LoginSignup
3
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

@valpasucucci43(ヴァル パスクチ)inNTTデータ先端技術

アクセス不可能 な グループ ポリシー オブジェクトに対する対処方法

Last updated at Posted at 2023-03-24

概要

グループ ポリシーの管理において下記のようにアクセス不可能な GPO ができてしまった際の対処について記します。
P1_001.png

状況

グループ ポリシーの管理を開くと概要に記載した画像のようにアクセス不可能とされる GPO が存在した状態です。

アクセス不可能をクリックすると下記が表字となります。
ここで一意の ID が {CB4583B5-DD46-4705-8587-659895128DC2} であることが確認できます。
P1_002.png

グループ ポリシー オブジェクトを確認すると

Default Domain Controllers Policy
Default Domain Policy

のみが存在する状態となっています。
P1_003.png

また Default Domain Controllers Policy と Default Domain Policy のGUID は

ポリシー名 GUID
Default Domain Controllers Policy 6AC1786C-016F-11D2-945F-00C04fB984F9
Default Domain Policy 31B2F340-016D-11D2-945F-00C04FB984F9

であることからアクセス不可能となっている GPO はそれらではないと推測ができます。

<参考情報>

念のため Windows PowerShell の Get-GPO -all で表示されないか確認をしてみます。
P1_004.png

Windows PowerShell でも残念ながら既定の GPO のみの情報が取得されアクセス不可能な GPO は特定ができません。

対処

グループ ポリシーの管理や Windows PowerShell での対処が難しいと思われるため別のツールを使って対処をしていきます。

今回は ADSI エディターで対処できないか確認をしていきます。

まず ADSI エディターを起動します。

起動をした際に下記の状態となっている場合には[操作] - [接続]の順にクリックします。
P1_005.png

[接続の設定]がでましたら下記設定(規定値のまま)で [OK] をクリックします。
接続ポイント:[既知の名前付けコンテキストを選択する]-[既定の名前付けコンテキスト]
コンピューター:既定
P1_006.png

次に下記順に展開して GPO のアクセス権などの確認をしてみたいと思います。

[既定の名前付けコンテキスト [ドメイン名] ] - [識別名] - [CN=System] - [CN=Policies]

表記がおかしいものがあります。
また見切れてますがアクセス不可能な GPO のGUIDとなっていることも確認できます。
P1_007.png

該当の項目のプロパティを見てみます。

[属性エディタ]タブの項目が全く表示されていません。
P1_008.png

ちなみに Default Domain Policy の GUID である項目のプロパティを開くと下記です。
P1_009.png

次に[セキュリティ]タブを確認します。
P1_010.png

こちらは項目は表示されていますね。
怪しい項目がないか確認するために[詳細設定]を見てみます。

Autenticated Users に拒否のアクセス権が付与されています。
P1_011.png

こちらの設定がおかしいのではと推測し、Autenticated Users に付与されている拒否のアクセス権を削除します。
P1_012.png

削除できましたら開いているADSI エディターを閉じ、グループ ポリシーの管理を開く直してみます。

アクセス不可能であったGPOが表示されたことが確認できます。
P1_013.png

ということで今回は Autenticated Users に拒否のアクセス権限が付与されていたことが要因でグループ ポリシーの管理ではアクセス不可能となっていた状況でした。

なおこの状態でGPOの操作をしようとすると下記のダイアログが表示されることがあるかと思います。
この場合は [OK] をクリックして、ACLの修正を行います。
P1_014.png

<参考情報>
Title: GPMC を実行するときのエラー - Windows Server | Microsoft Learn
URL:https://learn.microsoft.com/ja-jp/troubleshoot/windows-server/group-policy/fail-to-run-gpmc

最後に

海外のサイトにはちらほらと本事象についての情報がありましたが日本語での情報は見当たらなかったためまとめてました。
ただし本手順でも治らない場合がある模様なのであくまで一例とお考えいただければ思います。

なお本トラブル以外でもグループ ポリシーの管理関連のトラブルには本手順で使用した ADSI エディターは活用の余地があると思うので何かあった際には確認いただくとよいかと思います。

3
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
3
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?