■グループ・ポリシーに関連するトラブルの復旧は,非常に困難な作業である。なぜなら,どのポリシーがトラブルを生じさせているのか,見極めること自体が難しいからだ。
■トラブルを起こしやすいグループ・ポリシーは,[管理用テンプレート]に関連するポリシーと,「セキュリティ・ポリシー」であることが多い。その理由と,原因の見極め方やツール,トラブル復旧のテクニックを紹介する。
(2005年5月号「Windowsテクノロジ徹底解説」より)
グループ・ポリシーはご存じの通り,Windows環境を管理するための非常に強力かつ柔軟性に富んだツールである。千を超える設定が標準で用意されており,ユーザーのデスクトップのロックダウンからソフトウエアの配布,セキュリティ・ポリシーの展開に至るまで,Windows環境のほとんどを制御できる。 もちろん,このようなパワーには副作用もある。グループ・ポリシーの運用と管理は複雑であり,設定を間違えるとユーザーやアプリケーションに意図しないトラブルが発生することがある。そこでこの記事では,このような予期せぬトラブルの解決方法を取り上げたい。トラブル解決で最も難しいのは,原因を見つけ出すことだ。ここでは,グループ・ポリシーに関連する共通の問題を追跡して原因を見つけ出す方法と,トラブルを解消するテクニックを紹介しよう。 グループ・ポリシーによるトラブルには様々なものがあり,その大半はユーザーのデスクトップ上のアプリケーションにおけるトラブルとして出現する。しかし筆者の知る限り,トラブルの原因は「デスクトップ・ロックダウン・ポリシー」と「セキュリティ・ポリシー」であることが圧倒的に多い(表1)。
デスクトップ・ロックダウンは慎重に アプリケーションには全く落ち度がないのに,グループ・ポリシーの制限によってどちらかというと特徴のないエラーが発生すると,ユーザーや管理者は非常にあわてるだろう。 また,[ユーザーの構成]−[管理用テンプレート]−[システム]−[指定されたWindowsアプリケーションを実行しない]というポリシーを利用して,特定のアプリケーションの実行を制限した場合,ユーザーがそのアプリケーションを実行しようとすると,図1のような一般的なメッセージが表示される。
[管理用テンプレート]にあるポリシーを使うと,コンピュータやユーザーごとに,エクスプローラやInternet ExplorerなどのWindowsコンポーネントについて,利用の制限などが設定できる。これらをデスクトップ・ロックダウン・ポリシーと呼ぶ。Windowsコンポーネントをグループ・ポリシーで制御できるのは,マイクロソフトがこれらプログラムを,ポリシー関連のレジストリ値を参照するように作ったからである。従って開発者は,アプリケーションを開発する際に,ポリシー関連のグループ・ポリシーの値に十分注意しなければならない。[管理用テンプレート]のポリシーを使ってユーザーのデスクトップをロックダウンしたり,デスクトップの要素を隠したりすると,その設定が予期しない形でユーザーのアプリケーションに影響を与えてしまうことがある。
GPOが原因だとは分かりにくい なお,サード・パーティ製アプリケーションの場合,開発者がアプリケーションをロックダウン環境でテストすることを怠っていたり,グループ・ポリシーの制限と相性のよいAPIを使わなかったりすることによって,トラブルが発生することがある。アプリケーション開発者は,Microsoftが公開しているグループ・ポリシーとの整合性を保つための仕様(該当サイト)に必ず従わなければならない。
セキュリティ・ポリシーで問題が出る ところが彼はうっかりして,ローカル・ログオン権限をはく奪するというポリシーを含むGPOを,ドメインに対してリンクしてしまった。本来この場合は,特定のサーバーにだけポリシーが適用されるように,アクセス許可でフィルタリングをしなければならない。フィルタリングせずに,ドメイン上の全コンピュータにポリシーが適用されたため,管理者が自分の過ちに気づいて問題を修正するまで,ユーザーはだれもデスクトップにログオンできなくなってしまった。 これは,セキュリティ・ポリシー設定に関連して発生し得る問題の一例である。先ほど紹介した管理用テンプレートによる制限は,真のセキュリティ・ロックダウン・ポリシーではない。管理用テンプレートのポリシーはしょせん,人の目を欺く仕掛けのようなものに過ぎず,ユーザーがデスクトップ上で問題を起こさないようにすることが目的である。 それに対して,ユーザー権限,パスワード・ポリシー,ファイル/レジストリ/サービスへのアクセス許可といった本当のセキュリティは,グループ・ポリシーの[コンピュータの構成]−[Windowsの設定]−[セキュリティの設定]にあるセキュリティ・ポリシーでなければコントロールできない。
しかもこのとき表示されるエラー・メッセージは,ユーザー名やパスワードが間違っているといった基本的なものであり,本当の問題が何かを指摘してくれない。この詳細は,サポート技術情報(文書番号823659)を参考にしてほしい。
[制限されたグループ]に要注意
もう1つのオプションである[このグループの所属]では,ある既存のグループについて,それがどのグループのメンバーになるのかを指定できる。例えば,ローカルの管理者グループを[制限されたグループ]に追加し,[このグループの所属]オプションにデスクトップ管理者(Desktop Admins)のグループを追加すれば,デスクトップ管理者グループに所属する全メンバーが,ローカルの管理者グループに追加される。 しかし[制限されたグループ]に,ローカル管理者グループを追加したにもかかわらず,[このグループのメンバ]のリストにローカルの管理者アカウントやドメイン管理者(Domain Admins)のアカウントを登録し忘れると,管理者自身がコンピュータからロックアウトされてしまう。このオプションは,グループ・メンバーシップを置き換えてしまうため,このような間違いを犯しやすい。 筆者の経験上,ほとんどの問題,特に原因不明の問題は,ロックダウンかセキュリティ関連のGPOが引き起こしている。そこで続いて,グループ・ポリシーに関連する問題を追跡するためのツールやテクニックを紹介しよう。
ツールで原因を突き止める
ユーザーのデスクトップで発生するグループ・ポリシー関連のトラブルを解決する際は,まずどのような設定が適用されているのかを判断し,次にその問題がなくなるまで,設定を1つずつ分離するという方法が一般的である。このプロセスは面倒で時間もかかるが,作業を軽減するツールとテクニックはある。
|