現象
クライアント コンピュータに Microsoft Windows 2000 Service Pack 4 (SP4) をインストールした後、ドメインへのログオン時に、ログオン スクリプトが実行されません。Windows 2000 SP4 を削除すると、ログオン時にログオン スクリプトが正常に実行されます。また、"フォレスト間ユーザー ポリシーおよび移動ユーザー プロファイルを許可する" ポリシーが無効か未構成の場合は、Userenv.log ファイルに次のエントリが記録されます。
USERENV(1418.15b8) time CheckXForestLogon: checking x-forest logon, user handle = 124
USERENV(1418.15b8) time CheckXForestLogon: policy set to disable XForest checkMicrosoft Windows Server 2003 を実行しているコンピュータに以下のエラー メッセージが表示されます。
フォレストを越えた移動ユーザー プロファイルが無効になっています。移動プロファイルが読み込まれなかったため、ローカル プロファイルでログオンしています。ログオフするとき、プロファイルへの変更はサーバーにコピーされません。ネットワーク管理者に問い合わせてください。
原因
この問題は、以下の両方の条件に該当する場合に発生します。
-
ログオン スクリプトが、信頼される側の Windows 2000 フォレストにあるユーザー ポリシー (フォレスト間ユーザー ポリシー) に含まれている。
-
Windows 2000 SP4 ベースのコンピュータ上で、"フォレスト間ユーザー ポリシーおよび移動ユーザー プロファイルを許可する" ポリシーが有効になっていない。
Windows 2000 SP4 には、ローカル コンピュータ上でフォレスト間ユーザー ポリシーが実行されることを防止する新しい機能が含まれています。この機能は Windows 2000 フォレスト間のセキュリティ向上に役立ちます。デフォルトでは、ローカル コンピュータ上でフォレスト間ユーザー ポリシーの実行を許可するポリシーは有効になっていません。
解決方法
この問題を解決するには、Windows 2000 SP4 ベース コンピュータ上でフォレスト間ユーザー ポリシーの実行を許可します。そのためには、次の手順を実行します。
-
管理者権限を持つユーザーとしてログオンします。
-
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。gpedit.msc と入力し、[OK] をクリックします。
-
[コンピュータの構成]、[管理用テンプレート]、[システム] を順に展開し、[グループ ポリシー] をクリックします。
-
右側のウィンドウで [フォレスト間ユーザー ポリシーおよび移動ユーザー プロファイルを許可する] をダブルクリックします。
-
[有効] をクリックし、[適用]、[OK] を順にクリックします。
-
グループ ポリシー ツールを終了します。
-
コンピュータがポリシーを自動的に更新するまで待機するか、手動で更新します。コンピュータ ポリシーを手動で更新するには、次の手順を実行します。
-
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。[名前] ボックスに cmd と入力し、[OK] をクリックします。
-
次のコマンドを入力し、Enter キーを押します。
secedit /refreshpolicy machine_policy
Secedit.exe コマンドを使用してユーザーとコンピュータのポリシーを更新する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
227448 Secedit.exe を用いてグループ ポリシーを再適用する
227302 [NT]SECEDIT を使用してグループ ポリシーをただちに更新させる
-
-
コンピュータからログオフします。
注 : Windows 2000 SP4 を実行しているドメイン コントローラ上では、ドメインまたは組織単位ベースのグループ ポリシー オブジェクト (GPO) を使用して、"フォレスト間ユーザー ポリシーおよび移動ユーザー プロファイルを許可する" ポリシーを設定することもできます。
詳細
以下は Windows 2000 SP4 で導入された新しい動作の説明です。
-
双方向の信頼関係が構成された 2 つの Windows 2000 フォレスト (forest A と forest B) がある。
-
forest A のユーザーが forest B のコンピュータにログオンする。
この場合、ユーザーのログオン時、forest A のユーザー ポリシーは適用されません。信頼される側のフォレストから明示的にユーザー ポリシーの適用を許可する必要があります。
Windows 2000 ドメイン内でグループ ポリシーを使用する方法の詳細については、次のマイクロソフト Web サイトを参照してください。http://www.microsoft.com/japan/windows2000/techinfo/howitworks/management/grouppolwp.asp 製品版の Windows でユーザー環境のデバッグ ログ収集を有効にする方法を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
221833 製品版 Windows でユーザー環境デバッグ ログを有効にする方法