グループ ポリシーのトラブルシューティング
トラブルシューティング
グループ ポリシーに関する問題のトラブルシューティングで重要なのは、コンポーネントの依存関係を考慮することです。たとえば、グループ ポリシー ソフトウェア インストールはグループ ポリシーに依存し、グループ ポリシーは Active Directory に依存します。Active Directory は、ネットワーク サービスの正しい構成に依存します。あるコンポーネントで発生する問題を解決しようとする場合、そのコンポーネントが依存している、コンポーネント、サービス、およびリソースが複数あり、それらが正しく機能しているかどうかを確認するのが一般に有効です。イベント ログは、この種類の階層的依存関係から生じる問題を追跡するのに役立ちます。
どのような問題がありますか?
有効なポリシー設定を知る必要があります。
解決方法 : 有効になっているポリシーを確認するには、ポリシーの結果セット (RSoP) または gpresult を使用します。
次の手順に従って、ヘルプとサポート センターからポリシーに関するレポートを取得することもできます。
1. | [スタート] ボタンをクリックし、[ヘルプとサポート] をクリックします。 |
2. | [サポート] をクリックします。 |
3. | [関連項目] の [システムの詳細情報] をクリックします。 |
4. | [システムの詳細情報] の [適用しているグループ ポリシーの設定を表示する] をクリックします。 |
レポートには、次の情報が含まれます。
| • | ユーザー名とドメイン |
| • | コンピュータ名とドメイン |
| • | ユーザー設定とコンピュータ設定が最後に適用された日時 |
| • | フォルダ リダイレクトの詳細 |
| • | ログオン、ログオフ、スタートアップ、シャットダウンの各スクリプト |
| • | インストールされているソフトウェア |
| • | 管理用テンプレート |
| • | セキュリティの設定 |
| • | Internet Explorer のメンテナンスのための接続とプロキシの設定 |
関連項目 : ポリシーの結果セット、Gpresult
ポリシーを更新する必要があります。
解決方法 : gpupdate を使用してポリシーを直ちに更新します。gpupdate を使用すると、特定のオプションをコマンド ラインから指定できます。gpupdate は Windows 2000 のコマンド secedit /refreshpolicy を改良したものであり、このコマンドの代わりとして使用されます。ただし、コンピュータに割り当てたソフトウェアなどのポリシー項目によっては、コンピュータの再起動が必要になることがあります。ユーザーに割り当てたソフトウェアの場合は、そのユーザーのログオンとログオフが必要になります。
関連項目 : Gpupdate、グループ ポリシーを直ちに更新する
基本ネットワーク接続を確認する必要があります。
解決方法 : ドメイン コントローラに ping を実行してみます。
DNS が正常に動作していることを確認します。
関連項目 : Ping、DNS、ネットワーク接続について、リモート ネットワークへの接続を構成する、ローカル エリア接続を使用する、ping コマンドを使って TCP/IP 構成をテストする
ログを有効にする必要があります。
解決方法 : グループ ポリシーの診断ログがクライアント コンピュータ上の Userenv.log というファイルに書き込まれるように、レジストリ キーを設定します。
イベント ログの詳細ログを有効にするレジストリ キーを設定して、イベント ビューアで表示可能にすることもできます。
関連項目 : レジストリ エディタ、イベント ビューア、グループ ポリシーのトラブルシューティングに関する Microsoft の Web サイト (ログ ファイルによるグループ ポリシーの監視、およびイベント ログへの詳細情報の記録についてのページ)
管理用テンプレートに含まれている個々のグループ ポリシー設定で助けが必要です。
解決方法 : この情報はヘルプに含まれています。
読み取りアクセス権があるにもかかわらず、グループ ポリシー オブジェクト エディタでグループ ポリシー オブジェクトを開くことができません。
原因 : 管理者は、グループ ポリシー オブジェクト エディタでグループ ポリシー オブジェクトを開くには、そのグループ ポリシー オブジェクトに対するフル コントロールを持っている必要があります。
