現象

クライアント コンピュータに Microsoft Windows 2000 Service Pack 4 (SP4) をインストールした後、ドメインへのログオン時に、ログオン スクリプトが実行されません。Windows 2000 SP4 を削除すると、ログオン時にログオン スクリプトが正常に実行されます。また、"フォレスト間ユーザー ポリシーおよび移動ユーザー プロファイルを許可する" ポリシーが無効か未構成の場合は、Userenv.log ファイルに次のエントリが記録されます。

USERENV(1418.15b8) time CheckXForestLogon: checking x-forest logon, user handle = 124 USERENV(1418.15b8) time CheckXForestLogon: policy set to disable XForest check

Microsoft Windows Server 2003 を実行しているコンピュータに以下のエラー メッセージが表示されます。

フォレストを越えた移動ユーザー プロファイルが無効になっています。移動プロファイルが読み込まれなかったため、ローカル プロファイルでログオンしています。ログオフするとき、プロファイルへの変更はサーバーにコピーされません。ネットワーク管理者に問い合わせてください。

原因

この問題は、以下の両方の条件に該当する場合に発生します。

  • ログオン スクリプトが、信頼される側の Windows 2000 フォレストにあるユーザー ポリシー (フォレスト間ユーザー ポリシー) に含まれている。

  • Windows 2000 SP4 ベースのコンピュータ上で、"フォレスト間ユーザー ポリシーおよび移動ユーザー プロファイルを許可する" ポリシーが有効になっていない。

Windows 2000 SP4 には、ローカル コンピュータ上でフォレスト間ユーザー ポリシーが実行されることを防止する新しい機能が含まれています。この機能は Windows 2000 フォレスト間のセキュリティ向上に役立ちます。デフォルトでは、ローカル コンピュータ上でフォレスト間ユーザー ポリシーの実行を許可するポリシーは有効になっていません。

解決方法

この問題を解決するには、Windows 2000 SP4 ベース コンピュータ上でフォレスト間ユーザー ポリシーの実行を許可します。そのためには、次の手順を実行します。

  1. 管理者権限を持つユーザーとしてログオンします。

  2. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。gpedit.msc と入力し、[OK] をクリックします。

  3. [コンピュータの構成]、[管理用テンプレート]、[システム] を順に展開し、[グループ ポリシー] をクリックします。

  4. 右側のウィンドウで [フォレスト間ユーザー ポリシーおよび移動ユーザー プロファイルを許可する] をダブルクリックします。

  5. [有効] をクリックし、[適用]、[OK] を順にクリックします。

  6. グループ ポリシー ツールを終了します。

  7. コンピュータがポリシーを自動的に更新するまで待機するか、手動で更新します。コンピュータ ポリシーを手動で更新するには、次の手順を実行します。

    1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。[名前] ボックスに cmd と入力し、[OK] をクリックします。

    2. 次のコマンドを入力し、Enter キーを押します。

      secedit /refreshpolicy machine_policy

    Secedit.exe コマンドを使用してユーザーとコンピュータのポリシーを更新する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。

    227448 Secedit.exe を用いてグループ ポリシーを再適用する

    227302 [NT]SECEDIT を使用してグループ ポリシーをただちに更新させる

  8. コンピュータからログオフします。

注 : Windows 2000 SP4 を実行しているドメイン コントローラ上では、ドメインまたは組織単位ベースのグループ ポリシー オブジェクト (GPO) を使用して、"フォレスト間ユーザー ポリシーおよび移動ユーザー プロファイルを許可する" ポリシーを設定することもできます。

詳細

以下は Windows 2000 SP4 で導入された新しい動作の説明です。

  • 双方向の信頼関係が構成された 2 つの Windows 2000 フォレスト (forest Aforest B) がある。

  • forest A のユーザーが forest B のコンピュータにログオンする。

この場合、ユーザーのログオン時、forest A のユーザー ポリシーは適用されません。信頼される側のフォレストから明示的にユーザー ポリシーの適用を許可する必要があります。Windows 2000 ドメイン内でグループ ポリシーを使用する方法の詳細については、次のマイクロソフト Web サイトを参照してください。

http://www.microsoft.com/japan/windows2000/techinfo/howitworks/management/grouppolwp.asp 製品版の Windows でユーザー環境のデバッグ ログ収集を有効にする方法を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。

221833 製品版 Windows でユーザー環境デバッグ ログを有効にする方法

ヘルプを表示

その他のオプションが必要ですか?

サブスクリプションの特典の参照、トレーニング コースの閲覧、デバイスのセキュリティ保護方法などについて説明します。

コミュニティは、質問をしたり質問の答えを得たり、フィードバックを提供したり、豊富な知識を持つ専門家の意見を聞いたりするのに役立ちます。