イベント 1101 と 1030 は、グループ ポリシーを適用するときにアプリケーション ログに記録されます。

この記事では、イベント 1101 と 1030 が、グループ ポリシーを適用するときにアプリケーション ログに記録される問題の解決策について説明します。

適用対象: Windows Server 2012 R2、Windows 10 - すべてのエディション、Windows 7 Service Pack 1
元の KB 番号: 909260

現象

Microsoft Windows XP 以降を実行しているコンピューターでは、アプリケーション ログに次のエラー イベント エントリが表示されることがあります。ユーザー環境または GPSVC デバッグ ログを有効にすると、次のエントリがログに記録されます。

ProcessGPOs: ユーザー名は UserOrComputerDN、ドメイン名は DomainName です
ProcessGPOs: ドメイン コントローラーは:\\ DC FQDN ドメイン DN は DomainName です
...
EvaluateDeferredOU: オブジェクト OUName にアクセスできません
GetGPOInfo: EvaluateDeferredOUs が失敗しました。 終了

原因

この問題は、Windows XP Professional 以降のグループ ポリシー エンジンに、親 OU の次の属性に対する読み取りアクセス許可がないために発生します。

• distinguishedNanme (検索フィルターで使用)
• gPLink (データとして要求)
• gPOptions (データとして要求)

グループ ポリシー エンジンにこれらのアクセス許可がない場合、グループ ポリシー エンジンはグループ ポリシー設定を適用できません。

Microsoft Windows 2000 Server では、「現象」セクションで説明されているイベントはログに記録されません。 Windows 2000 Server のグループ ポリシー エンジンは、OU にリンクされているグループ ポリシー設定を無視します。 Windows XP は、このエラーを無視しないように変更されました。

既定では、すべての OU へのアクセスは、既定のセキュリティ記述子のアクセス制御エントリに従って付与されます。 このセキュリティ記述子は、認証されたユーザー グループがすべてのプロパティを読み取るスキーマの一部です。

解決方法

この問題を解決するには、すべてのユーザー アカウントと、OU を介してグループ ポリシー設定を適用するすべてのコンピューターに親 OU にアクセスするための十分なアクセス許可を付与します。

ACL エディターを使用して "distinguishedName" 属性に対するアクセス許可を付与するには、DSSEC で属性の可視性を変更する必要があります。"[organizationUnit]" セクションの DAT。 "distinguishedname=7" 行を "distinguishedname=0" に変更する必要があります。

その後、ACL エディターを示すアプリケーションを再起動すると、属性が表示されます。

データ収集

Microsoft サポートからの支援が必要な場合は、「TSS を使用して情報を収集する」で説明されている手順に従って情報グループ ポリシー収集することをお勧めします。