- 締切済み
Windows2003R2SP2 グループポリシーの結果セットについて
Windows2003R2SP2でActivedirectoryを構築しています。 グループポリシーの反映結果確認の為、「管理ツール」⇒「グループポリシーの管理」の「グループポリシーの結果」を使用して、各クライアントPCの確認をしたいと思ったのですが、以下のエラーが発生し、うまくいきません。 【手順】 (1)「グループポリシーの結果」右クリック⇒「グループポリシーの結果ウィザード」⇒「次へ」⇒「別のコンピューター」選択で任意のコンピューター入力し「次へ」 (2)以下のエラーメッセージが出力される。 グループポリシー エラー この操作を実行するアクセス許可がありません。 アクセスが拒否されました。 【原因】 どうやら以下の条件により、発生しているようです。 ・「グループポリシーの結果セット」を実行するユーザーがローカルPCのAdministratorsに属していないと実行不可。 しかし、全ローカルPCに管理者用ユーザー(当環境ではドメインのアドミン)をAdministratorsに追加するにはセキュリティ上、危険すぎます。 どのようにすれば、ローカルPCに管理者用ユーザーを追加しないで「グループポリシーの結果セット」を使用できますでしょうか? 【補足】 (1)Microsoftのページ http://technet2.microsoft.com/WindowsServer/ja/library/2de0a345-34a... によると、「Domain Admins セキュリティ グループまたは Enterprise Admins セキュリティ グループのメンバとしてログオンor委任でOK」とあるのですが、どちらも同様のエラーにより、不可。 (2)WindowsXP_SP2でエラーは起こるが、WindowsXP_SP1では何故か起こらない。恐らくSP2のセキュリティ修正により発生しているが、解決方法が見つからない。 どうぞよろしくお願い致します。
- dita0727
- お礼率82% (19/23)
- Windows系OS
- 回答数2
- ありがとう数0
- みんなの回答 (2)
- 専門家の回答
みんなの回答
- junkUser
- ベストアンサー率56% (218/384)
>(4)エンドユーザー使用PCに「Domain Admins」のユーザーをローカルの「Administrators」に追加するとクライアントPCの結果セットをリモートから確認可能であるが、セキュリティ上追加したくない。 ええと、どうしてそのような結論に達するのかわかりません。 あくまでもグループポリシーの結果セットを閲覧するユーザーにのみ管理者権限があれば問題ありません。 Windows Firewall や、ウイルス対策ソフトのパーソナル ファイアウォールが有効になっていたりしないでしょうか? 手元の環境で実験してみましたが、やはりエンドユーザーに管理者権限を与える必要はありませんでした。
- junkUser
- ベストアンサー率56% (218/384)
グループポリシーの結果セットをエンドユーザーに閲覧させたいというように読めますが正しいですか? 通常は管理者しか閲覧できません。 管理者であれば、クライアントPCの結果セットをリモートから確認できます。
関連するQ&A
- グループポリシーを変更できない
Administrator等管理者ユーザでログオンし、「名前を指定して実行」で「gpedit.msc」を実行「グループ ポリシー」を起動します。 「コンピュータの構成」→「Windowsの設定」→「セキュリティの設定」→「ローカルポリシー」→「セキュリティオプション」を順にクリックし、右側に表示された項目から「ログオン画面に最後のユーザ名を表示しない」をダブルクリックするのですが、グレーアウトしていて選択できません。 「スタート」→「コントロールパネル」→「管理ツール」→「ローカルセキュリティーポリシー」を起動します。 「ローカルポリシー」→「セキュリティオプション」を順にクリックし、右側に表示された項目から「ログオン画面に最後のユーザ名を表示しない」をダブルクリックしても、グレーアウトしてしまっていて、選択できません。 此処の設定が「有効」になっているので、「無効」にしたいのです。 サーバ側のポリシーとかの設定も絡んでくると思うのですが、 よく分かりません。 どのように対処したらよろしいでしょうか。
- ベストアンサー
- その他(ITシステム運用・管理)
- グループ・ポリシー - Windows XP PRO SP2
グループ・ポリシー - Windows XP PRO SP2 現在 グループ・ポリシーを勉強しております。 GPEditでの設定/操作概念について以下をご教授して頂ければ幸いです。 (1) コンピューターの構成とユーザーの構成の違いは具体的にどのような物なのでしょうか? コンピュターにアクセスする全てとユーザー毎もしくは管理者以外という認識でよろしいのでしょうか? (2) (1)を踏まえて各スクリプトを実行するのに管理用テンプレートを用いた場合は シャットダウン/スタートアップ ログオン/ログオフのファイルの表示に乗らないのはどうしてでしょうか? (3) (2)を踏まえて管理用テンプレートでのスクリプト実行の有無の一覧などは閲覧(確認)可能なのでしょうか? また設定の一元管理は可能なのでしょうか? (4) (1)~(3)を踏まえて 素人の認識では管理用テンプレートで十分にポリシー設定は実用に耐える物だと理解しております。 管理用テンプレートのメリット/デメリットなどあればご教授願いたいです。
