none
グループポリシーでクライアントマシンの一部のOUのシステム時刻を有効にしたい RRS feed

  • 質問

  • Server:WindowsServer2008R2
    Client:Windows7Professional

    Clientはユーザ権限で使用しております。
    時刻変更をしようとしますと

    「日付と時刻
    続行できません

    このたすくを実行するためのアクセス許可がありません。
    このコンピュータの管理者に問い合わせてください。


    (1)グループポリシーでクライアントマシンの一部のOUのシステム時刻を有効にしたいと 
    思っております。 
    どのグループポリシオブジェクトの設定で
    実現可能でしょうか。ユーザとPCは1対1で使用(移動プロファイルは使用していません)しておりますので、コンピュータの構成でもユーザの構成どちらも
    かまいません。

    (2)また(1)で、システム時刻を有効にしたPCがPCをログオフまたは
    再起動した際に強制的に正規の時刻にあわせたいと考えております。

    (2)も可能であればグループポリシで制御したいと思いますが可能でしょうか。
    2015年2月2日 14:26

回答

  • チャブーンです。

    gpresultについて、「Default Domain Policy」が「空」となっていますが、この表示は「ポリシーに何も設定されていない(全部が空欄)」だからフィルターされた、という意味になります。実際にはコンピュータ設定にパスワードポリシーが適用されているため、この結果は「ユーザー設定」の状態を表していると、理解できます(Defalrt Domain Policyや新設したポリシーにはユーザー設定のポリシーはありません)。

    おそらくこれしか表示されなかった、ということだと思いますが、コンピュータ設定のポリシー結果を見るためには、コンピュータの「ローカル管理者権限」を持つユーザーでコマンドプロンプトを実行する必要があります。

    簡単に確認するなら、ドメインAdministratorでログオンして実行すればOKですし、できない場合は該当ユーザーに一時的にローカル管理者権限を与えて、細ログオンのうえ実行してみてください。コンピュータ構成の設定なので、該当ユーザで必ずしもログオンしなくても、設定項目に変わりはありません。(非表示の)制限ユーザーでログオンしても、同じように内容は反映されていますので。

    • 回答としてマーク 佐伯玲 2015年2月10日 1:31
    2015年2月3日 14:02
    モデレータ
  • チャブーンです。

    制限ユーザーに時刻変更の権限を与えるためには、「システム時刻の変更」権利のポリシーに名前(あるいはグループ)を追加し、コンピュータに適用するようグループポリシーを構成します。

    https://msdn.microsoft.com/ja-jp/library/cc786461(v=ws.10).aspx

    時刻を手動で変更した場合ですが、ドメインに参加したクライアントであれば(関連レジストリをいじっていなければ)、再起動または17分程度ごとに時刻が変更されますので、追加の設定はいりません。

    • 回答としてマーク 佐伯玲 2015年2月10日 1:31
    2015年2月3日 4:07
    モデレータ
  • チャブーンです。

    まず、先の投稿でもコメントしましたが、「gpresult実行結果でGPOが表示されていない」から、そのユーザでは適用されない、ということはありません。この件では、グループポリシーの設定が誤っているので、本来のユーザに適用されず、動作に反映していないのでしょう。

    「KAZU\WINDOWS7_32$」ですが、コンピュータオブジェクトを指定したのでしょうか?であればですが、権限にコンピュータを指定する必要はありません。

    単に、以下のGPO設定を行ったうえ、クライアントを再起動させてください。(GPOは作り直した方がいいでしょう)

    1. システム時刻の変更で「これらのポリシーの設定を定義ずる」をON
    2. [ユーザーまたはグループの追加]ボタンをクリック
    3. [ユーザーとグループ名]欄にUsersと文字を入力(参照ボタンをクリックしない)

    この設定でコンピュータのローカルグループ「Users」のメンバーが時刻変更をできるようになります。

    • 回答の候補に設定 佐伯玲 2015年2月5日 6:29
    • 回答としてマーク 佐伯玲 2015年2月10日 1:31
    2015年2月4日 4:32
    モデレータ

すべての返信

  • チャブーンです。

    制限ユーザーに時刻変更の権限を与えるためには、「システム時刻の変更」権利のポリシーに名前(あるいはグループ)を追加し、コンピュータに適用するようグループポリシーを構成します。

    https://msdn.microsoft.com/ja-jp/library/cc786461(v=ws.10).aspx

    時刻を手動で変更した場合ですが、ドメインに参加したクライアントであれば(関連レジストリをいじっていなければ)、再起動または17分程度ごとに時刻が変更されますので、追加の設定はいりません。

    • 回答としてマーク 佐伯玲 2015年2月10日 1:31
    2015年2月3日 4:07
    モデレータ
  • ご回答ありがとうございます。

    「システム時刻の変更」権利のポリシーに名前(あるいはグループ)を追加し、

    コンピュータに適用するようグループポリシーを構成しますを設定してgpupdate /forceで適用をかけてみるのですが

    変わりませんでした。

    gpresult /Zで適用状況を確認すると【フィルターで除外された】と表示されました。
    このフィルターの設定の解除方法もしくはフィルターに引っかからないようにするにはどうすればよいのでしょうか?