解決方法 : そのグループ ポリシー オブジェクトへのフル コントロールが割り当てられているセキュリティ グループのメンバであることを確認します。たとえば、ドメイン管理者は、Active Directory ベースのグループ ポリシーを管理できます。コンピュータの管理者は、そのコンピュータにあるローカルのグループ ポリシーを編集できます。
グループ ポリシー オブジェクトを編集しようとすると、"グループ ポリシー オブジェクトを開けませんでした。" というエラー メッセージが表示されます。
原因 : 通常、このエラーはネットワークの問題が原因であり、具体的にはドメイン ネーム システム (DNS) の構成に問題があります。
解決方法 : DNS が正常に動作していることを確認します。
関連項目 : DNS
グループ ポリシー オブジェクトを編集しようとすると、"Active Directory コンテナがありません。" というエラー メッセージが表示されます。
原因 : グループ ポリシーで、見つかっていない組織単位 (OU) にグループ ポリシー オブジェクトをリンクしようとしたことが、このエラーの原因です。組織単位 (OU) が削除されている可能性があります。または、組織単位が別のドメイン コントローラで作成されたが、使用中のドメイン コントローラにレプリケートされていない可能性があります。
解決方法 : 次のどちらかをいつでも行える管理者の数を制限します。1 つは、Active Directory に構造的な変更を加えられる管理者で、もう 1 つは、グループ ポリシー オブジェクトを編集できる管理者です。変更をレプリケートできるようにしてから、同じ組織単位 (OU) またはグループ ポリシー オブジェクトに影響を及ぼす変更を行います。
グループ ポリシー オブジェクトを編集しようとすると、"スナップインを初期化できませんでした。" というエラー メッセージが表示されます。
原因 : グループ ポリシーで framedyn.dll が見つからない場合に、このエラーが発生することがあります。
解決方法 : インストール スクリプトを使う場合は、そのスクリプトで、システム パスに <システム ルート ディレクトリ>\system32\wbem ディレクトリが指定されていることを確認してください。既定では、システム パスに既に <システム ルート ディレクトリ>\system32\wbem があります。したがって、インストール スクリプトを使わない場合は、この問題が発生することはあまりありません。
特定のセキュリティ グループに属するユーザーとコンピュータに対しグループ ポリシーが適用されません。グループ ポリシー オブジェクトが、そのセキュリティ グループを含む組織単位 (OU) にリンクされている場合も同様です。
原因 : これは正しい動作です。グループ ポリシーは、サイト、ドメイン、および組織単位 (OU) に含まれるユーザーとコンピュータのみに影響します。グループ ポリシー オブジェクトはセキュリティ グループに適用されません。
解決方法 : サイト、ドメイン、および組織単位 (OU) だけにグループ ポリシー オブジェクトをリンクします。Active Directory でのセキュリティ グループの場所は、そのセキュリティ グループのユーザーとコンピュータに対してグループ ポリシーが適用されるかどうかには無関係です。
グループ ポリシーが、サイト、ドメイン、または組織単位 (OU) のユーザーとコンピュータに影響していません。
原因 : 故意または不注意により、グループ ポリシー設定がいくつかの点でユーザーとコンピュータに影響しなくなることがあります。グループ ポリシー オブジェクトは、ユーザー、コンピュータ、またはその両方に影響を与えないように無効にされることがあります。継承によってグループ ポリシー設定が適用されるように、グループ ポリシー オブジェクトは、ユーザーとコンピュータを含む組織単位 (OU) に直接リンクするか、親のドメインまたは組織単位 (OU) にリンクする必要があります。
複数のグループ ポリシー オブジェクトを適用する場合は、ローカル、サイト、ドメイン、組織単位 (OU) の順序で処理されます。既定では、後で適用された設定ほど優先されます。また、グループ ポリシーは、組織単位 (OU) のレベルでブロックされたり、特定のグループ ポリシー オブジェクトのリンクに適用される [上書き禁止] の設定によって強制的に適用されたりすることがあります。
