■グループ・ポリシーに関連するトラブルの復旧は,非常に困難な作業である。なぜなら,どのポリシーがトラブルを生じさせているのか,見極めること自体が難しいからだ。
■トラブルを起こしやすいグループ・ポリシーは,[管理用テンプレート]に関連するポリシーと,「セキュリティ・ポリシー」であることが多い。その理由と,原因の見極め方やツール,トラブル復旧のテクニックを紹介する。
(2005年5月号「Windowsテクノロジ徹底解説」より)

(Darren Mar-Elia)

 


 グループ・ポリシーはご存じの通り,Windows環境を管理するための非常に強力かつ柔軟性に富んだツールである。千を超える設定が標準で用意されており,ユーザーのデスクトップのロックダウンからソフトウエアの配布,セキュリティ・ポリシーの展開に至るまで,Windows環境のほとんどを制御できる。

 もちろん,このようなパワーには副作用もある。グループ・ポリシーの運用と管理は複雑であり,設定を間違えるとユーザーやアプリケーションに意図しないトラブルが発生することがある。そこでこの記事では,このような予期せぬトラブルの解決方法を取り上げたい。トラブル解決で最も難しいのは,原因を見つけ出すことだ。ここでは,グループ・ポリシーに関連する共通の問題を追跡して原因を見つけ出す方法と,トラブルを解消するテクニックを紹介しよう。

 グループ・ポリシーによるトラブルには様々なものがあり,その大半はユーザーのデスクトップ上のアプリケーションにおけるトラブルとして出現する。しかし筆者の知る限り,トラブルの原因は「デスクトップ・ロックダウン・ポリシー」と「セキュリティ・ポリシー」であることが圧倒的に多い(表1)。

名称 設定方法 特徴
「管理用テンプレート」のポリシー [ユーザーの構成]-[管理用テンプレート] ・アプリケーションの起動禁止など「見せかけ」の制限(ファイル名の変更などで回避可能)が多い
「セキュリティの設定」のポリシー [コンピュータの構成]-[Windowsの設定]-[セキュリティの設定] ・管理者ですらログオンできなくなるなど,非常に厳しい制限がかかる。不用意に設定しないことが重要
表1●トラブルになりやすいグループ・ポリシー
トラブルになりやすいのは「管理用テンプレート」と「セキュリティの設定」にあるポリシーである。

デスクトップ・ロックダウンは慎重に
 筆者がサポートしたある環境では,ドライブを隠す管理ポリシー(グループ・ポリシー・オブジェクト・エディタ(GPE)で[ユーザーの構成]−[管理用テンプレート]−[Windowsコンポーネント]−[エクスプローラ]−[指定したドライブを[マイコンピュータ]内で非表示にする])を有効にすると,トラブルが生じた。グループ・ポリシーとは無関係に見える不明瞭なエラー・メッセージを残して,古いアプリケーションが起動に失敗するのである。

 アプリケーションには全く落ち度がないのに,グループ・ポリシーの制限によってどちらかというと特徴のないエラーが発生すると,ユーザーや管理者は非常にあわてるだろう。

 また,[ユーザーの構成]−[管理用テンプレート]−[システム]−[指定されたWindowsアプリケーションを実行しない]というポリシーを利用して,特定のアプリケーションの実行を制限した場合,ユーザーがそのアプリケーションを実行しようとすると,図1のような一般的なメッセージが表示される。

△ 図をクリックすると拡大されます
図1●グループ・ポリシーによって処理が取り消されたときのエラー・メッセージ例
このエラー・メッセージの原因が,グループ・ポリシーにあることは,エンドユーザーにはすぐ分からない。

 [管理用テンプレート]にあるポリシーを使うと,コンピュータやユーザーごとに,エクスプローラやInternet ExplorerなどのWindowsコンポーネントについて,利用の制限などが設定できる。これらをデスクトップ・ロックダウン・ポリシーと呼ぶ。Windowsコンポーネントをグループ・ポリシーで制御できるのは,マイクロソフトがこれらプログラムを,ポリシー関連のレジストリ値を参照するように作ったからである。従って開発者は,アプリケーションを開発する際に,ポリシー関連のグループ・ポリシーの値に十分注意しなければならない。[管理用テンプレート]のポリシーを使ってユーザーのデスクトップをロックダウンしたり,デスクトップの要素を隠したりすると,その設定が予期しない形でユーザーのアプリケーションに影響を与えてしまうことがある。

GPOが原因だとは分かりにくい
 図1のようなメッセージがユーザーのデスクトップに表示されたとしても,その原因はすぐに分からないだろう。もしグループ・ポリシーが関連していると見当がついたとしても,どのように関連しているかは分からないと思う。特に,ポリシーを設定した管理者ではなく,どのGPO(グループ・ポリシー・オブジェクト)がこのユーザー/コンピュータに対して設定されたか分からない場合は,根本的な問題を割り出すのは困難である。このような問題の原因を識別するための対策は,後ほど紹介しよう。

 なお,サード・パーティ製アプリケーションの場合,開発者がアプリケーションをロックダウン環境でテストすることを怠っていたり,グループ・ポリシーの制限と相性のよいAPIを使わなかったりすることによって,トラブルが発生することがある。アプリケーション開発者は,Microsoftが公開しているグループ・ポリシーとの整合性を保つための仕様(該当サイト)に必ず従わなければならない。

