グループ ポリシーが期待どおりに適用されない場合は、本当にイライラすることがあります。単純なスコープの問題が原因の場合もあれば、小さな設定のせいですべてがうまくいかないこともあります。AD の初心者でもベテランでも、GPO アーキテクチャの細かい部分を理解しておくと非常に役立ちます。このガイドでは、スコープの構成ミス、セキュリティ フィルター、WMI フィルター、継承の問題など、GPO がマシンまたはユーザーでアクティブにならない一般的な理由について説明します。ほとんどすべては、リンク、アクセス許可、および処理順序を適切に確認することにかかっています。これは必ずしも明らかではなく、Windows では継承と適用の設定のためにさらに混乱を招くことがあります。とにかく、トラブルシューティングを行う場合、どこを確認すればよいかを知っておくことが戦いの半分です。特にリンクされた GPO とそのプロパティを確認する場合は、GPMC (グループ ポリシー管理コンソール) が役立ちます。
- GPOスコープの管理
- グループポリシーセキュリティフィルタリングを使用して選択したグループにGPOを適用する方法
- グループポリシー GPO WMI フィルタリング
- グループポリシーオブジェクトでユーザーまたはコンピュータの設定を無効にする
- グループポリシーの委任
- グループポリシーの継承と適用をブロックするリンク
- GPO スコープとポリシー処理順序 (LSDOU)
- 有効な GPO リンクの管理
- グループポリシーのループバック処理モードの説明
- グループポリシーモデル作成ウィザードを使用する
- グループポリシー設定のデバッグログを有効にする
- Windows クライアントに適用された GPO のトラブルシューティング
GPOスコープの管理
まず、基本から始めましょう。設定が適用されない場合は、リンクされたOUとそのスコープを確認してください。GPOは、コンピューターまたはユーザーオブジェクトを含むOUに直接リンクされているか、親OUにネストされている必要があります。例えば、GPOがOU=Salesにリンクされているが、適用したいオブジェクトがOU=Supportにある場合、SupportがSales内にあるか、GPOを親コンテナにリンクしていない限り、GPOは機能しません。
オブジェクトが適切なコンテナ内にあるかどうかを再確認してください(Active Directory ユーザーとコンピューター(dsa.msc)を使用) 。 「オブジェクト」タブでオブジェクトの位置を確認してください。また、GPOがそのOUにリンクされていること、継承によってブロックされていないこと、または無効化されていないことを確認してください。
ヒント:ネストされたOUはポリシーによって複雑になることがあります。状況が曖昧な場合は、GPOが正しいレベルに適用されていること、リンクが「強制」に設定されていないか、何らかの方法でブロックされていないかを確認してください。
グループポリシーセキュリティフィルタリングを使用して選択したグループにGPOを適用する方法
ほとんどの新しいGPOには、 Authenticated Users を含むデフォルトの権限が付属しています。つまり、権限を絞り込まない限り、すべてのユーザーがポリシーを利用できます。しかし、特定のセキュリティグループ(例えば、人事部や特定のユーザーグループ)にのみポリシーを適用したい場合もあるでしょう。そのためには、GPMC.msc内のGPOプロパティの「スコープ」タブに移動します。 「セキュリティフィルタリング」で、「Authenticated Users」を削除し(広範なアクセスが必要な場合はそのままにしておきます)、必要なグループ/コンピューターのみを追加します。
重要:対象オブジェクトが実際にそのグループのメンバーであることを確認してください。また、Authenticated Users を削除し、特定のグループが割り当てられていない場合、GPOは誰にも適用されないことに注意してください。設定によっては、特定のグループの権限がないとサイレントエラーが発生する可能性があるため、グループのメンバーシップを確認してください。
補足ですが、カスタムフィルターや拒否権限を使用している場合は、それらも確認してください。予期せずポリシーがブロックされる可能性があります。経験上、拒否権限はターゲットがポリシーを適用できなくなるまでは良いアイデアに思えるかもしれません。奇妙ですが、事実です。
グループポリシー GPO WMI フィルタリング
