この記事では、ユーザー グループ ポリシー基本設定 (GPP) のスケジュールされたタスク項目の適用に失敗する問題の解決策を示します。
元の KB 番号: 2447414
現象
Windows 2008/2008 R2 ベースのActive Directory ドメインで、次のユーザー グループ ポリシー基本設定 (GPP) 項目を構成します。
User Configuration\Preferences\Control Panel Settings\Scheduled Tasks\New\"Scheduled Task (Windows Vista and later)"- [ Common 設定 タブで、オプション ログオン ユーザーのセキュリティ コンテキストで実行する (ユーザー ポリシー オプション)を選択します。 グループ ポリシーがユーザーに適用されると、基本設定項目が有効にならないことがわかります。
さらに、アプリケーション ログには次のイベント ログが表示されます。
さらに、GPP Scheduled Tasks Client Side Extension のグループ ポリシー トレースを有効にすると、GPP ユーザー ログ ファイルに次のメッセージが記録されます。
<DateTime> [pid=0x3a0,tid=0x8c8] Starting class <TaskV2> - <GPP item name>。
<DateTime> [pid=0x3a0,tid=0x8c8] ユーザー セキュリティ コンテキストを設定します。
<DateTime> [pid=0x3a0,tid=0x8c8] RSOP に子要素を追加します。
<DateTime> [pid=0x3a0,tid=0x8c8] WorkItem.Init [hr = 0x80070005 "Access is denied."]
<DateTime> [pid=0x3a0,tid=0x8c8] プロパティが処理されます。 [hr = 0x80070005 "アクセスが拒否されました。"] <DateTime> [pid=0x3a0,tid=0x8c8] システム セキュリティ コンテキストを設定します。
<DateTime> [pid=0x3a0,tid=0x8c8] EVENT: '<GPO 名>' グループ ポリシー オブジェクトのユーザー '<GPP 項目名>' 基本設定項目は、エラー コード '0x80070005 アクセスが拒否されました' で失敗したため、適用されませんでした。%100790273
<DateTime> [pid=0x3a0,tid=0x8c8] エラーが抑制されました。 [hr = 0x80070005 "アクセスが拒否されました。"]
<DateTime> [pid=0x3a0,tid=0x8c8] Completed クラス <TaskV2> - <GPP 項目名>。
<DateTime> [pid=0x3a0,tid=0x8c8] Completed クラス <ScheduledTasks>。
グループ ポリシーを使用して GPP トレースを有効にすることができます。
Computer Configuration\Policies\Administrative Templates\System\Group Policy\Logging and Tracing\Configure Schedulled Tasks preference logging and tracing
構成すると、ログ ファイルは次の内容で作成されます。
%SystemDrive%\ProgramData\GroupPolicy\Preference\Trace\User.log
原因
ユーザー GPP のスケジュールされたタスク項目は、現在ログオンしているユーザーのセキュリティ コンテキストで実行するようには設計されていません。また、既定のシステム セキュリティ コンテキストで適用する必要があります。
解決方法
この問題を回避するには、ユーザーの GPP スケジュールされたタスク項目を構成するときに、 ログオン ユーザーのセキュリティ コンテキスト (ユーザー ポリシー オプション) 共通オプションで実行を有効にしないでください。
スケジュールされたタスクが展開された後に実行されるセキュリティ コンテキストは、ユーザー GPP スケジュールタスクアイテムを作成するときに General 設定 タブで指定できます。
User Configuration\Preferences\Control Panel Settings\Scheduled Tasks\New\"Scheduled Task (Windows Vista and later)"
全般:
セキュリティ オプション -> "タスクを実行するときは、次のユーザー アカウントを使用します:"
既定では、次の値に設定されています。 %LogonDomain%\%LogonUser%
ここで、スケジュールされたタスクを実行するセキュリティ コンテキストを構成する必要があります。
データ収集
Microsoft サポートからのサポートが必要な場合は、グループ ポリシーの問題に TSS を使用して Gather 情報に記載されている手順に従って情報を収集することをお勧めします。