あいしんくいっとオススメ商品レビュー

ActiveDirectoryでGPOが適用されない時に確認したいこと

SHARE

この記事には広告を含む場合があります。

記事内で紹介する商品を購入することで、当サイトに売り上げの一部が還元されることがあります。

本記事対象者
ActiveDirectoryでGPO(グループポリシーオブジェクト)が上手く適用されずお困りの方

ども。あいしんくいっと(@ithinkitnet)です。

ithinkit

GPOが上手く適用されないのはナゼ?

ActiveDirectoryに参加しているクライアントに対してOU単位で設定を強要することが出来るGPO(GroupPolicyObject)
とても便利な機能なのですが、クライアントに対してGPOが上手く適用されない時があります。
グループポリシーの管理画面
なので、GPOが上手く適用されない時の対処法についていくつか挙げておきたいと思います。

ActiveDirectoryドメインサービスのインストールはこちら。
AD DS(ActiveDirectoryドメインサービス)構築手順【WindowsServer2019編】

ActiveDirectoryでGPOが適用されない時に確認したいこと

GPOが適用されない原因は色々と考えられます。環境に依存するところも大きいのですが、確認ポイントをいくつか挙げておきたいと思います。

GPOが適用対象オブジェクト(OU)に割り当てられているか?

作成したGPOが適用したいOUにきちんと割り当てられていることを確認します。
基本的にグループポリシーオブジェクトから見えるOUと、ユーザとコンピュータから見えるOUは紐づいています。
適用したいOUとGPOが一致
適用したいOUにグループポリシーが割り当てられていない場合、当たり前ですがGPOは適用されません。
あと、やりがちなのが「ユーザの構成」と「コンピューターの構成」を混同することです。
「ユーザの構成」と「コンピューターの構成」を混同しない

コンピューターの構成をGPOで割り当てる場合、該当のコンピューターオブジェクトが所属しているOUに対してGPOを割り当てないと、GPOが適用されませんので注意が必要です。ユーザの場合も然りで、ユーザーオブジェクトが所属しているOUに対してGPOを割り当てる必要があります。(私はよくこれでハマりましたw)

クライアント側で「gpresult」コマンドを実行

例えば、ログオンスクリプトが上手く動作しない場合、クライアント側で「gpresult /z」を実行してみて下さい。
適用されたGPOの情報や、実行結果を確認することが出来ます。
gpresult /zのコマンド実行結果
ログオンスクリプトが正常に実行された場合は以下のように表示されます。
ログオンスクリプトが正常に実行された結果
適用されない場合は「gpupdate」「gpupdate /force」といったコマンドを試してみるのも良いかも知れません。
それでも駄目なら、OS再起動でしょうか。

GPOが有効になっているか?

GPOは「有効」「無効」を選択することが出来ます。
デフォルトは「有効」なのですが、何らかの理由で「無効」になっている可能性もあるので確認すると良いでしょう。

以下のようにリンクの有効化が「いいえ」になってる場合は無効です。
リンクの有効化が「いいえ」

GPOアイコンが薄くなっていると無効化された状態です。ですので、無効化されていた場合は「リンクの有効化」を選択してGPOを有効にしておきましょう。
リンクの有効化

GPO適用前にクライアントPCが起動してしまっている

最近のWindowsPCは高速ログオン最適化機能というものが備わっており、ネットワーク初期化を待たずに起動するようです。
そのため、GPOが適用される前にコンピュータが起動してしまうこともあるみたいです。

そういった場合は「コンピューターの起動およびログオンで常にネットワークの起動を待つ」を有効にしておくことで回避出来るようです。
ローカルグループポリシーエディタで「コンピューターの起動およびログオンで常にネットワークの起動を待つ」を有効
ただ、これまでにそういった事象に遭遇したことはないですが。

ドメインコントーラ間の同期は取れているか?

ドメインコントローラが複数ある場合、ドメコン間でGPO変更の同期(レプリケーション)が取られる前にクライアントがアクセスしている可能性も考えられます。
なので、「今すぐレプリケーション」といった処理を行うと上手くいく可能性も考えられます。
いますぐレプリケート

サーバ側で制御出来るGPOは便利なのですが、上手く適用されず何かとハマることが多いので・・・。

ドメインコントローラと時刻同期出来ているか

ドメインコントローラ(DC)とクライアント間で時刻があっていないとGPOは機能しません。(5分以内のズレかな?)
過去、DCとのシステム時刻が大幅にズレていることに気づかず、

ithinkit

GPO効かない!なぜだ!?

大いに悩んだことがあります。

ドメインに参加した状態で時刻が大幅にズレてしまうと時刻修正されないし出来ません。
なので、いったんドメインから抜けて時刻修正したのち、ドメインに再参加させて無事にGPOが機能したといったことがありました。

GPOで設定することが多いログオンスクリプトが動かない場合はこちら。
ログオンスクリプトが動かない!キャッシュログオン無効化すると動くかも

GPOはとても便利な機能なのですが、意図せぬ動きをしたり、環境によっては機能しなかったりするのでトラブルの元にもなりがちです。
意図したGPOが適用されない時の確認ポイントを押さえておくことが早期解決に繋がるかと思います。

ithinkit

また思いついたら追記したいと思います。

以上、あいしんくいっとでした( ..)φメモメモ
WindowsServer関連まとめ記事 WindowsServer2016のIISでFTPサーバ構築する方法 【Windows】簡易なパスワードを設定!パスワードポリシーを変更する方法 WindowsServer2016を構築したら設定しておきたい5つの項目! Windowsで「要求された関数はサポートされていません」でリモートデスクトップ接続出来ない時の暫定対応!

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)

前の記事

メルカリでコミック全巻セットを売ってみた感想。とにかく発送が面…

次の記事

iPhone用のミニ扇風機を使ってみた感想!【iPhone6p…