Amazonでギフトを贈ろう!

ActiveDirectoryでGPOが適用出来ない時に確認したいこと

本記事対象者
ActiveDirectoryでGPOが上手く適用されずお困りの方

ども。あいしんくいっと( @ithinkitnet)です。

ActiveDirectoryに参加しているクライアントに対してOU単位で設定を強要することが出来るGPO(GroupPolicyObject)
とても便利な機能なのですが、クライアントに対してGPOが上手く適用されない時があります。

なので、GPOが上手く適用されない時の対処法についていくつか挙げておきたいと思います。

GPOが適用対象のオブジェクト(OU)にキチンと割り当てられているか?

作成したGPOが適用したいOUにきちんと割り当てられていることを確認します。
基本的にグループポリシーオブジェクトから見えるOUと、ユーザとコンピュータから見えるOUは紐づいています。

適用したいOUにグループポリシーが割り当てられていない場合、当たり前ですがGPOは適用されません。
また、よくやりがちなのが、「ユーザの構成」と「コンピューターの構成」を混同することです。

コンピューターの構成をGPOで割り当てる場合、該当のコンピューターオブジェクトが所属しているOUに対してGPOを割り当てないと、GPOが適用されませんので注意が必要です。ユーザの場合も然り。
(私はよくこれでハマりましたw)

クライアント側で「gpresult」コマンドを実行

例えば、ログオンスクリプトが上手く動作しない場合、クライアント側で「gpresult /z」を実行してみて下さい。
適用されたGPOの情報や、実行結果を確認することが出来ます。

ログオンスクリプトが正常に実行された場合は以下のように表示されます。

適用されない場合は「gpupdate」「gpupdate /force」といったコマンドを試してみるのも良いかも知れません。
それでも駄目なら、OS再起動でしょうか。

GPOが有効になっているか?

GPOは「有効」「無効」を選択することが出来ます。
デフォルトは「有効」なのですが、何らかの理由で「無効」になっている可能性もあるので確認すると良いでしょう。
以下のようにリンクの有効化が「いいえ」になってる場合は無効です。

ですので、「リンクの有効化」を選択してGPOを有効にしておきましょう。

GPO適用前にクライアントPCが起動してしまっている

WindowsPCは高速ログオン最適化機能というものが備わっており、ネットワーク初期化を待たずに起動するようです。
そのため、GPOが適用される前にコンピュータが起動してしまうこともあるみたいです。

そういった場合は「コンピューターの起動およびログオンで常にネットワークの起動を待つ」を有効にしておくことで回避出来るようです。

ただ、これまでにそういった事象に遭遇したことはないですが。

サーバ側で制御出来るGPOは便利なのですが、上手く適用されず何かとハマることが多いので・・・。
ご参考まで。

ithinkit

また思いついたら追記したいと思います。

以上、あいしんくいっとでした( ..)φメモメモ
WindowsServer2016のIISでFTPサーバを構築する方法WindowsServer2016で簡易なパスワードを設定!パスワードポリシーを変更する方法WindowsServer2016を構築したら設定しておきたい5つの項目!Windowsで「要求された関数は・・・」でリモートデスクトップ接続出来ない時の暫定対応!

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

*

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)