none
ドメインユーザーの所属グループ変更について RRS feed

  • 質問

  • ドメインユーザーの所属グループを変更した際に、フォルダーリダイレクトをしているデスクトップが、正常に同期しない現象が発生しました。(クライアントを再起動しても改善しませんでした。)

    対処として、オフラインデータの削除をして、再同期を実施して正常な状態に戻ったのですが、毎回同じ作業をするのは現実的ではないと思います。

    本事象が発生した環境と状態は、以下の通りです。

     <環境> ADサーバー:Windows Server 2012 R2(機能レベル:2012 R2)
          クライアント:Windows 7 Pro

     <状況> クライアント(ユーザー)がログインしている状態でグループ変更を実施

    ADサーバーが2008 R2(機能レベル:2000)の時には、ログインした状態での変更でも問題が発生した事はなかったのですが…

    そもそも、所属グループ変更は、そのユーザーがログインしていない状態で行うべき作業なのでしょうか?
    そうしていれば、今回のような事象は発生しないのでしょうか?

    2017年6月8日 7:50

回答

  • チャブーンです。

    私が念のため確認させていただいた意図は、一貫して質問者さんがどのような操作をもって「グループの変更」とおっしゃっているのか、わからなかったからです。通常想定されていない操作が質問者さん側での「ふつう」だった場合、それなりの対応が必要となるからです。いつもやっている話しではない、ということでしたら、私の方では「ユーザのOU異動」には拘泥しませんし、必要とも考えていません。

    この件ですが、大原則として、お客様先?の環境をきちんと把握されることが必要です。ふつうにないことが起こっているということは、ふつうにはない設定が行われている可能性があるからです。

    ですから、

    • 問題が起こったクライアントのイベントログで、ログオン失敗時にどんなエラーが出ているのか、把握してください
    • クライアント(ユーザ)に適用されたグループポリシーがどのようなもので、どんな設定(セキュリティフィルター等)が施されているのか確認してください(Gpresult /hでとるとセキュリティフィルター等細かい情報もとれます)
    • 移動プロファイル?やフォルダリダイレクト?の正常動作の根拠となる、リモートフォルダのアクセス許可がどうなっているのか、確認してください。

    先回りの発言であれば申し訳ありませんが、うえのような状況を把握し、ご自身で判断するには相応なスキルや経験が必要かと思います。経験豊かなエンジニアであれば、これらは問題解決の前提として、ご自身の責任で最初の段階で把握しているものですが、そうでない(他者からの指摘サポートが必要)というところですと、ご自身での解決が難しい可能性があります。

    こうした可能性に関して、コミュニティや回答するエンジニア個人で細かくサポートするにはムリがありますので、早い段階でMS有償サポートのご利用を検討いただいたほうが、スムーズに問題解決できるようにも思われます。申し訳ないですが、こちらもご検討ください。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2017年6月26日 3:07
    モデレータ

すべての返信

  • 追加情報です。
    以下の2点をテストしてみました。

    -----------------------------------------------------------------
    (1)クライアントがログインしていない状態でグループ変更

       ===> NG

    (2)OU変更

       ===> OK

      ※以下のような構成で、OUを変更(A部のA1課→B部のB1課)

          A部(OU) ─┬─ A1課(CN)
           │            │
           │            └─ A2課(CN)
           │
          B部(OU) ─┬─ B1課(CN)
                         │
                         └─ B2課(CN)

    -----------------------------------------------------------------

    今回のテスト結果から、同一OU内でのCN変更はNGで、OU間での移動はOKとなり、
    クライアントがログインしているかどうかは問題ではないと推測しました。

    しかし、現実的には、同一OU内でのCN変更は必要ですので、解決策があれば教えてください。

    2017年6月20日 0:28
  • チャブーンです。

    この件ですが、ご質問の内容として

    ドメインユーザーの所属グループを変更した際に、

    同一OU内でのCN変更はNGで、

    の状況がつながりません。端的にいうと何をされているのかわからない、ということです。ふつう「ドメインユーザーの所属グループを変更した」というなら、ユーザーのプロパティの「所属するグループ」の構成を変えた(何かのセキュリティグループをメンバー追加か削除した)という風に思うのですが、全く違うのでしょうか?


