"sysvol フォルダー内のこの GPO のアクセス許可は、Active Directory 内のものと一致しません"GPMC を実行するときにメッセージ

この記事では、管理コンソール (GPMC) グループ ポリシー実行するときに発生するエラーを修正するためのヘルプを提供します。

適用対象: Windows Server 2012 R2
元の KB 番号: 828760

現象

Microsoft Windows Server ドメインで GPMC を実行し、[既定のドメイン ポリシー] または [既定 の ドメイン コントローラー ポリシー] をクリックすると、次のいずれかのメッセージが表示されます。

• グループ ポリシー オブジェクト (GPO) のセキュリティを変更するアクセス許可がある場合は、次のメッセージが表示されます。

  sysvol フォルダー内のこの GPO のアクセス許可は、Active Directory のアクセス許可と一致しません。 これらのアクセス許可の一貫性を確保することをお勧めします。 SYSVOL のアクセス許可を Active Directory のアクセス許可に変更するには、[OK] をクリックします。

• グループ ポリシー オブジェクト (GPO) のセキュリティを変更するアクセス許可がない場合は、次のメッセージが表示されます。

  sysvol フォルダー内のこの GPO のアクセス許可は、Active Directory のアクセス許可と一致しません。 これらのアクセス許可の一貫性を確保することをお勧めします。 この GPO のセキュリティを変更する権限を持つ管理者に問い合わせてください。

原因

この問題は、グループ ポリシー オブジェクトの Sysvol 部分のアクセス制御リスト (ACL) が親フォルダーからアクセス許可を継承するように設定されているために発生します。

状態

Microsoft は、この記事の「適用対象」セクションに記載されている Microsoft 製品の問題であることを確認しました。

回避策

既定の GPO のセキュリティを変更するアクセス許可がある場合は、「現象」セクションに記載されているメッセージに応答して [OK] をクリックします 。 このアクションにより、グループ ポリシー オブジェクトの Sysvol 部分の ACL が変更され、Active Directory コンポーネントの ACL と一致します。 この場合、グループ ポリシーは Sysvol フォルダー内の継承属性を削除します

詳細

各グループ ポリシー オブジェクト (GPO) は、ドメイン コントローラーの Sysvol フォルダーに部分的に格納され、Active Directory ディレクトリ サービスの一部に格納されます。 GPMC、グループ ポリシー オブジェクト エディター、および Active Directory スナップインで提供されている古いグループ ポリシー ユーザー インターフェイスは、GPO を 1 つのユニットとして存在および管理します。 たとえば、GPMC で GPO にアクセス許可を設定すると、GPMC は Active Directory と Sysvol フォルダーの両方のオブジェクトに対するアクセス許可を設定します。 GPO ごとに、Active Directory のアクセス許可は Sysvol フォルダー内のアクセス許可と一致している必要があります。 これらの個別のオブジェクトは GPMC の外部で変更し、オブジェクト エディターグループ ポリシーしないでください。 そうすると、クライアントでのグループ ポリシー処理が失敗したり、一般的にアクセス権を持つ特定のユーザーが GPO を編集できなくなったりする可能性があります。

さらに、ファイル システム オブジェクトとディレクトリ サービス オブジェクトは、異なる種類のオブジェクトであるため、同じ使用可能なアクセス許可を持っていません。 アクセス許可が一致しない場合、一貫性を保つのは容易ではない可能性があります。 ACTIVE Directory と GPO の Sysvol コンポーネントのセキュリティが一貫していることを確認するために、GPMC で GPO をクリックすると、GPMC は GPO のアクセス許可の一貫性を自動的にチェックします。 GPMC が GPO の問題を検出した場合は、その GPO のセキュリティを変更するアクセス許可があるかどうかに応じて、「現象」セクションに記載されているメッセージの 1 つを受け取ります。