セキュリティ・ポリシーで問題が出る
 ある管理者の話も教訓になる。彼は管理者でないユーザーが特定のサーバーにログオンできなくなるよう,ローカル・ログオン権限を持つユーザー・グループをコントロールしようとしていた。

 ところが彼はうっかりして,ローカル・ログオン権限をはく奪するというポリシーを含むGPOを,ドメインに対してリンクしてしまった。本来この場合は,特定のサーバーにだけポリシーが適用されるように,アクセス許可でフィルタリングをしなければならない。フィルタリングせずに,ドメイン上の全コンピュータにポリシーが適用されたため,管理者が自分の過ちに気づいて問題を修正するまで,ユーザーはだれもデスクトップにログオンできなくなってしまった。

 これは,セキュリティ・ポリシー設定に関連して発生し得る問題の一例である。先ほど紹介した管理用テンプレートによる制限は,真のセキュリティ・ロックダウン・ポリシーではない。管理用テンプレートのポリシーはしょせん,人の目を欺く仕掛けのようなものに過ぎず,ユーザーがデスクトップ上で問題を起こさないようにすることが目的である。

 それに対して,ユーザー権限,パスワード・ポリシー,ファイル/レジストリ/サービスへのアクセス許可といった本当のセキュリティは,グループ・ポリシーの[コンピュータの構成]−[Windowsの設定]−[セキュリティの設定]にあるセキュリティ・ポリシーでなければコントロールできない。


△ 図をクリックすると拡大されます
図2●グループ・ポリシーでLAN Manager認証レベルを変更した画面
 セキュリティ・ポリシー設定がいくつかの点で問題を発生させることもある。例えば,[コンピュータの構成]−[Windowsの設定]−[セキュリティの設定]−[ローカルポリシー]−[セキュリティオプション]−[ネットワークセキュリティ:LAN Manager認証レベル]を呼び出して,サーバーで利用するNTLM認証レベルを図2のように設定する。すると,Windows 9xやWindows NT 4.0 Service Pack3以前といったNTLMv2に対応していないクライアントが,サーバーにアクセスできなくなってしまう。

 しかもこのとき表示されるエラー・メッセージは,ユーザー名やパスワードが間違っているといった基本的なものであり,本当の問題が何かを指摘してくれない。この詳細は,サポート技術情報(文書番号823659)を参考にしてほしい。

[制限されたグループ]に要注意
 セキュリティ・ポリシーによっては,管理者がシステムからロックアウトされてしまうこともある。例えば,管理者は[制限されたグループ]のセキュリティ・ポリシーを使って,クライアントやサーバーのローカルにおけるグループ・メンバーシップをコントロール可能だ。このポリシーは,全デスクトップにおけるローカル管理者グループのメンバーを設定するのに利用されることが多い。


△ 図をクリックすると拡大されます
図3●「制限されたグループ」の設定画面
 [制限されたグループ]のセキュリティ・ポリシーには,2つのオプションがある(図3)。例えば,ローカルの管理者グループ(Administrators)を[制限されたグループ]に追加する。そしてプロパティを開いて,[このグループのメンバ]というオプションにユーザーやグループを追加すると,ここで指定されたユーザーやグループだけが,ローカルの管理者グループのメンバーとして固定され,他のユーザーやグループは,グループ・ポリシーが適用される際に削除されるようになる。

 もう1つのオプションである[このグループの所属]では,ある既存のグループについて,それがどのグループのメンバーになるのかを指定できる。例えば,ローカルの管理者グループを[制限されたグループ]に追加し,[このグループの所属]オプションにデスクトップ管理者(Desktop Admins)のグループを追加すれば,デスクトップ管理者グループに所属する全メンバーが,ローカルの管理者グループに追加される。

 しかし[制限されたグループ]に,ローカル管理者グループを追加したにもかかわらず,[このグループのメンバ]のリストにローカルの管理者アカウントやドメイン管理者(Domain Admins)のアカウントを登録し忘れると,管理者自身がコンピュータからロックアウトされてしまう。このオプションは,グループ・メンバーシップを置き換えてしまうため,このような間違いを犯しやすい。

 筆者の経験上,ほとんどの問題,特に原因不明の問題は,ロックダウンかセキュリティ関連のGPOが引き起こしている。そこで続いて,グループ・ポリシーに関連する問題を追跡するためのツールやテクニックを紹介しよう。

ツールで原因を突き止める
 筆者はよく人から「ユーザーまたはコンピュータのグループ・ポリシーをオフにすれば,設定がデフォルトの状態に戻るのか?」と聞かれる。アクセス許可によるフィルタリングを使えば,特定のユーザーまたはコンピュータにGPOを適用させないようにできるが,いったんはポリシーを割り当てた以上,そのユーザーまたはコンピュータの設定をすべてデフォルトの状態に戻すことにはならない。グループ・ポリシーをオフにする簡単な方法はないので,グループ・ポリシー関連の変更は,どんなに些細なことでも,いつも念入りにテストすべきだ。

 ユーザーのデスクトップで発生するグループ・ポリシー関連のトラブルを解決する際は,まずどのような設定が適用されているのかを判断し,次にその問題がなくなるまで,設定を1つずつ分離するという方法が一般的である。このプロセスは面倒で時間もかかるが,作業を軽減するツールとテクニックはある。
(次のページへ続く)