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2017年6月21日 1:46
    モデレータ
  • チャプーンさん、ありがとうございます。

    以下のような構成で、ユーザー「あいうえお」は、所属グループ「A1課」に登録されています。

          A部(OU) ─┬─ A1課(CN)
           │            │
           │            └─ A2課(CN)
           │
          B部(OU) ─┬─ B1課(CN)
                         │
                         └─ B2課(CN)

    ユーザー「あいうえお」の所属グループ変更をしたいのですが、

    A1課を外して、A2課を追加した場合は問題が発生し、
    A1課を外して、B1課またはB2課を追加した場合は問題が発生しないという事です。

    2017年6月21日 2:19
  • チャブーンです。

    フォルダーリダイレクトが所属グループによってできたりできなかったりする、ということは、根本的には発生しない、と理解しています。

    ですから、ここでは環境に問題があるのではないでしょうか。

    • フォルダーリダイレクト先の共有フォルダーのアクセス許可に問題がある(利用ユーザーと「SYSTEM」がフルコントロールでなければなりません)
    • グループポリシーの設定に「セキュリティフィルター」が行われいて、所属グループによって適用されるポリシーが変わってしまっている(グループを変更する前後でGPResultコマンドを実行し、それぞれの状況を確認する必要があります)

    それと、前から気になっているのですが、「ユーザーの所属グループ」とOUの構成は全く無関係です。ですから、OU構成+グループ名をわざわざ書かれる理由が今ひとつわかりません。念のため伺っておきますが、ユーザーの所属グループ変更、で実際にされているのは、ユーザーの(プロパティからの)グループ変更+ユーザーの所属OUも変更(対象OUに移動する)、ということを一緒にされていたりするのでしょうか。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2017年6月25日 5:31
    モデレータ
  • チャプーンさん、ありがとうございます。

    フォルダーリダイレクトが所属グループによってできたりできなかったりする、ということは、根本的には発生しない、と理解しています。

    については、私もそのように思っていますし、現に、新規ユーザーでは正常に出来ています。しかし、所属グループ変更時に機能しなくなる現象が発生している状況です。

    また、OU構成を記載している理由は、私自身、どこに問題があるのか推測すら出来ないので、実際にテストをした情報をそのまま記載したという事です。

    実際にしたい事は、2パターンあります。

    • グループ変更のみ
    • グループ変更 + 所属OU変更

    この件は、お客様先での現象で、今すぐにはご指摘の内容を確認できませんが、極力早く確認してきます。

    2017年6月26日 0:25
  • チャブーンです。

    私が念のため確認させていただいた意図は、一貫して質問者さんがどのような操作をもって「グループの変更」とおっしゃっているのか、わからなかったからです。通常想定されていない操作が質問者さん側での「ふつう」だった場合、それなりの対応が必要となるからです。いつもやっている話しではない、ということでしたら、私の方では「ユーザのOU異動」には拘泥しませんし、必要とも考えていません。

    この件ですが、大原則として、お客様先?の環境をきちんと把握されることが必要です。ふつうにないことが起こっているということは、ふつうにはない設定が行われている可能性があるからです。

    ですから、

    • 問題が起こったクライアントのイベントログで、ログオン失敗時にどんなエラーが出ているのか、把握してください
    • クライアント(ユーザ)に適用されたグループポリシーがどのようなもので、どんな設定(セキュリティフィルター等)が施されているのか確認してください(Gpresult /hでとるとセキュリティフィルター等細かい情報もとれます)
    • 移動プロファイル?やフォルダリダイレクト?の正常動作の根拠となる、リモートフォルダのアクセス許可がどうなっているのか、確認してください。

    先回りの発言であれば申し訳ありませんが、うえのような状況を把握し、ご自身で判断するには相応なスキルや経験が必要かと思います。経験豊かなエンジニアであれば、これらは問題解決の前提として、ご自身の責任で最初の段階で把握しているものですが、そうでない(他者からの指摘サポートが必要)というところですと、ご自身での解決が難しい可能性があります。

    こうした可能性に関して、コミュニティや回答するエンジニア個人で細かくサポートするにはムリがありますので、早い段階でMS有償サポートのご利用を検討いただいたほうが、スムーズに問題解決できるようにも思われます。申し訳ないですが、こちらもご検討ください。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2017年6月26日 3:07
    モデレータ