グループ ポリシー適用の問題のトラブルシューティング

文書番号: 250842 - 対象製品
すべて展開する | すべて折りたたむ

目次

概要

この資料では、Windows 2000 クライアント コンピュータ上でのグループ ポリシー処理のトラブルシューティング手順について説明します。これには、コンピュータまたはユーザーに対するポリシー設定が不正確あるいは不完全な場合や、ポリシーが適用されていない場合が含まれます。

この資料の手順を使用する前に、「サポート技術情報」 (Microsoft Knowledge Base) の以下の資料に記載されている内容を理解する必要があります。
216357
(http://support.microsoft.com/kb/216357/ )
[NT] グループ ポリシーのクライアントサイド拡張について
228460
(http://support.microsoft.com/kb/228460/ )
[NT]Windows 2000 での ADM (管理テンプレート) ファイルの場所
216358
(http://support.microsoft.com/kb/216358/ )
[NT] グループ ポリシー クライアント サイド拡張のトラブルシューティング
先頭へ戻る | フィードバック

詳細

  1. 「サポート技術情報」 (Microsoft Knowledge Base) の以下の資料に記載されている手順を使用して、Windows 2000 クライアント コンピュータで詳細なデバッグ ログを有効にします。
    221833
    (http://support.microsoft.com/kb/221833/ )
    製品版 Windows でユーザー環境デバッグ ログ収集を有効にする
    ログ ファイル (Userenv.log) は、Winnt\Debug\UserMode フォルダ内に作成されます。このログ ファイルでは通常、ユーザーに適用するグループ ポリシー オブジェクトの一覧を列挙する際の一般的なエラーの根本的原因が示されています。グループ ポリシー拡張機能 (セキュリティ、フォルダ リダイレクトなど、特定の種類のポリシーを適用する DLL) で適用される各ポリシーの状態に関する最低限の情報は、Userenv.log ファイルにも記録されますが、各拡張機能に関する詳細情報については、それらのコンポーネントに固有のログを有効にするための他の設定があります (この資料で後述します)。
  2. 接続と DNS 解決の状態を確認します。ドメイン コントローラへの接続が原因で問題が発生している場合、通常はデバッグ ログで問題が検出され、Active Directory 内の特定の場所と Windows 2000 がデータにアクセスしようとしているネットワーク共有上の特定の場所が記録されます。

    ネットワーク接続と DNS 解決の状態のテストには、Windows 2000 のサポート ユーティリティの Dcdiag.exe と Netdiag.exe を使用します。Dcdiag.exe はドメイン コントローラのテストに使用し、Netdiag.exe はワークステーションとサーバーのテストに使用します。Dcdiag.exe を実行するには、ドメイン コントローラ上のコマンド プロンプトで dcdiag /v と入力します。Netdiag.exe を実行するには、ワークステーションまたはメンバ サーバー上のコマンド プロンプトで netdiag /v と入力します。