    以下のメッセージが表示されてしまいました。

    「ChangeTime」が今回のGPOとなります。

        次の GPO はフィルターで除外されたため適用されませんでした。
        ------------------------------------------------------------
            Default Domain Policy
                フィルター: 未適用 (空)

            ローカル グループ ポリシー
                フィルター: 未適用 (空)

            ChangeTime
                フィルター: 未適用 (空)

        ユーザーは次のセキュリティ グループの一部です
        ---------------------------------------------

    よろしくお願いします。


    2015年2月3日 13:05
  • チャブーンです。

    gpresultについて、「Default Domain Policy」が「空」となっていますが、この表示は「ポリシーに何も設定されていない(全部が空欄)」だからフィルターされた、という意味になります。実際にはコンピュータ設定にパスワードポリシーが適用されているため、この結果は「ユーザー設定」の状態を表していると、理解できます(Defalrt Domain Policyや新設したポリシーにはユーザー設定のポリシーはありません)。

    おそらくこれしか表示されなかった、ということだと思いますが、コンピュータ設定のポリシー結果を見るためには、コンピュータの「ローカル管理者権限」を持つユーザーでコマンドプロンプトを実行する必要があります。

    簡単に確認するなら、ドメインAdministratorでログオンして実行すればOKですし、できない場合は該当ユーザーに一時的にローカル管理者権限を与えて、細ログオンのうえ実行してみてください。コンピュータ構成の設定なので、該当ユーザで必ずしもログオンしなくても、設定項目に変わりはありません。(非表示の)制限ユーザーでログオンしても、同じように内容は反映されていますので。

    • 回答としてマーク 佐伯玲 2015年2月10日 1:31
    2015年2月3日 14:02
    モデレータ
  • チャブーン様

    早速のご回答恐れ入れいます。

    ローカル管理者へユーザ切り替えを行った後

    gpupdate /zを行った結果、おっしゃるとおり

    以下の設定でGPOが適用されていることが

    わかりました。

         ユーザーの権利
         --------------
             GPO: ChangeTime
                 ポリシー:          SystemtimePrivilege
                 コンピューター設定:  KAZU\WINDOWS7_32$
                                    Users

             GPO: ChangeTime
                 ポリシー:          SystemtimePrivilege
                 コンピューター設定:  KAZU\WINDOWS7_32$
                                    Users

    もちろん、このローカル管理者ですと、時刻の変更は

    可能でございます。

    ただ、実現したいことは上記でいうKAZUドメインの

    Users権限であるユーザで時刻変更をしたいと思っております。

    これが実現できておりません。

    度重なる質問でお手数おかけいたしますが

    よろしくお願いします。

    2015年2月3日 14:28
  • チャブーンです。

    まず、先の投稿でもコメントしましたが、「gpresult実行結果でGPOが表示されていない」から、そのユーザでは適用されない、ということはありません。この件では、グループポリシーの設定が誤っているので、本来のユーザに適用されず、動作に反映していないのでしょう。

    「KAZU\WINDOWS7_32$」ですが、コンピュータオブジェクトを指定したのでしょうか?であればですが、権限にコンピュータを指定する必要はありません。

    単に、以下のGPO設定を行ったうえ、クライアントを再起動させてください。(GPOは作り直した方がいいでしょう)

    1. システム時刻の変更で「これらのポリシーの設定を定義ずる」をON
    2. [ユーザーまたはグループの追加]ボタンをクリック
    3. [ユーザーとグループ名]欄にUsersと文字を入力(参照ボタンをクリックしない)

    この設定でコンピュータのローカルグループ「Users」のメンバーが時刻変更をできるようになります。

    • 回答の候補に設定 佐伯玲 2015年2月5日 6:29
    • 回答としてマーク 佐伯玲 2015年2月10日 1:31
    2015年2月4日 4:32
    モデレータ
  • チャブーン様

    大変お世話になっております。

    ご連絡が大変遅くなってしまい

    申し訳ございません。

    クライアントのPCを再起動することによって

    時間を変更することができました。

    また、PCを再起動することによって強制的にADの時間と

    同期されましたので、要件をすべて満たせました。

    このたびは手取り足取りご指導ありがとうございました。


    2015年2月9日 13:45