この記事では、アクセス許可の問題のためにグループ ポリシー設定をユーザーに適用できない問題の解決策を示します。
適用対象: Windows Server (サポートされているすべてのバージョン)、Windows クライアント (サポートされているすべてのバージョン)
現象
1 つ以上のグループ ポリシー オブジェクト (GPO) から Authenticated Users グループの既定のアクセス許可を削除した後、グループ ポリシー設定をユーザーに正常に適用することはできません。
原因
ユーザーが Windows にサインインすると、Windows はそのユーザーに適用されるユーザー グループ ポリシー設定を取得します。 セキュリティ更新プログラム MS16-072: グループ ポリシーのセキュリティ更新プログラム: 2016 年 6 月 14 日以前は、Windows はこの操作にユーザー セキュリティ コンテキストを使用しました。 このセキュリティ更新プログラムは、Windows がコンピューターのセキュリティ コンテキストを使用してユーザー グループ ポリシー設定を取得するように、この機能を変更しました。
この変更により、コンピューター アカウントには、サインインしているユーザーに適用される GPO の Read アクセス許可が必要です。 既定では、 Authenticated Users グループには、ドメイン内のすべての GPO に対する Read および Apply グループ ポリシー アクセス許可があります。 ドメイン内のすべてのコンピューター アカウントは、 Authenticated Users グループに属しており、これらのアクセス許可を継承します。
既定のアクセス許可が設定されている場合、グループ ポリシー管理コンソール (GPMC) の [Scope] タブには、次のスクリーンショットに示すように、[セキュリティ フィルター] セクションに認証されたユーザーが一覧表示されます。
![[G.P.M.C.スコープ] タブの [セキュリティ フィルター] セクションを示すスクリーンショット。](media/cannot-apply-user-gpo-when-computer-objects-dont-have-read-permissions/gpmc-policy-scope-security-filtering.png)
さらに、[削除] タブには、認証されたユーザーに対して許可されているアクセス許可がRead (セキュリティ フィルター処理から) として一覧表示されます。 このアクセス許可は、Windows のアクセス許可、 Read および Apply グループ ポリシーに対応します。
![[G.P.M.C. Delegation]\(G.P.M.C.委任\) タブでアクセスされる Authenticated Users グループの既定のアクセス許可を示すスクリーンショット。](media/cannot-apply-user-gpo-when-computer-objects-dont-have-read-permissions/gpmc-policy-delegation-acls.png)
一部の管理者は 認証されたユーザー を Security Filtering から削除し セキュリティを強化したり、フィルター処理に詳細なセキュリティ グループを使用したりします。 このアクションにより、 Read と Apply グループ ポリシー アクセス許可の両方がグループとそのすべてのメンバーから削除されます。 ユーザー GPO が正しく機能するためには、 Read アクセス許可をコンピューター オブジェクトに復元する必要があります。
Note
通常、この問題はドメイン コントローラーを使用してドメインにサインインするユーザーには影響しません。 既定では、組み込みの Enterprise Domain Controllers グループには、ドメイン内のすべての GPO に対する Read アクセス許可があります。 そのため、ドメイン コントローラーは、このアクセス許可に対して Authenticated Users グループに依存しません。
解決方法
Read (セキュリティ フィルターから) アクセス許可を Authenticated Users から削除する場合は、別の方法を使用して、Read アクセス許可をコンピューター オブジェクトに割り当てる必要があります。
Read アクセス許可を Authenticated Users グループに割り当てます。
この方法では、Apply グループ ポリシーアクセス許可を復元せずに、Read アクセス許可を復元します。
Read アクセス許可を Domain Computers グループに割り当てます。
ドメイン内のすべてのコンピューターは、そのドメインの Domain Computers グループに属しています。
Readアクセス許可を、特定のコンピューター オブジェクトまたはコンピューターが属するセキュリティ グループに割り当てます。
重要
グループ ポリシーのアクセス許可を変更するときは常に、それらのオブジェクトが属するユーザー オブジェクト、コンピューター オブジェクト、またはグループが GPO へのアクセスを明示的に拒否されていないことを確認します。 明示的な拒否は、アクセスを許可するアクセス許可を常にオーバーライドします。
この問題を解決するには、次の手順に従います。
GPMC の Delegation タブで、 Add を選択します。
グループまたはユーザーの追加 ダイアログ ボックスで、目的のグループまたはオブジェクトを選択します。 次に、 Permissions ボックスで Read を選択します。
[OK] を選択します。
これらの手順を完了すると、[削除] タブに、選択したオブジェクトまたはグループに対して許可されているアクセス許可が、Read (セキュリティ フィルターから) ではなく Read として一覧表示されます。 この違いは、オブジェクトまたはグループに Apply グループ ポリシー アクセス許可がないことを示しています。
![[G.P.M.C. Delegation]\(G.P.M.C.委任\) タブからアクセスする認証済みユーザー グループのアクセス許可の制限を示すスクリーンショット。](media/cannot-apply-user-gpo-when-computer-objects-dont-have-read-permissions/gpmc-policy-delegation-reduced-perms.png)
サンプル シナリオ
ユーザー設定のみを定義する GPO を検討してください。 contoso_user_groupという名前のグループに属するすべてのユーザーに GPO を適用する必要があります。 GPMC の GPO の Scope タブで、Security Filtering リストにcontoso_user_groupを追加します。 GPO をそのグループ内のユーザーのみに制限するには、 認証されたユーザー を一覧から削除します。
この構成をテストするには、ユーザーのコンピューターで gpresult /h gpresult.html を実行し、 gpresult.html ファイルを開いてポリシーの結果を表示します。 このシナリオでは、レポートはエラーを示します (次のスクリーンショットの下部に表示されます)。
このエラーを解決するには、 Read のメンバーがサインインに使用するコンピューターを表すコンピューター オブジェクト contoso_user_group アクセス許可を付与する必要があります。 このシナリオでは、 contoso_computer_groupという名前のグループを作成し、影響を受けるコンピューターをそのグループに追加できます。 次に、[解決方法] セクションの手順を使用して、GPMC Delegation タブを使用して、 Read アクセス許可をそのグループに割り当てることができます。 これらの変更が行われた後、次のスクリーンショットに示すように、[ Delegation ] タブにアクセス許可が一覧表示されます。
![シナリオ例の [委任] タブの正しいアクセス許可を示すスクリーンショット。](media/cannot-apply-user-gpo-when-computer-objects-dont-have-read-permissions/gpmc-delegation-example-permissions.png)