最後に、ユーザーまたはコンピュータは、適切なアクセス許可が設定されている 1 つまたは複数のセキュリティ グループに属する必要があります。
解決方法 : 次の操作を行います。
| • | 自分の意図したポリシーがブロックされていないことを確認します。 |
| • | Active Directory の上位レベルで設定されている上書きポリシーが、[上書き禁止] に設定されていないことを確認します。 |
| • | [無効] および [上書き禁止] の両方を使用した場合は、[上書き禁止] が優先されます。 |
| • | ユーザーまたはコンピュータが、"グループ ポリシーの適用" アクセス制御エントリ (ACE) が [拒否] に設定されているセキュリティ グループのメンバでないことを確認します。 |
| • | ユーザーまたはコンピュータが、"グループ ポリシーの適用" アクセス制御エントリ (ACE) が [許可] に設定されている少なくとも 1 つのセキュリティ グループのメンバであることを確認します。 |
| • | ユーザーまたはコンピュータが、"読み取り" アクセス制御エントリ (ACE) が [許可] に設定されている少なくとも 1 つのセキュリティ グループのメンバであることを確認します。 |
関連項目 : ポリシーの継承、セキュリティ グループ メンバシップに応じてグループ ポリシーのスコープをフィルタ処理する
Active Directory コンテナに含まれているユーザーとコンピュータにグループ ポリシーが影響していません。
原因 : サイト、ドメイン、および組織単位 (OU) 以外の Active Directory コンテナにグループ ポリシー オブジェクトをリンクすることはできません。
解決方法 : Active Directory コンテナの親となる組織単位 (OU) にグループ ポリシー オブジェクトをリンクします。既定では、これらの設定は、コンテナに含まれるユーザーとコンピュータに継承されます。
グループ ポリシーがローカル コンピュータで有効になりません。
原因 : ローカルのポリシーは優先順位が最も低く設定されています。どの Active Directory ベースのポリシーでもローカル ポリシーを上書きできます。
解決方法 : Active Directory によってどのようなグループ ポリシーが適用されているか、また、それらのグループ ポリシー オブジェクトの設定がローカル設定と競合していないかどうかを確認します。
コンピュータに割り当てたソフトウェアが、そのコンピュータで使用できません。
原因 : クライアント コンピュータが再起動されていません。
解決方法 : クライアント コンピュータを再起動します。
ユーザーに割り当てたか公開したソフトウェアが、そのユーザーのコンピュータで使用できません。
原因 : ユーザーのログオフとログオンが実行されていません。
解決方法 : 一度ログオフしてから、もう一度ログオンするようユーザーに指示します。
公開したアプリケーションがコントロール パネルの [プログラムの追加と削除] に表示されません。
原因 : 複数の原因が考えられます。
| • | グループ ポリシーが適用されていない。 |
| • | Active Directory にアクセスできない。 |
| • | 公開したアプリケーションに適用されるグループ ポリシー オブジェクトにそれらのアプリケーションが含まれていない。 |
| • | クライアントがターミナル サーバーを実行している。 |
解決方法 : 上に挙げた原因を順番に調査します。グループ ポリシー ソフトウェア インストールがターミナル サーバーのクライアントに対してサポートされていないことに注意してください。
公開したアプリケーションのドキュメントをアクティブにしても、アプリケーションがインストールされません。
"インストールしようとしている機能が、ソース ディレクトリにありません。" などのエラー メッセージが表示されます。
原因 : このエラーは、ネットワークまたはアクセス許可の問題が原因で発生することがあります。
解決方法 : ネットワークが正常に動作していることを確認します。
"この操作は現在インストールされている製品に対してのみ有効です。" や "機能 ID が登録されていません。" などのエラー メッセージが表示されます。
原因 : 移動ユーザー プロファイルを使用しているユーザーが、同時に 2 台のコンピュータにログオンしたことが原因で、このエラーが発生することがあります。移動ユーザー プロファイルのこのような使用はサポートされていません。
