イベント ID 1000 および 1001 が 5 分おきにアプリケーション イベント ログに出力される

現象

グループ ポリシー設定がドメイン コントローラ間でレプリケートされません。そのため、ユーザーはコンピュータ用のグループ ポリシー設定を取得できません。Microsoft Windows Server 2003 のアプリケーション ログに、以下のイベントが出力されることがあります。
種類 : エラー

ソース : Userenv

分類 : なし

イベント ID : 1058

説明 : GPO CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=domainname,DC=com 用のファイル gpt.ini にアクセスできません。ファイルは場所 <\\domainname.com\sysvol\domainname.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984 F9}\gpt.ini> に存在する必要があります (Error_Message)。グループ ポリシーの処理は中止されました。

詳細な情報は、http://support.microsoft.com の [ヘルプとサポート センター] を参照してください。

種類 : エラー

ソース : Userenv

分類 : なし

イベント ID : 1030

説明 : グループ ポリシー オブジェクトの一覧を照会できません。このエラーの理由を説明するようなメッセージをポリシー エンジンが記録していないかどうか、イベント ログを確認してください。

詳細な情報は、http://support.microsoft.com の [ヘルプとサポート センター] を参照してください。


また、Microsoft Windows 2000 Server では、アプリケーション ログに 5 分おきに以下のイベントが出力される場合があります。


種類 : エラー

イベント ID : 1000

ソース : Userenv

分類 : なし

ユーザー : NT AUTHORITY\SYSTEM


説明 : \\domain\sysvol\domain\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\registry.pol のレジストリ情報を (5) でアクセスできませんでした。


種類 : エラー

イベント ID: 1001

ソース : SceCli

分類 : なし

ユーザー : N/A


説明 : セキュリティ ポリシーは伝達できません。テンプレートにアクセスできません。エラー コード = 3。\\domain\sysvol\domain\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf


種類 : エラー

イベント ID: 1000

ソース : Userenv

分類 : なし

ユーザー : NT AUTHORITY\SYSTEM


説明 : グループ ポリシー クライアント側の拡張子 Security にフラグ (17) が渡されエラー状態コード (3) が返されました。

原因

%SystemRoot%\Sysvol フォルダに不適切なアクセス許可が割り当てられている場合、または "走査チェックのバイパス" ユーザー権利が不適切なグループに割り当てられている場合に、この問題が発生することがあります。また、sysvol 共有に設定されているアクセス許可の制限が厳しすぎる場合にも、この問題が発生する場合があります。

解決方法

この問題を回避するには、次のいずれかを実行します。操作は、オペレーティング システムによって異なります。

Windows Server 2003

  1. フォルダのセキュリティ アクセス許可を設定します。これを行うには、次の手順を実行します。
    1. エクスプローラで %SystemRoot%\Windows\Sysvol フォルダを右クリックし、[プロパティ] をクリックします。
    2. [セキュリティ] タブで [詳細設定] をクリックして、[継承可能なアクセス許可を親からこのオブジェクトに継承できるようにする] チェック ボックスをオフにして [コピー] をクリックし、[OK] をクリックします。セキュリティ設定が次のとおりになっていることを確認して、[OK] をクリックします。
      Administrators : フル コントロール

      Authenticated Users : 読み取り、読み取りと実行、フォルダの内容の一覧表示

      CREATOR OWNER : すべてオフ

      Server Operators : 読み取り、読み取りと実行、フォルダの内容の一覧表示

      SYSTEM : フル コントロール
    3. %SystemRoot%\Windows\Sysvol\Sysvol フォルダを右クリックし、[プロパティ] をクリックします。
    4. [セキュリティ] タブで [詳細設定] をクリックして、[継承可能なアクセス許可を親からこのオブジェクトに継承できるようにする] チェック ボックスをオフにし、[OK] を 2 回クリックします。
    5. %SystemRoot%\Sysvol\Sysvol\domain フォルダを右クリックし、[プロパティ] をクリックします。
    6. [セキュリティ] タブで [詳細設定] をクリックして、[継承可能なアクセス許可を親からこのオブジェクトに継承できるようにする] チェック ボックスをオフにし、[OK] を 2 回クリックします。
    7. %SystemRoot%\Sysvol\Sysvol\domain\Policies フォルダを右クリックし、[プロパティ] をクリックします。
    8. [セキュリティ] タブで [詳細設定] をクリックして、[継承可能なアクセス許可を親からこのオブジェクトに継承できるようにする] チェック ボックスをオフにし、[OK] をクリックします。セキュリティ設定が次のとおりになっていることを確認して、[OK] をクリックします。
      Administrators : フル コントロール

