この記事では、Windows Server ドメインでグループ ポリシー管理コンソールを実行するときに発生するアクセス許可の問題の解決策について説明します。
適用対象: Windows Server (サポートされているすべてのバージョン)
元の KB 番号: 2838154
現象
グループ ポリシー管理コンソール (GPMC) を実行し、グループ ポリシーを選択すると、次のいずれかのメッセージが表示されます。
-
SYSVOL フォルダー内のこの GPO のアクセス許可は、Active Directory のアクセス許可と矛盾しています。 これらのアクセス許可に一貫性があることをお勧めします。 SYSVOL のアクセス許可を Active Directory のアクセス許可に変更するには、[OK] をクリックします。
グループ ポリシー オブジェクト (GPO) のセキュリティを変更するアクセス許可がある場合、このメッセージが表示されます。
-
SYSVOL フォルダー内のこの GPO のアクセス許可は、Active Directory のアクセス許可と矛盾しています。 これらのアクセス許可に一貫性があることをお勧めします。 この GPO のセキュリティを変更する権限を持つ管理者に問い合わせてください。
グループ ポリシー オブジェクト (GPO) のセキュリティを変更するアクセス許可がない場合は、このメッセージが表示されます。
原因
この問題は、次のいずれかの理由で発生します。
- グループ ポリシー オブジェクトの Sysvol 部分のアクセス制御リスト (ACL) は、親フォルダーからアクセス許可を継承するように設定されます。
- SysVol のアクセス許可を手動で変更すると、Active Directory と SysVol のポリシーアクセス許可が一致しない可能性があります。
解決方法
既定の GPO のセキュリティを変更するアクセス許可がある場合は、「Symptoms」セクションに記載されているメッセージに応じて、OK を選択します。 このアクションにより、グループ ポリシー オブジェクトの Sysvol 部分の ACL が変更され、Active Directory コンポーネントの ACL と一貫性が保たれます。 この状況では、属性が存在する場合、グループ ポリシーは Sysvol フォルダー内の継承属性を削除します。
それでもメッセージが表示される場合は、 Authenticated Users グループにアクセス許可が設定されているかどうかを確認し、必要に応じてアクセス許可を修正します。 問題のある設定は、アカウントに Active Directory の List オブジェクト アクセス許可がある場合です。 このアクセス許可は、ファイル システムのアクセス許可にはマップされません。 認証されたユーザーの構成例を次に示します。
高度なアクセス許可:
Note
MS16-072: グループ ポリシーのセキュリティ更新プログラムの説明: 2016 年 6 月 14 日 - Microsoft サポートに従って、読み取りと適用のアクセス許可を設定することを忘れないでください。
該当する場合は、次のいずれかのアクションを実行します。
- restore defaults を選択して、アクセス許可を既定値にリセットします。
- Active Directory のアクセス許可から、 List オブジェクト アクセス許可を持つグループを削除します。
- 必要に応じて、 Authenticated Users などのアカウントのエントリを、読み取りと必要に応じてグループ ポリシーのアクセス許可を付与するアクセス制御エントリ (ACE) に置き換えます。 GPMC.msc の Scope タブでアカウントを指定します。
または、 Advanced アクセス許可でこれを行うことができます:
![[高度なアクセス許可] のスクリーンショット。](media/permissions-this-gpo-inconsistent/screenshot-of-the-advanced-permissions.png)