よりきめ細かな制御が必要な場合は、WMIフィルターを作成できます。これにより、「OSバージョンがWindows 10の場合のみ適用」や「ラップトップのみ」など、ハードウェアやOSの属性に基づいて適用対象を指定できます。非常に単純ではありませんが、GPO内でミニターゲティングシステムが必要な場合には非常に便利です。
まずはテストマシンでWMIフィルターをテストしてください。PowerShellを使って次のように実行します。
gwmi -Query ‘select * from Win32_OperatingSystem where Version like "10.%" and ProductType="1"’
このクエリは、コンピューターがフィルターに一致するかどうかを判断します。結果が返された場合は、WMIフィルターが適用されます。結果が返されなかった場合は、スキップされます。設定によっては、WMIクエリが不安定になる場合がありますので、構文とスコープを再確認してください。
グループポリシーオブジェクトでユーザーまたはコンピュータの設定を無効にする
場合によっては、ユーザー設定のみ、またはコンピューター設定のみを適用し、もう一方を無効にしたい場合があります。少し奇妙に思えますが、各GPOには「コンピューターの構成」と「ユーザーの構成」の両方のセクションがあります。どちらか一方が不要な場合は、GPMCで「詳細」タブに移動し、GPOの状態を「すべての設定が無効」に設定して無効にするか、ユーザー設定またはコンピューター設定のいずれかを明示的に無効にしてください。これにより、処理時間が短縮され、意図しないルールが適用されるのを防ぐことができます。
注意: チェックされていない場合、Windows では無効なセクションの設定が適用されることがあるため、GPMCを使用して実際に実行されているかどうかを確認してください。
グループポリシーの委任
権限は重要です。GPOの編集やリンクができない場合は、委任に問題がある可能性があります。GPMCの「委任」タブを確認してください。このタブでは、GPOを管理できるユーザーと、ポリシーの編集、リンク、読み取り権限の有無を管理できます。
ちょっとした実用的なヒント:GPOを変更できないという報告があった場合、通常は権限が不足しているか、明示的に拒否されている可能性があります。ここでの権限はSYSVOLフォルダの権限にも反映されるため、異常な動作が見られる場合は、NTFS権限も確認してください。
グループポリシーの継承と適用をブロックするリンク
継承は複雑になる部分です。デフォルトでは、子OUは親コンテナからポリシーを継承します。しかし、 GPMCでOUを右クリックし、 「継承をブロック」を選択すると、親ポリシーの継承がブロックされます。青い感嘆符は、継承がブロックされていることを示します。
ただし、上位レベルの有効化されたポリシーは、 「Enforced」とマークされていれば適用できます。これらのポリシーはブロックを無視します。そのため、GPOが適用されない理由がわからない場合は、継承がブロックされていないか、上位レベルのポリシーが適用でロックされているかどうかを確認してください。場合によっては、最も簡単なスコープの修正で解決できることもあります。
GPO スコープとポリシー処理順序 (LSDOU)
設定が適用されている、または適用されていない理由を理解したい場合は、GPOの処理順序を覚えておいてください。Local 、Site、Domain、OUの順です。競合が発生した場合は、最後に適用された設定が優先されます。GPMCを使用してこの順序を変更できます。リンクされたGPOリストでGPOを上下に移動するだけです。
したがって、設定が上書きされている場合は、その位置と、Enforcedに設定されているかどうかを確認してください。
有効な GPO リンクの管理
リンクされたGPOは、削除せずに一時的に無効にすることができます。 「リンクを有効化」に切り替えるだけです。アイコンが灰色に変わります。これは、テストやトラブルシューティングを行う際に便利です。リンクを無効にしてもGPOは削除されないので、後で簡単に再有効化できます。
グループポリシーのループバック処理モードの説明
ユーザー設定がコンピュータのOUに適用されない場合は、ループバック処理を有効にする必要があるかもしれません。「コンピュータの構成」→「管理用テンプレート」→「システム」→「グループポリシー」で有効にし、 「ユーザーグループポリシーのループバック処理モードを構成する」を探してください。これは、ユーザーではなくコンピュータの場所に基づいてユーザーポリシーを決定する必要があるターミナルサーバーや共有ワークステーションで特に便利です。