      Authenticated Users : 読み取り、読み取りと実行、フォルダの内容の一覧表示

      CREATOR OWNER : すべてオフ

      Group Policy Creator Owners : 読み取り、読み取りと実行、フォルダの内容の一覧表示、変更、書き込み

      Server Operators : 読み取り、読み取りと実行、フォルダの内容の一覧表示

      SYSTEM : フル コントロール

    9. %SystemRoot%\Sysvol\Sysvol\domain\Policies フォルダ内の各ファイルおよびフォルダについて、ファイルまたはフォルダを右クリックし、[プロパティ] をクリックします。
    10. [セキュリティ] タブで [詳細設定] をクリックして、[継承可能なアクセス許可を親からこのオブジェクトに継承できるようにする] チェック ボックスをオンにし、[OK] を 2 回クリックします。
  2. [スタート] ボタンをクリックし、[すべてのプログラム]、[管理ツール] を順にポイントし、Active Directory ユーザーとコンピュータをクリックします。
  3. [Active Directory ユーザーとコンピュータ] を展開し、ドメイン名を展開し、[Domain Controllers] を右クリックして、[プロパティ] をクリックします。
  4. [グループ ポリシー] タブをクリックし、[Default Domain Controllers Policy]、[編集] を順にクリックします。


    : グループ ポリシー管理コンソールがインストールされていると、[編集] ボタンは表示されません。その場合は、[開く] をクリックしてグループ ポリシーの管理コンソールを起動し、domain name、[Domain Controllers] の順に展開し、[Default Domain Controllers Policy] を右クリックして、[編集] をクリックします。


    グループ ポリシーの管理コンソールの詳細については、以下のマイクロソフト Web サイトを参照してください。
  5. 次のフォルダを展開します。
    コンピュータの構成

    Windows の設定

    セキュリティの設定

    ローカル ポリシー
  6. [ユーザー権利の割り当て] をクリックし、[走査チェックのバイパス] をダブルクリックします。次のデフォルト設定が表示されます。
    Authenticated Users

    Everyone

    Administrators
    これらのグループが表示されない場合に追加するには、[ユーザーまたはグループの追加] をクリックし、[参照] をクリックします。
  7. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。gpupdate と入力し、[OK] をクリックします。
  8. sysvol 共有のアクセス許可が、以下のとおり正しく設定されていることを確認します。
    Administrators = フル コントロール

    Authenticated Users = フル コントロール

    Everyone = 読み取り
: この手順を実行しても問題が解決されない場合、またはグローバル ポリシーのアクセスに関して問題がある場合は、サーバー上のバインドの順序を確認し、バインドの順序の一覧で、内部ネットワーク アダプタが先頭に表示されることを確認します。バインドの順序を確認するには、次の手順を実行します。
  1. [マイ ネットワーク] を右クリックし、[プロパティ] をクリックします。
  2. [詳細設定] メニューの [詳細設定] をクリックします。
  3. [接続] ボックスで、内部ネットワーク アダプタが一覧の先頭に表示されていることを確認します。先頭に表示されていない場合は、矢印を使用して一覧の先頭に移動します。

Windows 2000 Server

  1. フォルダのセキュリティ アクセス許可を設定します。これを行うには、次の手順を実行します。
    1. エクスプローラで %SystemRoot%\Sysvol フォルダを右クリックし、[プロパティ] をクリックします。
    2. [セキュリティ] タブで [継承可能なアクセス許可を親からこのオブジェクトに継承できるようにする] チェック ボックスをオフにし、セキュリティ設定が次のとおりになっていることを確認します。
      Administrators : フル コントロール

