Windows の管理

グループ ポリシーのトラブルシューティング ガイド

Derek Melber

 

概要:

  • 一般的な GPO 問題
  • グループ ポリシー ルール
  • GPO 問題のトラブルシューティング
  • トラブルシューティング用ツール

Microsoft Active Directory は、多くの IT インフラストラクチャにとって重要なコンポーネントになっています。Active Directory の最も重要な機能の 1 つにグループ ポリシーがあります。グループ ポリシーを使用すると、管理者はドメイン コントローラ、メンバ サーバー、およびデスクトップを一元管理できるようになります。

明らかに、グループ ポリシーは数多くの利点をもたらしますが、小さな欠点が 1 つあります。大規模な組織では、グループ ポリシーの設計および実装が複雑になり、問題が発生した場合のトラブルシューティングはさらに困難になります。この記事では、グループ ポリシーがどのように構成されているかについて調査し、グループ ポリシーのトラブルシューティング方法を示していきます。この記事を最後までお読みいただければ、あらゆるグループ ポリシー問題の対処に必要な手段がすべて身に付くはずです。

問題のある設定

グループ ポリシー内には、特にグループ ポリシーが総合的な Active Directory® の設計および実装とインターフェイスを取る方法について、数多くの可変部分があります。アクセスおよびネットワークに関する多くの種類の問題をトラブルシューティングする際は、解決策を求めるうえで、Active Directory およびグループ ポリシーの実装の基礎を常に考慮する必要があります。トラブルシューティング プロセスを始めるために、誤って構成されることのあるグループ ポリシー設定について見ていきましょう。その後、グループ ポリシーの誤動作を引き起こすようなさらに複雑な問題について見ていきます。

Active Directory 管理者は、管理用テンプレート ファイル (ADM または ADMX ファイル) とグループ ポリシー オブジェクト エディタを使用するか、GPEdit (gpedit.msc を実行して起動) を使用してグループ ポリシー設定を表示できます。GPEdit を使用した場合、管理者はグループ ポリシー オブジェクト ファイル (GPO) を作成します。GPO は、Active Directory 構造内のコンピュータとユーザーに適用する (または適用しない) ように構成されます。GPO が適切に機能するには、従う必要のあるルールがいくつか存在します。これらのルールについて見てみましょう。

GPO はリンクされる必要がある 新たに作成した GPO は、Active Directory 内のどのノードにもリンクされていない場合があります。GPO は編集や変更が可能ですが、ノードにリンクされるまで、どのオブジェクトにも影響を与えません。GPO が適切にリンクされていることを確認するために、図 1 に示すように、グループ ポリシー管理コンソール (GPMC) に情報ウィンドウを表示できます。

図 1 明確に表示されている GPO リンク

図 1** 明確に表示されている GPO リンク **(画像を拡大するには、ここをクリックします)

GPO は正しいオブジェクトを対象にする必要がある ご存じのとおり、グループ ポリシーは Active Directory 内の正しいオブジェクトを対象にする必要があります。ただし、トラブルシューティング作業中にこれが見過ごされることがあります。GPO には、2 つの主なカテゴリがあります。これらはコンピュータとユーザーです。GPO を構成するときは、それがコンピュータ オブジェクトまたはユーザー オブジェクトのどちらに対するものであるかを明確にする必要があります。次に、GPO がリンクされている組織単位 (OU) に正しいオブジェクトの種類が配置されていることを確認できます。

GPO はグループには適用されない GPO を Active Directory セキュリティ グループ オブジェクトに適用することは、ユーザーから望まれていることですが、これは不可能です。GPO 設定で構成可能なオブジェクトは、コンピュータとユーザーの 2 つだけです。グループ メンバシップを経由して GPO がオブジェクトを構成することはできません。たとえば、Finance OU にリンクされている GPO が存在する場合、図 2 に示すように、設定によって影響を受ける唯一のオブジェクトは Derek と Frank です。GPO 内の設定は、Marketing グループ内のメンバには、そのグループ内の誰がメンバであっても影響を与えません。

図 2 Finance OU とその中のオブジェクト

図 2** Finance OU とその中のオブジェクト **(画像を拡大するには、ここをクリックします)