- ベストアンサー
- Windows系OS
- グループポリシーの適用が出来ない
グループポリシーの適用について教えて下さい。 現在、Windows2003でアクティブディレクトリによるドメイン管理の環境を構築しているのですが、クライアントの時刻をログオン時にサーバー(ドメインコントローラー)の時刻と同期させたいのですが上手くいきません。 詳しい環境と条件・現象は以下の通りです。 ・サーバー:Windows2003(ADサーバ1台) ・クライアント:WindowsXP SP2(30台) ・ネットワークは社内で閉じている ・NTPサーバ機能はADサーバのサービス(Windowsタイムサービス)で起動。 ・クライアントのスタートアップにnet timeコマンドで時刻同期するバッチを置く。 ・ADのGPMCでデフォルトドメインポリシーの「コンピュータの構成 - Windowsの設定 - セキュリティの設定 - ローカルポリシー - ユーザー権利の割り当て - システム時刻の変更」を有効にしてグループ「everyone」を追加。 ・ログイン時にバッチが走るが「クライアントは要求された特権を保有していません」と表示され同期できない。 ・ドメインユーザアカウントに「domain admins」グループ追加すれば成功。(当然だが) 何か設定漏れがあるんでしょうか?
- 締切済み
- その他(ITシステム運用・管理)
- ポリシーの結果セット(計画中)実施時にエラーになってしまう。
< エラーメッセージの内容 > タイトル:グループポリシーエラー 内容:PSoPデータが無効です。データが壊れているか、データが削除されたか、またはデータが作成されていなかったことが原因であると考えられます。 詳細:無効な名前空間です。 < 発生手順 > 管理ツールより「Active Directory ユーザーとコンピュータ」を選択 アカウント上で右クリック→すべてのタスク→ポリシーの結果セット(計画中) 選択の要約まで進み、DCを選択しようと参照をクリックすると、 上記エラーメッセージが表示される。 < 管理用クライアントPCの概要 > OS:Windows XP Professional SP3 RAM:1024MB HDD:120GB 追加アプリ: 1)Windows Server 2003 Service Pack 2 管理ツールパック 2)Microsoft グループポリシー管理コンソール SP1 < ドメインコントローラ > OS:Windows 2000 Server SP4 RAM:2GB HDD:60GB 先日(7/15(火))の就業時までは正常に使えていました。 今朝方確認に使ったところ、メッセージが表示されてしまい、 どのグループポリシーの適用状態がわからなくなりました。 ちなみに、ポリシーの結果セット(ログ作成中)を実行してもエラーがでます。 エラーの内容は、 RSoPログ機能をサポートしていません。Rsopログ機能はWindows2000 以降のオペレーティングシステムでサポートしています。 となっていますが、OSはWindows2000か、Windows XPになります。 全てのアカウントでエラーになります。 大変困っています。一応原因を約半日かけて調べていますが、 中々解決の糸口がみえず質問させていただきました。 どなたがアドバイスお願いします。
- 締切済み
- その他(ITシステム運用・管理)
- Vistaのグループポリシー設定について
vistaにてグループポリシーエディタでWindowsアプリケーションの使用制限をかけていたところ誤ってグループポリシーエディタ自体が開けなくなってしまいました。 管理者権限のあるユーザで実行しようとしてみても以下のエラーメッセージが表示されて実行できません。 [Window Title] 制限 [Content] このコンピュータの制限により、処理は取り消されました。システム管理者に問い合わせてください。 [OK] 対処法をご存知の方がいらっしゃるなら大至急助けてください。 よろしくお願いします。
- ベストアンサー
- ネットワーク
- グループポリシーについて
いつもお世話になります。 タイトルについて、 Win2000でActiveDirectoryを採用していて グループポリシーを使ってドメイン配下のクライアントを制御しています。 ただ、ルーター越えのクライアントについて以下の設定が有効になりません。 グループポリシー ⇒ユーザーの構成 ⇒Windowsの設定 です。 グループポリシー ⇒ユーザーの構成 ⇒管理用テンプレート の方は有効になっているのですが・・・。 何かお気づきの方、お願いします。
- 締切済み
- Windows NT・2000
- Win2008R2のグループポリシーについて
