -[クイック起動ツールバーへのショートカットの作成を禁止する]
     ・コマンドプロンプトでgpupdate /forceでグループポリシーを更新

    …私の考えだと、これでクライアントPCを再起動させ、もう一度登録したユーザでログオンすれば、
    デスクトップ上にWindowsMediaPlayerのショートカットが表示されずに
     クライアントPCが立ち上がる・・・とか思っていたのですが、グループポリシーが効いていないようで、表示されてしまいます。

    なお、グループポリシーの管理で該当GPOをみてみると、
    セキュリティフィルタはAuthenticated Usersが適用され、GPOの状態は有効です。
    グループポリシーの結果を動かしてみると、該当GPOが「拒否されたGPO」にあり、
     拒否された理由ー「空」と表示されています。

    なお、サーバマネージャの「ベストプラクティスアナライザー」では、
    フォレストのPDCエミュレータマスタを有効なタイムソースから取得される時刻に正しく
    同期しろ、というエラーが出ていますが、閉鎖環境なので無視しています。

    サーバをイチから再インストールしての同じ結果なので、
     私の設定が悪いのは確実なのですが、皆目見当がつきません。


    ちなみに、サーバを停止している状態でも
     クライアントPCからドメインに登録したユーザID・PWでログオンできます。
     (私のイメージだと、サーバが停止しているとログオンできないと思ったのですが…)

    お知恵をお借りできませんでしょうか。

    2015年6月8日 2:57
    |

回答

  • Question
    サインインして投票
    1
    サインインして投票

    oooohです。

    チャブーン様、おそらくですが、

    クイック起動(Vista時代の残骸)とタスクバーを誤解なされたのでしょう。

    chonmagekick様、

    タスクバーのGPO制御はこちらをご覧ください。

    あと、折角各OUを作成されていますので、アカウントを移動して

    GPOをドメイン全体ではなくOU単位でかけた方がよいですよ。

    それから、クライアント側でもgpupdate /forceはやった方がいいかも。

    • 回答としてマーク chonmagekick 2015年6月9日 23:26
    2015年6月8日 7:00
    |

すべての返信

  • Question
    サインインして投票
    1
    サインインして投票

    こんにちは。

    ユーザーだけが入ったOUに、コンピュータの構成ポリシーをあてようとしても当たらないはずです。

    ユーザーに対しては、ユーザーのポリシーが有効です。

    コンピュータに対しては、コンピュータのポリシーが有効です。

    ですから、作ったGPOにリンクしているOUにコンピュータも入れればいいはずですのでお試しください。

    参考:http://office-qa.com/win/win166.htm

    サーバーを停止していてもコンピュータにログオンできるのは「キャッシュ」が効いているからです。

    そのPCでログオン経験のあるユーザーアカウントは、サーバーが止まっているとログオンできますが、

    ログオン経験の無いユーザーアカウントは、サーバーが止まっていればPCにログオンできません。

    2015年6月8日 6:04
    |
  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    いくつかコメントがあると思います。

    …私の考えだと、これでクライアントPCを再起動させ、もう一度登録したユーザでログオンすれば、
    デスクトップ上にWindowsMediaPlayerのショートカットが表示されずに
     クライアントPCが立ち上がる・・・とか思っていたのですが、

    これですが、[クイック起動ツールバーへのショートカットの作成を禁止する]ポリシーは、「クイック起動ツールバー」(スタートボタンのすぐ右にあるタスクバー上の領域)に対する制限ですから、デスクトップに対しては制限できない、という理解です。どのような経緯(情報)で「デスクトップに対する制限」としてこのポリシーを選択されたのでしょうか?

    グループポリシーの結果を動かしてみると、該当GPOが「拒否されたGPO」にあり、
     拒否された理由ー「空」と表示されています。

    この設定ですが、GPResultコマンドを動作させたのだ思いますが、(コンピュータ上の)非管理者権限で動作させた場合、「コンピューターの構成」部分は表示されず「ユーザーの構成」だけが表示されます。「ユーザーの構成」には何も設定していないので、GPOの中身が(ユーザーの構成部分については)「空」=適用の必要がない(拒否)と、自動判定されたのでしょう。他のアカウント(ドメイン管理者等、管理権限のあるアカウント)でログオンし、同じことをすると「コンピューターの構成」側の設定も表示されますので、そこで確認できます。

    サーバを停止している状態でも
     クライアントPCからドメインに登録したユーザID・PWでログオンできます。

    この設定は、クライアント側で「資格情報のキャッシュによるログオン」ができるようになっているからです。この設定はデフォルトでONになっていて、動作として問題はありません。またGPOの適用問題とは、まったく無関係の設定になります。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2015年6月8日 6:06
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    社員番号042さん、回答ありがとうございます。

