お世話になります。
一部のユーザーにのみ適用させたい設定があり、
専用のGPOを作成しドメインにリンクしています。
GPOの設定:
[コンピュータの構成]-[ポリシー]-[管理用テンプレート]-[ネットワーク]-[DNSクライアント]-[DNSサフィックス検索一覧]
これのみですが、同じ項目をDefault Domain Policyでも構成しています(値は自ドメイン名と別のドメイン名)。
作成したGPOでは、これに加えもう1つ別のドメイン名を末尾に定義しています。
ドメインに対するリンクの順序はDefault Domain Policy が1、作成したGPOが5(2~4は別項目用に以前から存在するGPO)です。
機能レベルはWindows Server 2012です。
マルチフォレスト(双方向の信頼)ですが、各フォレストにドメインは1つずつです。
クライアントはまちまちですがWindows7以降です。事象はバージョンに限りません。
このGPOのセキュリティ フィルターとして自ドメインのセキュリティ グループ(グローバル)を1つ追加し、Authenticated Usersを削除しています。
この状況で、グループのメンバでログインしても、gpresult /r の結果に
適用されたGPOの一覧に作成したGPOが入っていません。上記1~4のGPOは入っています。
また、「ユーザーは次のセキュリティ グループの一部です」の中に
フィルタに追加したグループ名が出てきていません。
(net group /domain <グループ名>の結果には含まれていました)
実際、ipconfig /all の結果からも、DNSサフィックス検索一覧は
Default Domain Policy で構成した値のみで、作成したGPOで追加しているもう1つのドメイン名が入りません。
(本設定の目的は、別ドメインに属するサーバーにホスト名のみでアクセスできるようにすることです)
ドメインコントローラーは複数台ありますが、時間が経っても変わりませんし
gpupdate /force, OS再起動などは試していますので
複製されていない、というオチではなさそうです。
WMIフィルタに切り替えれば済む話かもしれないのですが、
できない理由が分からず気持ち悪いので、どなたかご教示いただけないかと思い
ご相談させていただきました。
よろしくお願いいたします。
