ユーザー GPP スケジュールされたタスク項目が適用に失敗し、イベント ID をログに記録する: 0x80070005 アクセスが拒否された 4098

この記事では、ユーザー グループ ポリシー 基本設定 (GPP) のスケジュールされたタスク項目の適用に失敗する問題の解決策を示します。

適用対象: Windows Server 2012 R2
元の KB 番号: 2447414

現象

Windows 2008/2008 R2 ベースのActive Directory ドメインで、次のユーザー グループ ポリシー基本設定 (GPP) 項目を構成します。

• User Configuration\Preferences\Control Panel Settings\Scheduled Tasks\New\"Scheduled Task (Windows Vista and later)"
• [ 共通設定] タブ で、[ログオンしているユーザーのセキュリティ コンテキストで実行する ] オプション (ユーザー ポリシー オプション) を選択します。 グループ ポリシーがユーザーに適用されると、基本設定項目が有効にならないことがわかります。

さらに、アプリケーション ログには次のイベント ログが表示されます。

さらに、GPP スケジュールタスククライアント側拡張機能のグループ ポリシートレースを有効にすると、GPP ユーザー ログ ファイルに次のメッセージが記録されます。

<DateTime> [pid=0x3a0,tid=0x8c8] 開始クラス <TaskV2> - <GPP 項目名>。
<DateTime> [pid=0x3a0,tid=0x8c8] ユーザー セキュリティ コンテキストを設定します。
<DateTime> [pid=0x3a0,tid=0x8c8] RSOP に子要素を追加します。
<DateTime> [pid=0x3a0,tid=0x8c8] WorkItem.Init [hr = 0x80070005 "Access is denied"]
<DateTime> [pid=0x3a0,tid=0x8c8] プロパティが処理されました。 [hr = 0x80070005 "アクセスが拒否されました"] <DateTime> [pid=0x3a0,tid=0x8c8] システム セキュリティ コンテキストを設定します。
<DateTime> [pid=0x3a0,tid=0x8c8] イベント: 'GPO 名 {GPO GUID}' グループ ポリシー オブジェクトのユーザー '<<GPP 項目名>>' 基本設定項目は、エラー コード '0x80070005 Access が拒否されました' で失敗したため、適用されませんでした。%100790273
<DateTime> [pid=0x3a0,tid=0x8c8] エラーが抑制されました。 [hr = 0x80070005 "アクセスが拒否されました"]
<DateTime> [pid=0x3a0,tid=0x8c8] Completed クラス <TaskV2> - <GPP 項目名>。
<DateTime> [pid=0x3a0,tid=0x8c8] Completed クラス <ScheduledTasks>。

グループ ポリシーを使用して GPP トレースを有効にすることができます。
Computer Configuration\Policies\Administrative Templates\System\Group Policy\Logging and Tracing\Configure Schedulled Tasks preference logging and tracing

構成すると、ログ ファイルは次のように作成されます。
%SystemDrive%\ProgramData\GroupPolicy\Preference\Trace\User.log

原因

[User GPP Scheduled Tasks]\(ユーザー GPP スケジュールされたタスク\) 項目は、現在ログオンしているユーザーのセキュリティ コンテキストで実行するようには設計されておらず、既定のシステム セキュリティ コンテキストで適用する必要があります。

解決方法

この問題を回避するには、ユーザー GPP のスケジュールされたタスク項目を構成するときに、[ ログオンしているユーザーのセキュリティ コンテキストを実行する (ユーザー ポリシー オプション)] Common オプションを有効にしないでください。

[ユーザー GPP スケジュールされたタスク] 項目を作成するときに、[ 全般設定 ] タブで、スケジュールされたタスクが展開された後に実行されるセキュリティ コンテキストを指定できます。

User Configuration\Preferences\Control Panel Settings\Scheduled Tasks\New\"Scheduled Task (Windows Vista and later)"
一般：
セキュリティ オプション -> "タスクを実行するときは、次のユーザー アカウントを使用します。"

既定では、次のように設定されます。 %LogonDomain%\%LogonUser%

ここで、スケジュールされたタスクを実行するセキュリティ コンテキストを構成する必要があります。

データ収集

Microsoft サポートからの支援が必要な場合は、「TSS を使用して情報を収集する」で説明されている手順に従って情報グループ ポリシー収集することをお勧めします。