ターゲット オブジェクトが GPO のパスに含まれている必要がある GPO 設定が、予期したとおりにオブジェクトに影響を与えていないことに気づいた場合は、もう 1 つの重要な設定を行う必要があります。つまり、オブジェクトを GPO の管理スコープ (SOM) に含める必要があります。これは、GPO がリンクされているノード (子ノードも可) の下にオブジェクトを配置する必要があることを意味します。たとえば、図 3 に示すように、Finance OU にリンクされている GPO は、Marketing OU 内のオブジェクトのいずれにも影響を与えません。GPO の SOM は、リンクされているノードから、Active Directory 構造内の下位に及びます。

図 3 OU が同じレベルにあるとき、GPO はリンクされている OU にのみ適用される

図 3** OU が同じレベルにあるとき、GPO はリンクされている OU にのみ適用される **(画像を拡大するには、ここをクリックします)

GPO は有効にする必要がある GPO を作成したときには、ターゲット オブジェクトに対して変更を行うように構成されていません。ただし、コンピュータとユーザーの両方の部分に対しては有効になっています。これらの部分のどちらかが無効になっている場合は、それを追跡するのが難しくなります。このため、適用されない GPO をトラブルシューティングしているときは、GPO の一部またはすべてが無効になっていないかどうかを確認することが大切です。確認するには、GPMC の [グループ ポリシー オブジェクト] | [アカウント ポリシー] の下の GPO ステータスを確認します。

一部の設定は再起動を必要とする GPO 設定が正しく機能していないときは、GPO に特有の処理が原因の場合があります。GPO の定期的なバックグラウンド更新がトリガされたときに、GPO 設定のすべてではなく、一部のみしか処理できない場合があります。このため、作成した設定がまだ有効になっていない可能性があります。設定にはフォアグラウンド ポリシーというカテゴリに属するものがあり、これらはコンピュータが再起動されるか、ユーザーがログオフしてから再びログインしたときにのみ適用されます。このような動作をする設定の例には、ソフトウェアのインストール、フォルダのリダイレクト、およびスクリプトの適用があります。

設定の同期および非同期アプリケーション

GPO 内では、起動時およびログイン時のポリシー適用方法を構成できます。可能な変更によって、ポリシーがまだ適用されている最中でもユーザーがデスクトップに直ちにアクセスできるようになる場合と、すべてのポリシーが確実に適用されてからデスクトップにアクセスできるようになる場合があります。図 4 は、各オペレーティング システムの既定の動作方法を示しています。この動作を変更するには、次のポリシー設定を変更します。

Computer Configuration | Administrative Templates | 
System | Logon | Always wait for the network at computer startup and logon 

Figure 4 クライアントでの既定の処理

オペレーティング システム 起動 ログオン ポリシーの更新
Windows 2000 同期 同期 非同期
Windows XP Professional 非同期 非同期 非同期
Windows Server 2003 同期 同期 非同期

ほとんどの管理者は、ポリシーを非同期的に適用し、すべてのポリシーが確実に適用されてからユーザーがデスクトップにアクセスできるようになるのを好みます。これにより、ユーザーが作業を始める前に、すべてのセキュリティおよび構成設定が適用されます。これは、ログオン速度向上のために最適化されている Windows® XP Professional の既定の状態ではないことに注意してください。

既定の継承を変更する

GPO 処理の既定の継承を変更するために使用できる方法は 4 種類あります。これらは強力なオプションであるので、注意して使用する必要があります。グループ ポリシー処理の動作が大幅に変更される場合があるためです。トラブルシューティングも難しくなる場合があります。既定の継承を変更するためのオプションには、次の 4 つの設定と構成があります。

  • ブロック ポリシー継承
  • GPO の適用
  • アクセス制御リスト (ACL) の GPO フィルタ処理
  • Windows Management Instrumentation (WMI) フィルタ

これらの設定は注意して使用する必要があるので、これらがいつ使用されるかは簡単に文書化できるはずです。これらのオプションが使用されているかどうかを判断するには、GPMC を確認します。ブロック継承は、GPMC 内のドメインまたは組織単位 (OU) ノードで実行します。GPO の適用、ACL のフィルタ処理、および WMI のフィルタ処理は、各 GPO で設定します。

または、ターゲット コンピュータから Gpresult コマンドを実行し、これらの設定のいずれかによってポリシーの適用が阻止されているかどうかを確認することもできます。適用されているポリシーの結果セットをさらに詳しく表示するには、/v スイッチを Gpresult コマンドに追加して、詳細出力を行います。

