none
ドメイン操作でユーザーが所属するOUを変更した後、変更情報がクライアントPCに伝達されるタイミングについて RRS feed

  • 質問

  • いつも参考にさせていただきありがとうございます。

    質問は表題のとおりですが、AD側でユーザーアカウントが所属するOUを変更した場合、その情報がクライアントPCに伝達されるまでの仕組みについて、質問します。 クライアントPCの活動は多岐にわたり、LAN接続もあれば遠隔地からVPN接続もあれば、ネットワーク接続状態でOSが起動する場合もあれば、OSはずっと起動中でSleepで持ち歩いている場合もあります。

    たとえば、外出中のPCで扱うユーザーアカウントにおいてAD側でOU変更があり、そのOUを使ったアクセス許可設定が施されたリソースにアクセスする場合、ユーザーアカウントはそのOUが変更された情報を持たなければなりませんが、この変更をクライアント側で受信するためには何か明示的な作業で実施できるものなのでしょうか。(VPN接続語Gpupdateで待てばいいのでしょうか?)

    宜しくお願いいたします。


    Microsoft Forum (HM)


    2020年4月29日 2:05

回答

  • チャブーンです。

    この件ですが、前提として、

    AD側でOU変更があり、そのOUを使ったアクセス許可設定が施されたリソースにアクセスする場合

    がよくわからないのですが、グループポリシーで特定フォルダー・ファイルのアクセス許可を設定している、などなのでしょうか?こういうケースではコンピューターアカウントが対象になると思うので、できれば説明いただいた方がいいです。

    ともかく、「グループポリシーが設定されたOU間」をユーザーアカウントが移動した状況がいつ反映されるのか、ですが、いくつかフェーズがあり、単純には計れないです。

    1. ユーザーアカウントを「OUを移動させたこと」が全ドメインコントローラーに伝達される
    2. ログオンしているドメインコントローラーに対してクライアントは定期的にグループポリシー変更のポーリングをしているが、1の状況を検出して再適用する
    3. ポリシーの内容によっては、再ログオン・再起動して初めて適用される

    1に関しては、ドメインコントローラーの複製構成に依存します。サイトを切っていればそのスケジュールで複製されるため、すぐには反映されません。2は90分+オフセット30分以内でポーリングしていますので、これも状況によりずれが生じます。3については内容依存なので何ともいえませんが、ユーザーポリシーに関しては「再ログオンで反映」されるものは結構あるため、この動作について想定しておいた方がシアワセでしょう。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。



    2020年4月30日 3:18
    モデレータ

すべての返信

  • チャブーンです。

    この件ですが、前提として、

    AD側でOU変更があり、そのOUを使ったアクセス許可設定が施されたリソースにアクセスする場合

    がよくわからないのですが、グループポリシーで特定フォルダー・ファイルのアクセス許可を設定している、などなのでしょうか?こういうケースではコンピューターアカウントが対象になると思うので、できれば説明いただいた方がいいです。

    ともかく、「グループポリシーが設定されたOU間」をユーザーアカウントが移動した状況がいつ反映されるのか、ですが、いくつかフェーズがあり、単純には計れないです。

    1. ユーザーアカウントを「OUを移動させたこと」が全ドメインコントローラーに伝達される
    2. ログオンしているドメインコントローラーに対してクライアントは定期的にグループポリシー変更のポーリングをしているが、1の状況を検出して再適用する
    3. ポリシーの内容によっては、再ログオン・再起動して初めて適用される

    1に関しては、ドメインコントローラーの複製構成に依存します。サイトを切っていればそのスケジュールで複製されるため、すぐには反映されません。2は90分+オフセット30分以内でポーリングしていますので、これも状況によりずれが生じます。3については内容依存なので何ともいえませんが、ユーザーポリシーに関しては「再ログオンで反映」されるものは結構あるため、この動作について想定しておいた方がシアワセでしょう。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。



    2020年4月30日 3:18
    モデレータ
  • OUを使ったアクセス許可設定が施されたリソース

    チャブーンさんが「よく分からない」と書かれているのは、OU はリソース(ファイル、フォルダー、プリンターなど)のアクセス権設定の単位としては利用できない(アクセス権設定の単位となるのはグループかユーザー)ので、「OUを使ったアクセス許可設定」という表現が意味をなさないからです。

    OU ではなくグループの話なのでしょうか?


    Hebikuzure aka Murachi Akira

    2020年4月30日 9:24
  • フォーラムにご投稿くださいましてありがとうございます。

    この後の状況はいかがでしょうか。

    同じ問題を持っている人々に役に立つために参考になった投稿には「回答としてマーク」をご設定ください

    ご不明な点がございましたら、お気軽にお問い合わせください

     

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2020年5月4日 6:07
    モデレータ