    いただいた回答について、ちょっとコメントさせてください。

    ユーザーだけが入ったOUに、コンピュータの構成ポリシーをあてようとしても当たらないはずです。

    これですが、質問者さんが行った操作は、以下のようなものです。

    ・サーバ側で、グループポリシーの管理を立ち上げ、ドメイン名のところで
      右クリックし、「このドメインにGPOを作成しコンテナにリンクする」を選び、

    「ドメイン名のところ」=ドメインオブジェクトに直接GPOを作っていることがわかります。この設定を行った場合、[Computers]コンテナ(デフォルトでコンピュータオブジェクトが作成される場所)についても、GPOは適用されます。ですから、この部分に関しては、申し訳ないですが、事実と異なるコメント、になる気がします。私としては、現状とくにGPOの「リンク」設定やオブジェクトを修正する必要はない、という認識になります。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2015年6月8日 6:26
    |
    モデレータ
  • Question
    サインインして投票
    1
    サインインして投票

    oooohです。

    チャブーン様、おそらくですが、

    クイック起動(Vista時代の残骸)とタスクバーを誤解なされたのでしょう。

    chonmagekick様、

    タスクバーのGPO制御はこちらをご覧ください。

    あと、折角各OUを作成されていますので、アカウントを移動して

    GPOをドメイン全体ではなくOU単位でかけた方がよいですよ。

    それから、クライアント側でもgpupdate /forceはやった方がいいかも。

    • 回答としてマーク chonmagekick 2015年6月9日 23:26
    2015年6月8日 7:00
    |
  • Question
    サインインして投票
    0
    サインインして投票

    社員番号042様

    ご回答、本当にありがとうございます。

    サーバー停止時のログオンの仕組み、理解致しました。

    キャッシュされてるんですね・・・!知りませんでした。

    チャブーン様

    ご回答、本当にありがとうございます。

    >>どのような経緯(情報)で「デスクトップに対する制限」としてこのポリシーを選択されたのでしょうか?

    すみません。私の記載に間違いがありました。

    デスクトップ上ではなく、クイック起動ツールバーが正しい記載です。 修正致しますと、

    「…私の考えだと、これでクライアントPCを再起動させ、もう一度登録したユーザでログオンすれば、
    クイック起動ツールバー上にあるWindowsMediaPlayerのショートカットが表示されない状態で
     クライアントPCが立ち上がる・・・」

    という説明になります。

    なお、このポリシーを選んだ理由は、ポリシーの適用が成功したかどうかが、視覚的に一目でわかるからですので、

    それほど深い理由はありません…。

    グループポリシーの結果の作動は、Administratorでログインし、

    「グループポリシーの管理」の最下段にある「グループポリシーの結果」を動かしましたので、

    チャブーン様ご指摘の、「(コンピュータ上の)非管理者権限で動作させた場合」には

    あたらないかと考えます。

    今、とにかくGPOの適用を成功させようと下記の事を行いました。

    ・「正社員」OUにユーザ、コンピュータを集め、他のGPOは一旦削除

    ・「コンピューターの構成」-「ポリシー」-「管理用テンプレート」-「Windowsコンポーネント」-「Windows Media Player」
        -[クイック起動ツールバーへのショートカットの作成を禁止する]&「デスクトップへのショートカットの作成を禁止する」 

     この二つを有効にするGPOを正社員OUにあて、「有効」になっていることを確認

    ・「グループポリシーの管理」で、該当GPOの「スコープ」の「セキュリティフィルター処理」にユーザもコンピュータも選択

    ・サーバ、クライアント両方に「gpupdate /force」を適用

    ・クライアントのコンピュータを再起動

    というのをやってみましたが、やはりクライアント機にログインしても

    クイック起動ツールバーやデスクトップにWMPのショートカットが表示されます。

    何か根っこのところが間違えてる感じがしますが、どこかがわからない状態です。


    2015年6月8日 7:53
    |
  • Question
    サインインして投票
    0
    サインインして投票

    さらに確認してみたところ、

    すでに一度でもクライアントPCにログインしたことのあるユーザに変化はなく、

    初めてログインしたユーザは、

    WMPのデスクトップ上のショートカットは表示されない & クイック起動には表示される

    という状態になりました。

    早速、「グループポリシーの管理」→「グループポリシーの結果」で

    初めてログインしたユーザのグループポリシーの結果を見てみたところ、

    「コンピュータの構成」の適用されたGPOに該当のGPOがあり、適用できていることがわかりました。

    しかし中途半端に適用できている、というのもおかしいですね・・・
    2015年6月8日 8:12
    |
  • Question
    サインインして投票
    0
    サインインして投票

    ooooh様

    ご回答、本当ありがとうございます。

    クイック起動とタスクバーとの違いですか!!!

    もうなんか罠だらけで倒れそうです・・・

    ありがとうございます! 早速試してみたいと思います。

    取り急ぎ、お礼まで・・・

    2015年6月9日 8:46
    |
  • Question
    サインインして投票
    0
    サインインして投票

    ooooh様

    GPOが当たっていることが確認できました!!

    本当ありがとうございます。

    また、この状態で「グループポリシーの結果」を作動させてみたところ、

    きちんと適用されたGPOに表示がありました。

    「グループポリシーの結果」では、ポリシーの中に一つでも設定できない項目があると

    拒否されてしまい、"拒否された理由"-”空"になるのかもしれません。

    ご回答、本当にありがとうございました。

    社員番号042様、チャブーン様

    結局のところ、私がGPOがあたらない、と思っていたことは、

    GPOが当たっているかどうかの検証材料の選択を間違っていたためでした。

    お恥ずかしい限りです・・・

    しかし、これでやっとActiveDirectoryの構築練習の足掛かりがつかめました。

    ご回答、本当にありがとうございました。

    2015年6月9日 23:25
    |