none
Logonフォルダにアクセスできない RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    GPOの設定を行っております。

    ユーザーのログオンスクリプトを登録したいのですが、logonフォルダへのアクセス権がなく、スクリプトの登録ができません。

    どのような権限設定が必要なのでしょうか。

    よろしくお願いいたします。

    ADにログインしているユーザーアカウントには、下記の権限を与えています。

    ・Administrators:domain/Builtin

    ・Domain Admins:domein/Users

    ・Enterprise Admins:domain/Users

    ・Schema Admins:domain/Users

    プライマリグループ:Domain Admins

    2013年2月14日 10:41
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    > コンピュータAdministrator(ビルトインAdministrator?)であれば、問題なく動作することは確認出来ています。

    であれば、やはりUACの問題である可能性が高いです。基本的にビルトインAdministratorでの実行をお奨めしますが、どうしても他の管理者アカウントで実行したいなら、ポリシー[ユーザー アカウント制御: 管理者承認モードを有効にする]を無効に設定するしかないでしょう。「ビルトインAdministratorアカウントと完全に同じ動作をする」別の管理者ユーザを個別に作成することはできませんので、ご注意ください。

    • 回答としてマーク UltraKatan 2013年3月13日 1:10
    2013年3月7日 2:52
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票
    少し古い@ITの資料ですが、
    グループ・ポリシーを使って、コンピュータの終了時にコマンドを実行する

    AD環境では、GPOにてログオンスクリプトを設定しますので、
    [ユーザーの構成]-[Windows の設定] にスクリプトファイルが存在するディレクトリ(任意のディレクトリでOK)を開いてから、スクリプトファイルをダブルクリックして指定し、「スクリプトの追加」ダイアログホックスで「スクリプト名」と「スクリプトのパラメータ」を指定するとあるので、そのスクリプトファイルが存在するディレクトリにアクセス権があるか、また、ログオンスクリプトを実行するユーザーがそのOU(組織単位)にまとめられ、そのOUに実行すべきログオンスクリプトを作成したGPOがリンクされているか。
    以上に問題なければそのスクリプト自体の構文、パラメータに問題がある可能性もあると思います。
    ログオンスクリプトを実行するユーザーを指定して、「ファイルル名を指定して実行」⇒「rsop.msc」と叩いてみるか、コマンドプロンプトで >gpresult /rと叩いてそのポリシーの適用状況を調べてみてください。
     

    試験問題作成委員会(http://shikenmondai.blog.shinobi.jp/)




    2013年2月16日 7:34
    |
  • Question
    サインインして投票
    0
    サインインして投票

    ログオンスクリプトのフォルダにアクセス出来ないのは、ドメインに参加しているコンピュータではなく、ドメインコントローラ本体です。

    ドメインコントローラからGPOの設定を行いたいのですが、Logonフォルダにアクセス権がないらしく、スクリプトの登録(Logonフォルダへのコピー)が出来ません。

    上記アクセス権をドメインコントローラに設定したのですが、改善はありません。

    Logonフォルダ(GPOフォルダ?)へのアクセス権を得るには、ドメインコントローラ本体にどのような権限を与えればよろしいのでしょうか。

    よろしくお願いいたします。

    2013年2月18日 5:56
    |
  • Question
    サインインして投票
    0
    サインインして投票
    考えられることとして

    1.ドメインコントローラ本体がログオンスクリプトを保存しているフォルダにアクセスできないのではなく、ドメインコントローラにログオンしたユーザーにログオンスクリプトを保存しているフォルダに読み取りと実行、フォルダーの内容の一覧表示、読み取り以上のアクセス権がありますか。
    http://technet.microsoft.com/ja-jp/library/cc754344.aspx

    <補足>
    ドメインでアクセス権の設計をする際は、シングルドメインなら「A-G-DL-P」が基本。
    ・Aはアカウント
    ・Gはグローバルグループ
    ・DLはドメインローカルグループ
    ・Pはパーミッション

    (過去ログ)
    http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/4b6728cd-dff4-4570-9450-a5df5536eb65/
    (抜粋)
    スクリプトの保存場所は別Disk・別ドライブの任意の場所でも構わない

    2.GPOはドメインコントローラで作成するので、ドメインコントローラ自体がログオンスクリプトを保存しているフォルダにアクセスできないのではなく、ドメインコントローラにログオンしたユーザーが権限の不足でGPOの作成が拒否されている。
    (Group Policy Creator Owners、Domain Admins等[に所属している]の管理権限がありますか。)
    既定のグループ    グループ ポリシー オブジェクトをリンクする   ドメイン コントローラーにスクリプトをセットアップする   ユーザー ログオン スクリプトを割り当てる 

    Netlogon 共有フォルダーに保存しているのであれば、GPO を編集する権限のセキュリティグループに所属していれば、  
    [参照] をクリックして、ドメイン コントローラーの Netlogon 共有フォルダーにあるスクリプトファイルを検索すれば、スクリプトファイルが表示されると思います。

    試験問題作成委員会(http://shikenmondai.blog.shinobi.jp/)