解決方法 : 1 台のコンピュータからログオフしてから、もう 1 台のコンピュータにログオンするようユーザーに指示します。こうすると 2 台目のコンピュータでアプリケーションのショートカットが更新されて有効になり、エラー メッセージが表示されなくなります。
アプリケーションを削除した後も、そのアプリケーションのショートカットがユーザーのデスクトップに残っています。
原因 : ユーザーが作成したショートカットであるため、Windows インストーラがそれらのショートカットを認識しません。
解決方法 : ユーザーが手動でショートカットを削除する必要があります。
"別のインストールが既に実行されています。" などのエラー メッセージが表示されます。
原因 : ユーザー インターフェイスが表示されずにバックグラウンドでアンインストールが実行されているか、ユーザーが不注意から 2 つのインストールを同時に起動しています。2 つのインストールを同時に起動する操作はサポートされていません。
解決方法 : 後で再び操作してみます。
既にインストールされているアプリケーションをユーザーが開いても、Windows インストーラが起動します。
原因 : アプリケーションが自動修復されているか、ユーザーに必要な機能が追加されています。
解決方法 : 対処の必要はありません。
"Active Directory では、このパッケージの展開は許可されません" や "展開用のパッケージを準備できません" などのエラー メッセージが表示されます。
原因 : パッケージが破損しているか、ネットワークに問題があります。
解決方法 : 破損していないパッケージを使用してください。ネットワークの問題を調査し、適切に対処してください。
グループ ポリシー オブジェクト エディタのコンソール ツリーで [グループ ポリシー ソフトウェア インストール] のいずれかのアイコンをクリックすると、"スナップインを初期化できませんでした。" というエラー メッセージが表示されます。
原因 : グループ ポリシー ソフトウェア インストールで framedyn.dll が見つからない場合に、このエラーが発生することがあります。
解決方法 : インストール スクリプトを使う場合は、そのスクリプトで、システム パスに <システム ルート ディレクトリ>\system32\wbem ディレクトリが指定されていることを確認してください。既定では、システム パスに既に <システム ルート ディレクトリ>\system32\wbem があります。したがって、インストール スクリプトを使わない場合は、この問題が発生することはあまりありません。
既定のグループ ポリシー オブジェクトを誤って削除しました。
原因 : これは、Active Directory ユーザーとコンピュータからグループ ポリシー オブジェクトを削除するときに発生する可能性があります。
解決方法 : dcgpofix を使用して、既定のグループ ポリシー オブジェクトを元の状態に戻します。
関連項目 : Dcgpofix
ドメイン コントローラの Sysvol ディレクトリ、または Sysvol ディレクトリの、既定のグループ ポリシー オブジェクトが含まれる部分を誤って削除しました。
原因 : これは、システム ルートからディレクトリを削除するときに発生する可能性があります。
解決方法 : Sysvol ディレクトリを復元します。Dcgpofix コマンド ライン ツールを使用して、既定のグループ ポリシー オブジェクトを元の状態に復元します。定期的に実行するバックアップ手順によって Sysvol ディレクトリをバックアップすることが非常に重要です。
関連項目 : Dcgpofix
ポリシーを設定しましたが、アクセスを拒否されています。
原因 : これは、Sysvol ディレクトリにファイル システムのセキュリティ ポリシーを設定した場合や、ドメイン管理者ポリシーのセキュリティを過剰に設定した場合に、既定のグループ ポリシー オブジェクトで発生する可能性があります。
解決方法 : 管理者としてログオンし、Dcgpofix コマンド ライン ツールを使用して、既定のドメインおよびドメイン コントローラのグループ ポリシー オブジェクトを元の状態に復元します。
関連項目 : Dcgpofix
| InitWizard("83b93d7e-3088-44be-b270-8ee463b349861041"); |