ADM テンプレートに関する問題

GPO の管理用テンプレート セクションの設定の構成では、ADM テンプレートを使用します。オペレーティング システムに付属の ADM テンプレートに加えて、GPO 用の独自のテンプレートをカスタマイズすることもできます。ADM テンプレート内のコードにより、グループ ポリシー エディタの管理用テンプレート ノードの下にフォルダとポリシーが作成されます。ただし、ADM テンプレートが壊れているか、欠如しているか、適切に構成されていない場合は、エディタにこれらの設定の一部またはすべてが表示されない可能性があります。ADM テンプレートの使用中に注意する必要があるその他の点は次のとおりです。

欠如している ADM テンプレート GPO の編集中に、カスタム ADM テンプレートの一部の設定がエディタに表示されていないことに気づいた場合は、ADM テンプレートを GPO にインポートする必要があります。インポートするには、エディタで管理用テンプレート ノードを右クリックし、[テンプレートの追加と削除] を選択します。

欠如している基本設定 カスタム GPO には 2 種類の設定を作成できます。これらは基本設定とポリシーです。ポリシーは、レジストリ内の 4 つのサブキーのいずれかに属している既定のマイクロソフト設定で、各ポリシーの終わりには "Policies" のテキストが付いています。基本設定は、4 つのサブキーのいずれにも属さない "古いスタイル" のレジストリ変更で、いったん構成した後に元に戻すのは困難です。これらの基本設定は、既定ではエディタに表示されません。これらを表示するには、ツールバーの [表示] メニューで有効にする必要があります。このメニューから、[フィルタ] を選択し、[完全に管理されているポリシー設定のみ表示します] チェックボックスをオンにします。これにより、インポートされているカスタム ADM テンプレートで構成されている基本設定が直ちに表示されます。

便利なツール

グループ ポリシーに関する問題を解決するにあたっては、数多くのツールが用意されています。一部のツールはオペレーティング システムに組み込まれており、その他のツールはダウンロードしてインストールします。ここで、作業に適したツールを選択できるようになるために、適切なツールについて説明しましょう。

Dcgpofix 2 つの既定の GPO のどちらかに関して問題が発生することがあります。その 2 つとは、既定のドメイン ポリシーと既定のドメイン コントローラ ポリシーです。これらの GPO のどちらかまたは両方が壊れ、修正不可能なほどに構成がおかしくなっているか、または他の不明な問題が存在する場合は、dcgpofix ツールを使用して GPO を既定の状態に戻すことができます。このツールは Windows Server® 2003 に付属しています。このツールは Windows 2000 ドイメン コントローラでは実行しないでください。代わりに Recreatedefpol を使用してください。また、このツールを使用すると、カスタマイズした設定がすべて失われることを覚えておいてください。

Recreatedefpol このツールは Dcgpofix と似ていますが、Windows 2000 サーバーを対象としています。このツールを使用すると、2 つの既定の GPO を新たにインストールしたときの状態に戻すことができます。このツールは、GPO の定期的な保守作業ではなく、障害回復時にのみ使用してください。このツールはここからダウンロード (英語) できます。

イベント ビューア イベント ビューアには、グループ ポリシーに関する情報が満載されています。ただし、グループ ポリシーのエントリを探すには、すべてのログ ファイルを検索する必要があります。ログ ファイルには、ポリシーの適用、レプリケーション、および更新に関するエントリが含まれています。これらはすべて、問題を突き止める際に役立ちます。イベント ログには特定のグループ ポリシー エラーに関する多くの情報が必ずしも存在するとは限りませんが、識別できないエラーがあるときには、いつでも TechNet を検索できることを覚えておいてください。

Gpresult このツールは、ローカルのターゲット コンピュータでのみ実行できますが、ポリシーの結果セット (RSoP)、ブロックされている GPO、GPO に対するアクセス許可など、多くの情報を提供します。/v スイッチと共にこのコマンドを使用すると、コンピュータに影響を及ぼしている GPO と、現在のログオン セッションに関連付けられているユーザー アカウントに関する詳細な情報が表示されます。

