検索
連載

更新プログラム「KB3159398」の適用で一部のグループポリシーが機能しなくなる問題を回避する方法山市良のうぃんどうず日記(68)(2/2 ページ)

2016年6月15日のWindows Updateで配布された更新プログラムの中に、グループポリシーの脆弱(ぜいじゃく)性を回避するための「セキュリティ更新プログラム(KB3159398)」がありました。この更新プログラムを適用後、グループポリシーの適用に不具合は生じていませんか。この更新プログラムは重要ですが、副作用にも注意が必要です。

[山市良,テクニカルライター] PC用表示 関連情報
Share
Tweet
LINE
Hatena
前のページへ |       

セキュリティ更新プログラム「KB3159398」のインストール後はこうなる

 GPOのセキュリティフィルター設定はそのままで、クライアントにセキュリティ更新プログラム「KB3159398」をインストールすると、以下の画面4のようになります。

画面4
画面4 「demouser01」でログオンしたクライアントで「GPRESULT /R」コマンドを実行した結果。セキュリティ更新プログラム「KB3159398」のインストール後

 ユーザーを絞り込むセキュリティフィルターが設定されている2つのGPO「Desktop Policy」と「ADRMS Policy」は、どちらも「フィルター:未適用(不明な理由)」となり、適用されなくなりました。

 「demouser01」に適用されるはずの「Desktop Policy」は未適用に、「demouser01」に適用されない「ADRMS Policy」は、その状態が「拒否(セキュリティ)」から「未適用(不明な理由)」に変わってしまいました。

 これが、セキュリティ更新プログラム「KB3159398」による仕様変更の影響です。セキュリティフィルターを利用した、特定のコンピュータに対する「コンピューターの構成」のポリシーの処理については、影響ありません。

新しいセキュリティフィルターの仕様に対応するには

 クライアントからセキュリティ更新プログラム「KB3159398」をアンインストールすれば、元の仕様に戻りますが、重要なセキュリティ更新プログラムであるため、アンインストールによる対処はお勧めしません。

 セキュリティフィルターに設定されたユーザー、グループ、コンピュータには、GPOに対する「読み取り」アクセス許可が付与されるようになっています。GPO処理の新しい仕様に対応するには、ユーザーを絞り込むセキュリティフィルターが設定されたGPOの読み取りを「Domain Computers」ドメイングループに許可します。それには、GPOの「委任」タブで「Domain Computers:読み取り」許可を追加します(画面5)。

画面5
画面5 新たな仕様に対応するために、ユーザーやグループで特定のユーザーを絞り込むセキュリティフィルターを設定したGPOに、「Domain Computers:読み取り」許可を追加する

 これにより、ユーザーがログオンしたコンピュータがGPOを読み取れるようになり、期待通りにGPOが適用されるようになります(画面6)。

画面6
画面6 「Desktop Policy」と「ADRMS Policy」のセキュリティフィルターの「委任」タブで「Domain Computers:読み取り」アクセス許可を追加することで、ユーザーを絞り込むセキュリティフィルターが正しく機能するように戻った

 なお、セキュリティ更新プログラム「KB3159398」の仕様変更は、“GPOでセキュリティフィルターを変更している場合”にのみ影響します。既定の「Authenticated Users」のままのセキュリティフィルターには全く影響しません。また、コンピュータアカウントが設定されたセキュリティフィルターにも影響しません。

 Active Directoryの管理者の方は全てのGPOを調査し、影響のあるセキュリティフィルターが存在しないかどうかを確認しましょう。見つけたら、「Domain Computers:読み取り」許可を追加して対処しましょう。

 Active Directoryをこれから学ぼう、構築しようという方は、既存の書籍やオンラインドキュメントの通り設定しても、セキュリティフィルターがうまく処理されずに、苦労することになるかもしれません。例えば、先ほど紹介した「セキュリティグループを使用してフィルター処理を行う」を見て作業しても、「Domain Computers:読み取り」許可を追加する必要があることを知ることはできません。

 今回のように、更新プログラムによって従来の仕様が変更されることは、これまでも何度かありました。事前に知らされることもあれば、今回のように、突然、変更になることもあります。そして、影響が大きければ元の仕様に戻るといったこともないとは言い切れません。面倒でも、毎月の更新プログラムに関するサポート技術情報はチェックしておくべきですね。

追記

 2016年6月は以下の更新プログラムにおいても、NetBIOSに関して重要な仕様変更が行われています。影響がある場合は、レジストリを編集して対処する必要があるので注意してください。


筆者紹介

山市 良(やまいち りょう)

岩手県花巻市在住。Microsoft MVP:Cloud and Datacenter Management(Oct 2008 - Sep 2016)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。マイクロソフト製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。


Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ |       
ページトップに戻る