モードは、マージ(ユーザー ポリシーとコンピュータ ポリシーを組み合わせる – ユーザー ポリシーは上書きまたは上書き可能) と置換(コンピュータのコンテナーからユーザー ポリシーを適用するだけ) であることに留意してください。
グループポリシーモデル作成ウィザードを使用する
特定のユーザーやコンピュータに実際に適用されるポリシーがわからない場合は、 GPMCのGPOモデリングウィザードを使えば、結果をプレビューできます。組織単位(OU)またはユーザー/コンピュータを選択してウィザードを実行すると、適用されるポリシーと適用されないポリシー、そしてその理由を示すレポートが生成されます。
これは、特にフィルター、継承、リンク順序が多数存在する複雑な設定のトラブルシューティングに便利です。ポリシーの予行演習のようなもので、実際のポリシーとは異なりますが、実際の環境に影響を与える前に問題を検出できるほど十分に近いものです。
グループポリシー設定のデバッグログを有効にする
GPP(グループポリシー基本設定)は、マップされたドライブ、プリンター、ローカルグループメンバーシップなど、多くの追加設定を追加します。これらの設定に不具合が生じた場合は、デバッグログをオンにして、実際に何が起こっているかを確認してください。「コンピューターの構成」→「ポリシー」→「管理用テンプレート」→「システム」→「グループポリシー」と進み、「ログとトレース」を見つけてください。
「レジストリ設定のログとトレースを構成する」などのオプションを有効にします。GPOを適用した後、ログを確認してくださいC:\ProgramData\GroupPolicy\Preference\Trace\Computer.log。ログには、何が設定されたか、何が失敗したか、あるいは設定が処理されなかったかどうかが記録されます。これは、GPPアイテムに関する複雑な展開の問題に特に役立ちます。
Windows クライアントに適用された GPO のトラブルシューティング
最後に、設定が正しいことを確認したら、マシンに実際に適用されている内容を確認します。概要を確認するにはgpresult /r、またはRSOP.mscgpresult /h C:\reports\gpreport.html /fを使用してください。詳細なレポートを生成するには、を使用してください。適用されているGPO、ブロックされているGPO、およびエラーが表示されます。
gpsvcサービスの状態を で確認することを忘れないでくださいGet-Service gpsvc。このサービスが実行されていない場合、GPO は処理されません。また、イベント ビューアーのMicrosoft-Windows-GroupPolicyログには、GPO 処理イベントの詳細情報が表示されます。
バックグラウンド更新は約90分間隔(ランダムジッターを含む)で行われますが、 を使用してポリシー更新を強制的に実行することもできますgpupdate /force。場合によっては、簡単な更新で大きな違いが出ることもあります。
プロのヒント:設定が適用されない場合は、競合、継承ブロック、または権限の問題に注意してください。場合によっては、リンクの再設定や権限の調整だけで問題が解決することがあります。
まとめ
結局のところ、GPOの問題のほとんどは、スコープ、リンク、継承、または権限に帰着します。GPMCに慣れ、適用とフィルターの順序を理解すれば、トラブルシューティングははるかに容易になります。GPOの構造をシンプルに保ち、明確な名前を付け、各ステップを二重に確認するようにしてください。最終的には、これらの問題はそれほど謎ではなくなり、安定した環境に戻ることができます。
まとめ
- リンクされたOUとオブジェクトの配置を確認する
- セキュリティフィルタリングとグループメンバーシップを確認する
- PowerShell で WMI フィルターをテストする
- 未使用のセクションを無効にして処理を最適化します
- 適切な委任権限を確認して設定する
- 継承のブロックと強制を検査する
- GPO の処理順序 (LSDOU) を理解する
- リンクステータスと適用を管理する
- GPOモデリングウィザードを使用してプレビューする
- GPPの問題のデバッグログを有効にする
- リアルタイムのトラブルシューティングにはgpresultとイベントビューアを使用する
これで、問題がどこに潜んでいるかが明確になれば幸いです。GPOのトラブルシューティングは必ずしも簡単ではありませんが、適切なアプローチをとれば、スコープ、権限、リンク順序を絞り込むことがほとんどです。頑張ってください!