GPMC を実行すると、"sysvol フォルダー内のこの GPO のアクセス許可が Active Directory のアクセス許可と一貫性がありません" というメッセージが表示される

この記事では、グループ ポリシー管理コンソール (GPMC) を実行するときに発生するエラーを修正する方法について説明します。

適用対象: Windows Server 2012 R2
元の KB 番号: 828760

現象

Microsoft Windows Server ドメインで GPMC を実行し、[ 既定のドメイン ポリシー ] または [ 既定のドメイン コントローラー ポリシー] をクリックすると、次のいずれかのメッセージが表示されます。

  • グループ ポリシー オブジェクト (GPO) のセキュリティを変更するアクセス許可がある場合は、次のメッセージが表示されます。

    sysvol フォルダー内のこの GPO のアクセス許可は、Active Directory のアクセス許可と一致しません。 これらのアクセス許可は一貫性のあるものにすることをお勧めします。 SYSVOL のアクセス許可を Active Directory 内のアクセス許可に変更するには、[OK] をクリックします。

  • グループ ポリシー オブジェクト (GPO) のセキュリティを変更するアクセス許可がない場合は、次のメッセージが表示されます。

    sysvol フォルダー内のこの GPO のアクセス許可は、Active Directory のアクセス許可と一致しません。 これらのアクセス許可は一貫性のあるものにすることをお勧めします。 この GPO のセキュリティを変更する権限を持つ管理者に問い合わせてください。

原因

この問題は、グループ ポリシー オブジェクトの Sysvol 部分のアクセス制御リスト (ACL) が親フォルダーからアクセス許可を継承するように設定されているために発生します。

状態

Microsoft は、この記事の「適用対象」セクションに記載されている Microsoft 製品の問題であることを確認しました。

回避策

既定の GPO のセキュリティを変更するアクセス許可がある場合は、"現象" セクションで説明されているメッセージに応答して [OK] をクリックします 。 このアクションは、グループ ポリシー オブジェクトの Sysvol 部分の ACL を変更し、Active Directory コンポーネントの ACL と一致させます。 この場合、グループ ポリシーは Sysvol フォルダー内の継承属性を削除します。

詳細情報

各グループ ポリシー オブジェクト (GPO) は、ドメイン コントローラーの Sysvol フォルダーと Active Directory ディレクトリ サービスの一部に格納されます。 GPMC、グループ ポリシー オブジェクト エディター、および Active Directory スナップインで提供されている古いグループ ポリシー ユーザー インターフェイスは、GPO を 1 つのユニットとして表示および管理します。 たとえば、GPMC で GPO にアクセス許可を設定すると、GPMC は Active Directory と Sysvol フォルダーの両方のオブジェクトに対するアクセス許可を設定します。 GPO ごとに、Active Directory のアクセス許可が Sysvol フォルダー内のアクセス許可と一致している必要があります。 GPMC と グループ ポリシー オブジェクト エディターの外部で、これらの個別のオブジェクトを変更しないでください。 これを行うと、クライアントでのグループ ポリシー処理が失敗したり、一般的にアクセス権を持つ特定のユーザーが GPO を編集できなくなる可能性があります。

さらに、ファイル システム オブジェクトとディレクトリ サービス オブジェクトには、異なる種類のオブジェクトであるため、同じアクセス許可がありません。 アクセス許可が一致しない場合、一貫性を保つのは簡単ではない可能性があります。 ACTIVE Directory と GPO の Sysvol コンポーネントのセキュリティが一貫性があることを確認するために、GPMC で GPO をクリックすると、GPO のアクセス許可の整合性が GPMC によって自動的にチェックされます。 GPMC が GPO に関する問題を検出した場合、その GPO のセキュリティを変更するアクセス許可があるかどうかに応じて、"現象" セクションで説明されているメッセージの 1 つを受け取ります。