none
ユーザーグループポリシーループバックの統合時のログオン・ログオフスクリプトのポリシーの反映が逆になる RRS feed

  • 質問

  • AD:Windows2012R2
    クライアント:Windows2012R2

    現在、ユーザーに対し一律でログオン・ログオフスクリプトをグループポリシーにて設定し、特定のコンピュータにログオンした場合はログオンスクリプトのみ別のスクリプトを実行するという方針でOU・グループポリシーの設定の検証を行っています。

    検証している内容は以下の通りです。

    OU1→テストユーザー(UserA)を配置
    OU1にリンクしたGPO(GPO1)
     →ユーザーの構成\Windows の設定\スクリプト\ログオン:LOGONBAT1.bat
     →ユーザーの構成\Windows の設定\スクリプト\ログオフ:LOGOFFBAT1.bat
    OU2→テストコンピュータ(ServerA)を配置
    OU2にリンクしたGPO(GPO2)
     →コンピュータの構成\管理用テンプレート\システム\グループ ポリシー\ユーザー グループ ポリシー ループバックの処理モード:有効(モード:統合)
     →ユーザーの構成\Windows の設定\スクリプト\ログオン:LOGONBAT2.bat

    上記状態で、ServerAにUserAでログオンした場合

    ログオンスクリプト → LOGONBAT2.bat
    ログオフスクリプト → LOGOFFBAT1.bat

    となると想定していたのですが、結果は

    ログオンスクリプト → LOGONBAT1.bat
    ログオフスクリプト → LOGOFFBAT1.bat

    という結果でした。

    ユーザー グループ ポリシー ループバックの処理モードを「置換」にした場合は、

    ログオンスクリプト → LOGONBAT2.bat
    ログオフスクリプト → なし

    となり、正常に動作しているように思えるのですが、「統合」にした場合は本来コンピュータオブジェクトに適用されたGPOが優先されるべきなのに、
    ユーザーオブジェクトに適用されたGPOが優先されているように見えます。
    しかし、ログオン・ログオフスクリプト以外のグループポリシーの設定では、正常にコンピュータオブジェクトに適用されたGPOが優先された動作も確認でき、
    この動作をどう理解してよいのか困っております。

    何かこの事象についてわかる方がいましたら教えてください。

    2015年11月11日 7:57

回答

  • チャブーンです。

    この件ですが、結論からいうと、「ループバック処理の統合」処理では、ログオンスクリプト類に限っては取捨選択をしない仕様だから、ということだと思います。

    おっしゃるような構成で「gpresult /h <ファイル名>」でhtml出力してみると、GPO1とGPO2の両ログオンスクリプトが「優勢なGPO」として登録されていることがわかると思います。GPO内容の統合時に、ログオンスクリプトも統合されますが、スクリプトの内容は任意であるため内容の統合はできません。そのため、全スクリプトを実行する、という内容になっていると思います。実際に簡単に試したところ、両GPOのログオンスクリプトは、両方実行されました。

    おっしゃる結果はおそらく「gpresult /z」等コマンドレベルで取得したと思いますが、コマンドの場合「優勢なGPOが複数」をインターフェースが想定していないため、対象のうち最初に表示されたものだけ、出力されたのでしょう。(htmlベースの)gpresult /hで表示されるもののうち、最上位のものだけが表示されているはずですから。

    「ループバック処理の置換」処理では、ユーザGPO一覧設定はすべて置き換えられるため、ログオンスクリプトも対象のGPOしか残りません。

    こういった動作の差異がある、という理解です。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答の候補に設定 佐伯玲 2015年11月16日 0:27
    • 回答としてマーク 佐伯玲 2015年11月24日 6:34
    2015年11月13日 8:40
    モデレータ

すべての返信

  • チャブーンです。

    この件ですが、結論からいうと、「ループバック処理の統合」処理では、ログオンスクリプト類に限っては取捨選択をしない仕様だから、ということだと思います。

    おっしゃるような構成で「gpresult /h <ファイル名>」でhtml出力してみると、GPO1とGPO2の両ログオンスクリプトが「優勢なGPO」として登録されていることがわかると思います。GPO内容の統合時に、ログオンスクリプトも統合されますが、スクリプトの内容は任意であるため内容の統合はできません。そのため、全スクリプトを実行する、という内容になっていると思います。実際に簡単に試したところ、両GPOのログオンスクリプトは、両方実行されました。

    おっしゃる結果はおそらく「gpresult /z」等コマンドレベルで取得したと思いますが、コマンドの場合「優勢なGPOが複数」をインターフェースが想定していないため、対象のうち最初に表示されたものだけ、出力されたのでしょう。(htmlベースの)gpresult /hで表示されるもののうち、最上位のものだけが表示されているはずですから。

    「ループバック処理の置換」処理では、ユーザGPO一覧設定はすべて置き換えられるため、ログオンスクリプトも対象のGPOしか残りません。

    こういった動作の差異がある、という理解です。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答の候補に設定 佐伯玲 2015年11月16日 0:27
    • 回答としてマーク 佐伯玲 2015年11月24日 6:34
    2015年11月13日 8:40
    モデレータ
  • こんにちは、ばっちょろげ さん
    フォーラムオペレータの佐伯 玲 です。

    チャブーンさんからの返信はご覧いただけておりますでしょうか?
    ご質問に関してご参考になる回答がいただけているかと思いますので私のほうから「回答としてマーク」とさせていただきました。

    フォーラムでご質問後は情報が寄せられていないか定期的にご確認くださいね。


    宜しくお願い致します。

    TechNet Community Support 佐伯 玲

    2015年11月24日 6:34
  • チャブーンさん

    ご回答ありがとうございました。
    私の環境でも同様の動きとなりました。

    gpresultの結果が複数のログオンスクリプトを想定していないだけで、検証を行ったところ二つのログオンスクリプトが実行されていることを確認できました。

    ありがとうございました。

    2015年11月26日 12:07