    Dcdiag.exe と Netdiag.exe の詳細については、Windows 2000 サポート ツールのヘルプを参照するか、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    265706
    (http://support.microsoft.com/kb/265706/ )
    ドメイン参加と DC 作成を容易にする DCDiag と NetDiag
  3. クライアントに適用するグループ ポリシーを確認します。Windows 2000 では、コンピュータとユーザー アカウントの場所に基づいて、適用するポリシーの種類 (ダウンレベル ポリシー (Microsoft Windows NT 4.0 の Ntconfig.pol) またはグループ ポリシー) が決定されます。
  4. Microsoft Windows 2000 リソース キットの Gpresult.exe を使用します。GPO が適用される順序に特に注意してください。複数の GPO で同じ設定が指定されている場合は、後の処理 (ログ ファイルの下の方) で適用される GPO が有効になり、一覧で上の方の GPO の設定は上書きされます。
  5. Gpotool.exe を使用して、ピア ドメイン コントローラ間で、同じ GPO の Active Directory バージョンと SYSVOL バージョンの間に不整合があるかどうかを調べます。この情報は、複製の遅延が、Windows 2000 クライアントが正しいポリシーを受信できない原因となっているかどうかを調べるのに役立つ場合があります。この状況に該当すると考えられる場合は、Replmon.exe と Repadmin.exe (どちらも Windows 2000 Support Tools Suite に付属) を使用して、クライアントがグループ ポリシーのソースとして使用したドメイン コントローラの複製パートナーを調べ、複製に成功しているかどうかを調べます。
  6. Userenv.log ファイルで、コンピュータ/ユーザーの識別名 (DN) が決定されていることを確認します。Windows 2000 で DN が不定の場合、Active Directory が正しく解析されず、ユーザーまたはコンピュータに適用する GPO が決定されません。
  7. Userenv.log ファイルを参照します。このファイルには、評価される各 GPO のエントリが記録されています。ユーザーが GPO に対する適切な権限を持たないためにスキップされている GPO があるかどうかを調べます (ユーザーには、グループ ポリシーの読み取り権限と適用権限が必要です)。
  8. ループバック処理が有効かどうかを調べます。この処理では、コンピュータに適用される GPO のユーザー コンポーネントが、ユーザーに適用されます。これを調べるには、Userenv.log ファイルで次の例と同様の行を探します。 
    USERENV(e8.128) 15:46:17:234 ProcessGPOs: Calling GetGPOInfo for normal policy mode
    : この例では、通常のポリシー処理ルールが適用されています。
  9. クライアント コンピュータがターミナル サービスを実行している場合、一部の種類のポリシー (具体的には、アプリケーションの展開) により、アプリケーションの割り当てが無効になります。
  10. アプリケーションの展開が機能していない場合は、次の手順を実行します。

    1. 「サポート技術情報」 (Microsoft Knowledge Base) の以下の資料に記載されている手順を使用して、Windows インストーラのログを有効にします。
      223300
      (http://support.microsoft.com/kb/223300/ )
      Windows インストーラのログの記録を有効にする方法
    2. 「サポート技術情報」 (Microsoft Knowledge Base) の以下の資料に記載されている手順を使用して、アプリケーション管理のポリシー処理を有効にします。
      246509
      (http://support.microsoft.com/kb/246509/ )
      詳細ログを使用したプログラムの展開のトラブルシューティング
    これらのログには、インストールするプログラムに指定されたインストール パスが見つからないクライアントが記録される場合があります。
  11. 一部の種類のポリシーは、グループ ポリシーのバックグラウンドでの更新中には適用されません。すべての種類のポリシーを強制的に再適用するには、コンピュータ ポリシーを適用するのか、ユーザー ポリシーを適用するのかによって、コンピュータを再起動するか、ログオフしてから再度ログオンする必要があります。

Microsoft Product Support Services に問い合わせる場合

Microsoft Product Support Services に問い合わせる場合は、サポート担当者に次の情報を提供する必要があります。
  • Winnt\Debug\UserMode フォルダの Userenv.log ファイル
  • テキスト ファイルにリダイレクトされた "gpresult.exe /s" の出力 (Windows 2000 クライアント コンピュータ上で実行)
  • ファイルにリダイレクトされた "gpotool.exe /verbose" の出力 (Windows 2000 ドメイン コントローラ上で実行)
  • Netdiag.log という名前のファイルで作成される "netdiag.exe /v /l" の出力 (Windows 2000 クライアント コンピュータ上で実行)
適用されないポリシーの種類または特定の GPO がわかっている場合は、以下の関連情報も役に立ちます (ポリシーの種類に応じて参照してください)。

セキュリティ ポリシーが機能しない場合

「サポート技術情報」 (Microsoft Knowledge Base) の次の資料に記載されている手順を使用して、機能しない GPO の GUID を調べます。
216359
(http://support.microsoft.com/kb/216359/ )
Active Directory と SYSVOL のグループ ポリシー オブジェクトを識別する方法
ほとんどのセキュリティ設定では、最も優先度の高い設定が適用され、累積的には適用されません。対応する SYSVOL フォルダの下にある Machine\Microsoft\Windows NT\SecEdit フォルダで Gpttmpl.inf ファイルを探します。これは、特定の GPO に対するグループ ポリシーにより適用されるセキュリティ設定を含むファイルです。