グループポリシーにて、リモートアクセスユーザーに対するスタートメニューの制御をしたいと思っています。 スタートメニューの使用を抑制したいと思い、グループポリシーの設定で何とか下記の項目意外を 非表示にするところまではできました。 色々調べて試しているのですが、どうしても下記の項目を非表示にする事ができません。 ポリシーのどこをいじればできるのか?又はポリシーではできないのか?などを教えて下さい。 ※極論は、[スタート]メニュー内には、ログオフボタンだけにしたい(全く無しでもOK)と思っています。 [ユーザーアカウント](スタートメニュー上は、アカウントアイコンで押下するとエクスプローラが表示される) [スタート]-[管理ツール]-* ←管理ツール以下を消したい [Windows セキュリティ] [ログオフ]-[切断] ←ログオフ(シャットダウン)ボタンのプルダウンを消したい [ログオフ]-[ロック] ←ログオフ(シャットダウン)ボタンのプルダウンを消したい [プログラムとファイルの検索]ボックス 環境は、Windows Server 2008 R2 です。 よろしくお願いします。
- ベストアンサー
- Windows系OS
- グループポリシーを設定したら戻せなくなってしまいました
色々な実行制限をかける場合に gpedit.mscでグループポリシーを設定すると思うのですが、ここで ローカルコンピュータポリシー コンピュータの設定 Windowsの設定 セキュリティの設定 ソフトウェア制限のポリシー 追加の規則 で画像にあるようにすべてのパスの実行を許可しないに変更しました。 すると電卓やペイントブラシ、ノートパットが使えなくなりました。 で、ここまでは良かったのですが。 つい、グループポリシーのウィンドウを閉じてしまったところ するとgpedit.msc自体も起動しなくなってしまい、 元に戻せなくなってしまいました。(>_<) こういった場合、どのように元にもどせばいいのでしょうか。 よろしくお願いします。
- ベストアンサー
- Windows XP
- グループポリシーの設定
OutlookExpressで全てのユーザーが添付ファイルを利用できなくする (開いたり保存したり出来なくする)ように、グループポリシーで 設定したのが、上手く反映されません。 (1)「グループポリシー」画面で、左ペインのツリーを展開し 「ローカルコンピュータポリシー」→「ユーザーの構成」→ 「管理用テンプレート」→「Windowsコンポーネント」→ 「InternetExplorer」をクリック (2)右ペインで「OutlookExpressを構成する」をダブルクリック (3)「設定」タブの「有効」をクリックし、「ウイルスを含む 可能性がある添付ファイルをブロックする」にチェックしOK ↑セキュリティ対策の本(2004年版)に載っていた内容です。 添付ファイルは「exeファイル」です。 是非よろしくお願いします。
- ベストアンサー
- Windows XP
- グループポリシーが適用されません
プロキシのグループサーバが当たらずに困っています。 環境はというと、Windows 2008 R2のトップドメインのドメコンにOUを作成し、その中にセキュリティグループを作り、そのセキュリティグループの中にユーザーが入っています。 そして、サブドメコンにクライアントPCがログオンするという形をとっています。 (ユーザーはトップドメコンにいるので、どこのサブドメコンでもログオンできるようにという考えです。) そこで、トップドメインのOUにリンクするグループポリシーを作成し、 「ユーザーの構成」-「ポリシー」-「Windowsの設定」-「Internet Explorerのメンテナンス」-「接続」- 「プロキシの設定」 にプロキシの設定を記入しています。 ところが、上記の設定が適用されません。 ためしに、トップドメインのDefault Domain Policyにプロキシの設定を記入するとそれはちゃんと適用されます。 もしかしたら、OUにリンクしたグループポリシーというのはセキュリティグループでネストされるユーザーには適用されないのでしょうか? それとも全く見当違いの設定をしているのでしょうか? ぜひ、ご教示をお願いいたします。
- ベストアンサー
- Windows系OS
補足
ご連絡ありがとうございます。 >グループポリシーの結果セットをエンドユーザーに閲覧させたいというように読めますが正しいですか? いいえ、エンドユーザーに閲覧可能にしたいわけではありません。 現状は以下のようになっています。 (1)Windows2003R2SP2のPCに「Domain Admins」のユーザーでログイン。 (2)「グループポリシーの結果ウィザード」⇒「次へ」⇒「別のコンピューター」にするとエラー。 (3)エンドユーザーは全て「Domain Users」。 (4)エンドユーザー使用PCに「Domain Admins」のユーザーをローカルの「Administrators」に追加するとクライアントPCの結果セットをリモートから確認可能であるが、セキュリティ上追加したくない。 上記の場合に、(4)のような方法を取らずにクライアントPCの結果セットをリモートから確認できないでしょうか? もし、私が言っている内容が意味不明であればおっしゃってください。前提としている確認方法が誤っている可能性も捨てきれないので・・・。 申し訳ございませんが、アドバイスの程よろしくお願い致します。