Gpupdate 新しい GPO 設定を実装するか、GPO 処理がすべて実行されていることを確認する場合は、Gpupdate ツールを使用できます。これは、オペレーティング システム (Windows XP 以上) に付属のコマンドライン ツールです。このツールを実行すると、バックグラウンドの更新がトリガされ、この種類の更新に関する GPO 設定がすべて適用されます。/force スイッチを追加すると、前回の更新後に GPO が全く変更されていない場合でも、GPO 設定がすべて再適用されます。Gpresult コマンドを実行する前にこのコマンドを実行すると、GPO 問題の追跡に役立ちます。

Gpotool GPO は、GPO が最初に作成されたドメイン コントローラから他のすべてのドメイン コントローラにレプリケートされるので、レプリケーション エラーや効率の悪い収束が発生する場合があります。その結果、ターゲット コンピュータに変更が一貫して適用されなかったり、まったく適用されない事態が発生します。Gpresult や RSOP などのツールでは、どの GPO が適用されているかを判断できますが、この Gpotool ツールでは、各ドメイン コントローラの GPO が一貫しているかどうかを判断できます。このツールは、go.microsoft.com/fwlink/?LinkId=77613 (英語) から入手可能な Windows Server 2003 Resource Kit に含まれています。

Replmon 1 つのドメイン コントローラから別のドメイン コントローラへの GPO のレプリケーションをトラブルシューティングする場合は、レプリケーションを適切に行うために使用できるツールについて理解しておくことが重要です。GPO にはレプリケーションが必要な部分が 2 つあるので、2 つの部分をそれぞれ調査する必要があります。最初の部分は、各ドメイン コントローラの SYSVOL の内容で、これはファイル複製サービス (FRS) によって制御されています。このレプリケーションを制御するためにできることは、レプリケーション間隔のトリガに役立つサービスの無効化と有効化以外にほとんどありません。GPO のもう 1 つの部分は、Active Directory に格納されており、これは Active Directory レプリケーションによって制御されます。このレプリケーションは、Active Directory サイトとサービスを使用することで、1 つの Active Directory サイト内のドメイン コントローラ間で制御できます。ただし、異なる Active Directory サイトのドメイン コントローラ間のレプリケーションをトリガする必要がある場合は、Replmon などのツールを使用する必要があります。Replmon は、サイトの境界を越えて Active Directory データベースのレプリケーションを強制できますが、Active Directory のサイトとサービスでは強制できません。したがって、Active Directory に格納されているグループ ポリシー情報が一致していない場合は、Replmon を使用してレプリケーション プロセスをトリガし、各ドメイン コントローラに収束された情報を取得できます。Replmon は、Resource Kit および Windows XP Support Tools に含まれています。このツールは go.microsoft.com/fwlink/?LinkId=77614 (英語) からダウンロードできます。

RSOP コマンド ライン ツール Gpresult と似ていますが、RSOP は、すべての GPO によって適用されている設定を表示するためのグラフィック インターフェイスを提供します。RSOP.MSC は Windows XP Professional および Windows Server 2003 に組み込まれているツールです。このツールは、図 5 に示すように、適用されたすべてのポリシー設定の結果をグループ ポリシー オブジェクト エディタと同じような形式で表示します。

図 5 ポリシーの結果セット ツール

図 5** ポリシーの結果セット ツール **

まとめ

グループ ポリシーに関する問題のトラブルシューティングは、簡単なタスクではありません。実際、この記事で示しているように、グループ ポリシーは複雑な場合があります。グループ ポリシーをトラブルシューティングする際は、グループ ポリシーの中核となるアーキテクチャとグループ ポリシーに特有の総合的な処理について理解する必要があります。また、GPO が更新、レプリケート、処理、および適用される方法についても理解する必要があります。これらの概念をすべて正しく理解すると、どのようなグループ ポリシー問題でも容易にトラブルシューティングできるようになります。この記事のガイドラインに従い、適切なツールを使用すれば、遭遇したあらゆるグループ ポリシー問題に対処する準備が整います。

Derek Melberは、Microsoft の完全子会社、DesktopStandard の Director of Education, Certification, and Compliance Solutions です。Derek は、『Microsoft Windows Group Policy Guide』(英語) (Microsoft Press、2005) を共同執筆しています。また、Windows セキュリティの監査に関する一連の書籍 (www.theiia.org) も執筆しています。彼の連絡先は derekm@desktopstandard.com (英語) です。

© 2008 Microsoft Corporation and CMP Media, LLC. All rights reserved; 許可なしに一部または全体を複製することは禁止されています.