none
gpresult /rで出力される「ユーザーは次のセキュリティ グループの一部です」の一覧が更新されない RRS feed

  • 質問

  • Windows10 1909の端末に対してGroupAを対象にセキュリティフィルターを設定したユーザー向けグループポリシーを適用しています。GroupAというセキュリティグループにUser_1をメンバーに登録し、端末にUser_1でログインし、gpupdate /forceを実行後、gpresult /rの出力結果の「ユーザーは次のセキュリティ グループの一部です」の一覧にGroupAが表示されず、グループポリシーが拒否(セキュリティ)となってしまいます。

    共有フォルダに当該GroupAを設定すると正しくアクセスできるようになる為、メンバーに登録されていないということはありませんし、再起動も行っております。

    また、該当の端末を一度ドメインからワークグループに変更し、再度ドメイン参加するとGroupAが表示されることから通常時グループポリシーで参照するセキュリティグループ一覧のみが更新されない状況になっているように思えます。

    ADサーバーとクライアント間にはFWはありませんので、通信が遮断されていることも考えられないのですが、対処方法をご存じの方がいらっしゃればご教授頂きたく、宜しくお願い致します。

    2020年9月11日 2:57

回答

すべての返信

  • チャブーンです。

    この件ですが、再起動してもグループポリシーが反映されない、ということなら、不具合か設定ミスの可能性が高いです。

    • セキュアチャネルの破損
      ドメイン再参加で治る、ということなら、セキュアチャネルの破損が影響を与えている可能性が高いです。クライアントで起動時のイベントログをチェックし、セキュアチャネルの破損がないか確認してください。破損がある場合、設定の確認をする必要がありますが、クライアントの参照先DNSサーバーがドメインコントローラー以外(ISPやルーターDNS等)だと、ドメイン認識ができず問題が発生する可能性があります。
    • ドメインコントローラーの問題
      複数のドメインコントローラーでグループポリシーの複製が失敗している場合、ログオンするドメインコントローラーによって結果が変わるので問題が起こる可能性があります。ドメインコントローラーのグループポリシー複製(SYSVOL等)に問題が起こっていないか、確認する必要があります。
    • グループポリシーの設定自体の問題
      ユーザー権限でセキュリティフィルターを行うグループポリシーの場合、最低限「Domain Computers」グループのグループポリシー読み取り権限が追加で必要です。以前は不要でしたがセキュリティ上の措置で今は必要です。この権限を加えていないと、ポリシーの読み取りに失敗し適用されませんので、必ず対応する必要があります。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2020年9月13日 6:16
  • フォーラムにご投稿くださいましてありがとうございます

    この後の状況はいかがでしょうか。

    同じ問題を持っている人々に役に立つために、参考になった投稿には「回答としてマーク」をご設定ください。

    今後ご不明な点がございましたら、お気軽にお問い合わせください

    FAN


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2020年9月14日 6:56
    モデレータ
  • ご回答ありがとうございます、また、確認が遅くなり申し訳ありません。

    >セキュアチャネルの破損

    PowerShellを管理者権限で起動し、Test-ComputerSecureChannelを実行するとTrueが出力されます。イベントログを確認しても該当のログ(Netlogon 3210)は確認できませんでした。

    >クライアントの参照先DNSサーバーがドメインコントローラー以外(ISPやルーターDNS等)だと、
    >ドメイン認識ができず問題が発生する可能性があります。

    現在DNSはADとは別のDNSを参照しています。
    設定をADのDNSを参照する様に変更して再起動等しても状態は変わりませんでした。

    >ドメインコントローラーの問題
     
    ドメインコントローラーでrepadmin /showreplを実行しましたが、全て正常と出力されました。
    repadmin /syncall 、 repadmin /syncall /P で複製を実行しても正常に完了します。

    >グループポリシーの設定自体の問題

    グループポリシーの管理画面にて、該当ポリシーの委任タブにてDomain ComputersとAuthenticated Usersを追加しております。

    上記の通りですが、その他確認すべき点等ございましたらご指摘をお願い致します。



    • 編集済み koko5555 2020年9月14日 23:39
    2020年9月14日 23:38
  • チャブーンです。

    現在DNSはADとは別のDNSを参照しています。
    設定をADのDNSを参照する様に変更して再起動等しても状態は変わりませんでした。

    セキュアチャネルはいったん壊れると、元に戻すにはドメイン再参加しかありません。ですから、事前予防として、以下の作業をすることになります。

    1. クライアントの参照先DNSサーバーを適切に修正
    2. ドメイン再参加→事象が解消することを確認
    3. そのまま使い続けて、問題が再発しないことを確認

    ちなみに、うえのケースはドメインコントローラー自身にも同じことがいえます。参照先はドメインコントローラーのDNSサーバーのみとし、外部DNSはフォワーダーで設定してください。

    この手の問題の原因と解決方法については、以下の過去ログを参照してください。

    https://social.technet.microsoft.com/Forums/ja-JP/6809f680-28c2-4ff1-93cd-0b6db60e4828?WT.mc_id=EM-MVP-8322


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2020年9月15日 2:48