      Authenticated Users : 読み取り、読み取りと実行、フォルダの内容の一覧表示

      CREATOR OWNER : すべてオフ

      Server Operators : 読み取り、読み取りと実行、フォルダの内容の一覧表示

      SYSTEM : フル コントロール
    3. [OK] をクリックします。
    4. %SystemRoot%\Sysvol\Sysvol フォルダを右クリックし、[プロパティ] をクリックします。
    5. [セキュリティ] タブで [継承可能なアクセス許可を親からこのオブジェクトに継承できるようにする] チェック ボックスをオンにし、[OK] をクリックします。
    6. %SystemRoot%\Sysvol\Sysvol\domain フォルダを右クリックし、[プロパティ] をクリックします。
    7. [セキュリティ] タブで [継承可能なアクセス許可を親からこのオブジェクトに継承できるようにする] チェック ボックスをオンにし、[OK] をクリックします。
    8. %SystemRoot%\Sysvol\Sysvol\domain\Policies フォルダを右クリックし、[プロパティ] をクリックします。
    9. [セキュリティ] タブで [継承可能なアクセス許可を親からこのオブジェクトに継承できるようにする] チェック ボックスをオフにし、セキュリティ設定が次のとおりになっていることを確認します。
      Administrators : フル コントロール

      Authenticated Users : 読み取り、読み取りと実行、フォルダの内容の一覧表示

      CREATOR OWNER : すべてオフ

      Group Policy Creator Owners : 読み取り、読み取りと実行、フォルダの内容の一覧表示、変更、書き込み

      Server Operators : 読み取り、読み取りと実行、フォルダの内容の一覧表示

      SYSTEM : フル コントロール

    10. [OK] をクリックします。
    11. %SystemRoot%\Sysvol\Sysvol\domain\Policies フォルダ内のすべてのファイルおよびフォルダについて、ファイルまたはフォルダを右クリックし、[プロパティ] をクリックします。[セキュリティ] タブで [継承可能なアクセス許可を親からこのオブジェクトに継承できるようにする] チェック ボックスをオンにし、[OK] をクリックします。
  2. Active Directory ユーザーとコンピュータを開きます。[スタート] ボタンをクリックし、[プログラム] をポイントして、[管理ツール] をクリックします。
  3. [Active Directory ユーザーとコンピュータ] を展開して、ドメイン名を展開します。
  4. [Domain Controllers] を右クリックして、[プロパティ] をクリックします。
  5. [グループ ポリシー] タブで、[Default Domain Controllers Policy] をクリックし、[編集] をクリックします。
  6. 次のフォルダを次の順に展開します。
    コンピュータの構成

    Windows の設定

    セキュリティの設定

    ローカル ポリシー
  7. [ユーザー権利の割り当て] をクリックし、[走査チェックのバイパス] をダブルクリックします。次のデフォルト設定が表示されます。
    Authenticated Users

    Everyone

    Administrators
    これらのグループが表示されない場合に追加するには、[追加] をクリックし、[参照] をクリックします。
  8. コマンド プロンプトから次のように入力します。
    secedit /refreshpolicy machine_policy /enforce

  9. sysvol 共有のアクセス許可が、以下のとおり正しく設定されていることを確認します。
    Administrators = フル コントロール

    Authenticated Users = フル コントロール

    Everyone = 読み取り
: この手順を実行しても問題が解決されない場合、またはグローバル ポリシーのアクセスに関して問題がある場合は、サーバーのバインドを確認し、バインドの順序の一覧で、内部ネットワーク アダプタが先頭に表示されることを確認します。バインドの順序を確認するには、次の手順を実行します。
  1. [マイ ネットワーク] を右クリックし、[プロパティ] をクリックします。
  2. [詳細設定] メニューの [詳細設定] をクリックします。
  3. [接続] ボックスで、内部ネットワーク アダプタが一覧の先頭に表示されていることを確認します。先頭に表示されていない場合は、矢印を使用して一覧の先頭に移動します。

詳細

関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
271213 イベント ID 1000 と 1001 がイベントログに 5 分ごとに記録される
259398 Dfs クライアントを無効にした際 SceCli イベント ID1001,UserEnv イベント ID1000
285923 複製エラーを示すイベント 1000、1001、および 13508 エラー メッセージが 5 分おきに出力される
258296 グループ ポリシー オブジェクトにアクセスできず、イベント ID 1000 および 1001 が記録される

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 290647 (最終更新日 2005-02-23) を基に作成したものです。
プロパティ

文書番号:290647 - 最終更新日: 2008/01/13 - リビジョン: 1

フィードバック