    2013年2月18日 7:04
    |
  • Question
    サインインして投票
    0
    サインインして投票

    スタートアップフォルダのセキュリティを確認したところ、

    Domain AdminsとEnterprise Adminsがこのフォルダに対してフルコントロールの権限を持っていることを確認しました。

    また、gpresult /r で確認したところ、ログインしたアカウントにはDomain AdminsとEnterprise Adminsの権限を持ち合わせていることを確認致しました。

    それでも、GPOからスクリプトを登録できないのは何故でしょうか。

    2013年2月27日 5:42
    |
  • Question
    サインインして投票
    0
    サインインして投票

    スクリプトを保存したフォルダにNTFSアクセス権、共有アクセス権とも読み取り(と実行)以上のアクセス権がありますか。再度、そのスクリプトファイルを(削除して)上書き保存することも、試してみられましたか。
    http://technet.microsoft.com/ja-jp/library/cc754178%28v=ws.10%29.aspx

    スクリプトファイルを保存したフォルダを、「Administrators」が所有権を取ってみられましたか。
    [このオブジェクトの親からの継承可能なアクセス許可を含める] ←親ドライブ・フォルダからアクセス権を継承しても問題なければ、ここにチェックを入れてみる。
    [子オブジェクトのアクセス許可すべてを、このオブジェクトからの継承可能なアクセス許可で置き換える]←ダメならここにもチェックを入れ子オブジェクトにも継承させる)
    ファイルまたはフォルダーの所有権を取得する
    特殊なアクセス許可を設定、表示、変更、または削除する
    ファイルやフォルダのアクセス権をリセットして親フォルダから継承させる

    他には、スクリプトを保存したファイルサーバーは同じドメイン内にありますか。(ワークグループにあるとユーザー名・パスワードを求められます。)スクリプトを保存したファイルサーバーのネッワークの設定(固定IPにしている場合は特に確認が必要)を、>ipconfig /all , >nslooup などのコマンドでネットワークの設定(TCP/IP構成、DNSサフィックスなど)、名前解決などに問題がないかなど調べてみる。
    ファイルサーバーが古いWin 2000 ServerだとSP4を当てるなどのセキュリティ対策を施していないとアクセスできないという情報も過去にありました。

    「ドメイン コントローラー(Netlogon共有)にスクリプトをセットアップする」場合は以下
    http://technet.microsoft.com/ja-jp/library/cc732335.aspx

    以下に該当しそうな心当たりあれば、こちらの無償掲示版は有志による情報交換程度の場と思いますのでMSの有償サポートなどへ。

    ドメイン管理者としてポリシーを開こうとした場合のエラー メッセージ "グループ ポリシー オブジェクトを開くことができませんでした"
    文書番号: 294257

    まさかとは思いますが、操作マスタ(PDCエミュ)が停止(または、NW障害等のため通信できない)していることはないでしょうか。

    dcdiag /test:fsmocheck コマンド
    http://itpro.nikkeibp.co.jp/article/COLUMN/20061213/256687/

    DNSのテスト→http://technet.microsoft.com/ja-jp/library/cc731968%28v=ws.10%29.aspx
    dcdiag /v /e /TEST:DNS コマンドなど。

    DC間の複製の確認→http://itpro.nikkeibp.co.jp/bn/mokuji.jsp?OFFSET=0&MAXCNT=20&TOP_ID=230506
    repadmin /showrepl コマンドなど。

    ※別の方がお答えされた件につきましては、Web検索(Google検索など)で「Administratorsに属するユーザーが、Administratorsにアクセス権のあるフォルダにアクセスできない」などのキーワードで検索すると対処方法がでてきます。

    試験問題作成委員会(http://shikenmondai.blog.shinobi.jp/)










    2013年2月27日 10:19
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    この件ですが、UACが関係しているのではないでしょうか?

    切り分けとして、ビルトインAdministratorでグループポリシー管理ツールを実行するか、一時的にUACを無効にして該当アカウントを試してみてください。

    ちなみに、そのアカウントで管理ツールを実行時には「管理者として実行」を行っていますか?

    • 回答の候補に設定 星 睦美 2013年3月1日 0:30
    2013年2月27日 23:59
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    回答ありがとうございます。

    グループポリシー管理ツールを管理者として実行しましたが、現象に改善はありませんでした。

    コンピュータAdministrator(ビルトインAdministrator?)であれば、問題なく動作することは確認出来ています。

    取り急ぎ、報告まで。

    2013年3月7日 0:52
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    > コンピュータAdministrator(ビルトインAdministrator?)であれば、問題なく動作することは確認出来ています。

    であれば、やはりUACの問題である可能性が高いです。基本的にビルトインAdministratorでの実行をお奨めしますが、どうしても他の管理者アカウントで実行したいなら、ポリシー[ユーザー アカウント制御: 管理者承認モードを有効にする]を無効に設定するしかないでしょう。「ビルトインAdministratorアカウントと完全に同じ動作をする」別の管理者ユーザを個別に作成することはできませんので、ご注意ください。

    • 回答としてマーク UltraKatan 2013年3月13日 1:10
    2013年3月7日 2:52
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票
    チャブーンさん、ありがとうございました。
    2013年3月13日 1:11
    |