レジストリ/ソフトウェア ポリシーが機能しない場合

  1. 「サポート技術情報」 (Microsoft Knowledge Base) の次の資料に記載されている手順を使用して、機能しない GPO の GUID を調べます。
    216359
    (http://support.microsoft.com/kb/216359/ )
    Active Directory と SYSVOL のグループ ポリシー オブジェクトを識別する方法
  2. SYSVOL 内の対応する GPO フォルダにある Machine または User フォルダで、Registry.pol ファイルを探します。

アプリケーション管理のポリシーが機能しない場合

  1. 「サポート技術情報」 (Microsoft Knowledge Base) の以下の資料に記載されている手順を使用して、Windows インストーラのログを有効にします。
    223300
    (http://support.microsoft.com/kb/223300/ )
    Windows インストーラのログの記録を有効にする方法
  2. 「サポート技術情報」 (Microsoft Knowledge Base) の以下の資料に記載されている手順を使用して、アプリケーション管理のポリシー処理を有効にします。
    246509
    (http://support.microsoft.com/kb/246509/ )
    詳細ログを使用したプログラムの展開のトラブルシューティング
    : まずアプリケーション管理ポリシー エンジンのログ ファイルを参照して、インストールするプログラムが決定され、Windows インストーラに渡されているかどうかを調べます。インストーラのログ ファイルには、プログラムのインストール中に発生したインストール処理の履歴が含まれています。

ログオン/ログオフ/スタートアップ/シャットダウン スクリプト ポリシーが機能しない場合

Gpresult の出力を使用して、実行するように構成されているスクリプトがどの GPO にあるかを調べ、「サポート技術情報」 (Microsoft Knowledge Base) の次の資料に記載されている手順を使用して各 GPO の GUID を調べます。
216359
(http://support.microsoft.com/kb/216359/ )
Active Directory と SYSVOL のグループ ポリシー オブジェクトを識別する方法
SYSVOL 内の各 GPO について Scripts フォルダを探し、ポリシーの複製元として使用されているドメイン コントローラに、実行するように構成されているスクリプトが複製されていることを確認します。

フォルダ リダイレクト ポリシーが機能しない場合

Gpresult の出力を使用して、フォルダ リダイレクト ポリシーが、どの GPO にあるかを調べます。ユーザーに適用されるようにポリシーが設定されているにもかかわらず、フォルダがリダイレクトされていない場合、ユーザーが GPO に対する適切な権限を持っていないため、GPO が適用されていない可能性があります。

ポリシーの更新後、GPO が無効にされているか削除されているにもかかわらず、フォルダのリダイレクトが有効になっている場合は、次の手順を実行します (GPO が引き続き使用可能な場合)。
  1. グループ ポリシー エディタを使用して GPO を開きます。
  2. リダイレクト設定が行われているフォルダを右クリックし、[プロパティ] をクリックします。
  3. [設定] タブで、[ポリシーが削除されたとき、フォルダをローカルのユーザー プロファイルにリダイレクトする] オプションがクリックされているかどうかを確認します。
先頭へ戻る | フィードバック

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 250842
(http://support.microsoft.com/kb/250842/EN-US/ )
(最終更新日 2004-11-15) を基に作成したものです。
先頭へ戻る | フィードバック

プロパティ

文書番号: 250842 - 最終更新日: 2005年9月21日 - リビジョン: 4.0
この資料は以下の製品について記述したものです。
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional
  • Microsoft Windows 2000 Datacenter Server
キーワード:?
kbinfo kbenv KB250842
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"
先頭へ戻る | フィードバック

フィードバック

 
先頭へ戻る先頭へ戻る