Windows TIPS

［Active Directory］

→ Windows TIPS TOPへ → Windows TIPS全リストへ → 内容別分類一覧へ gpotoolでグループ・ポリシー・オブジェクトの複製状況を検証する → 解説をスキップして操作方法を読む デジタルアドバンテージ　打越 浩幸 2008/05/30 対象OS Windows XP Windows Vista Windows Server 2003

■ Active Directoryでは、グループ・ポリシーを使ってドメイン内のコンピュータの設定を一括して制御できる。 ■ グループ・ポリシーで設定された項目はグループ・ポリシー・オブジェクト（GPO）に保存され、各DCへ複製された後、各コンピュータへ伝達される。 ■ GPOが正しく複製されているか、GPOへ正しくアクセスできるかなどを検証するには、gpotoolを利用するとよい。

解説

連載 グループ・ポリシーのしくみ 機能が向上したWindows Vistaのグループ・ポリシー TIPS「グループ・ポリシー管理を強力に支援するGPMCを活用する」

　Active Directory環境では、グループ・ポリシーを使ってドメイン内の各コンピュータの設定などを中央から一括して制御できる。グループ・ポリシーに設定した内容はドメインの「グループ・ポリシー・オブジェクト（GPO）」に保存され、それが各ドメイン・コントローラ（DC）に複製された後、ドメイン内の各コンピュータへと配布／伝達され、設定が反映される（GPOについては関連記事を参照していただきたい。）。

　グループ・ポリシーによる集中制御が正しく機能するためには、各DCに対するGPOの複製が正しく行われる必要がある。だが、ネットワークの構成や状態が不安定だと（特に遅いWAN回線を経由する場合など）、複製が正しく行われず、設定したはずの項目が反映されていなかったり、接続するDCによって設定が異なったりすることがある（GPOの更新が全DC間で揃っていない場合など）。また、（何らかの要因によって）GPOのアクセス権の設定が不正になっていると、GPOにアクセスできないといったトラブルが発生する可能性もある。

　このようなトラブルを避け、GPOの複製やアクセス権の設定が正しく行われているかどうかを検証するには、GPOTool（Group Policy Object Verification Tool）というツールを利用するとよい。これはWindows Server 2003（およびWindows XP向け）のリソースキットに含まれるツールであり、ドメインの各DCにアクセスして、そのGPOの状態を調べたり、アクセス権が正しく設定されているかどうかなどを検証することができる。本TIPSでは、gpotoolについて解説する。

操作方法

　gpotool.exe（Group Policy Object Verification Tool）は、Windows Server 2003およびWindows XP向けのリソースキットに含まれる、GPOの検証用のツールである。以下の場所からリソースキットをダウンロードし、インストールすることで利用できる。Windows Server 2003用となっているが、Windows XP環境でも利用できる。

• Windows Server 2003 Resource Kit Tools［英語］（Microsoftダウンロード・センター）

　リソースキットをインストール後、コマンド・プロンプトを開き、gpotool /?を実行すると使い方が表示される。

C:\>gpotool /? ……ヘルプの表示 Group Policy Object verification tool Usage: gpotool [options] Options: /gpo:GPO[,GPO...] Preffered policies. Partial GUID and friendly name                 match accepted. If not specified, process all policies in the                 domain. /domain:name    Specify the DNS name for the domain hosting the policies. If                 not present, assume user's domain. /dc:DC[,DC...]  Preffered list of domain controllers. If not specified, find                 all controllers in the domain. /checkacl       Verify sysvol ACL. For faster processing, this step is skipped by default. /verbose        Display detailed information.

GPOの検証

　このコマンドを引数なしで起動すると、デフォルトでは所属するドメインのすべてのDCに接続し、そのDCに置かれているGPOへアクセスできるかどうか、内容が一致しているかどうかなど検証され、結果が表示される。ドメイン内の全DCが列挙され、さらにすべてのGPOが正しく表示されているかどうかを確認しておこう。

C:\>gpotool ……gpotoolの起動 Validating DCs... ……DCの検証中 Available DCs: ……DCの一覧 server01.example.com ……DC1 server02.example.com ……DC2 Searching for policies... ……GPOの検索 Found 6 policies ……見つかったGPOの数 ===================================== Policy {078A93DB-D701-4506-9F65-091423C35DCD} ……GPOのGUID Friendly name: SUS Policy ……GPO名 Policy OK ……状態は問題なし ===================================== Policy {170AC242-E7FA-427C-9BA4-83439F3B5369} ……GPOのGUID Friendly name: Power Configuration Policy ……GPO名 Policy OK ……状態は問題なし ……（以下省略）……

　/verboseオプションを付けると、GPOに関する、より詳細な情報が表示される。GPOの名称やGUIDのほか、GPOが作成／更新された時刻、GPOのバージョン、拡張機能（extensions）などが表示される。GPOに関する詳しい解説については、先の関連記事などを参照していただきたい。

C:\>gpotool /verbose ……詳細の表示 Domain: example.com ……ドメイン名 Validating DCs... Available DCs: server01.example.com server02.example.com Searching for policies... Found 6 policies ===================================== Policy {078A93DB-D701-4506-9F65-091423C35DCD} ……ポリシーのGUID Friendly name: SUS Policy ……GPO名 Policy OK Details: ……詳細情報 ------------------------------------- DC: server01.example.com Friendly name: SUS Policy Created: 2003/10/07 6:37:34 ……作成日付 Changed: 2008/05/04 7:01:01 ……更新日付 DS version:     4(user) 4(machine) ……GPOのバージョン Sysvol version: 4(user) 4(machine) Flags: 3 (user side disabled; machine side disabled) ……フラグ User extensions:   ……拡張機能 Machine extensions: [{35378EAC-683F-11D2-A89A-00C04FBBCFA2}{0F6B957D-509E-11D1-A7CC-0000F87571E3}] Functionality version: 2 ------------------------------------- ……（以下省略）……

アクセス権の検証

　GPOのアクセス権が正しく設定されているかどうかを検証するには、/checkaclオプションを指定して実行する（デフォルトではアクセス権のチェックは行われない）。アクセス権設定が正しくないと、GPOへ正しくアクセスできなくなる。

C:\>gpotool /checkacl ……アクセス権もチェックする Validating DCs... Available DCs: server01.example.com server02.example.com Searching for policies... Found 6 policies ===================================== Policy {078A93DB-D701-4506-9F65-091423C35DCD} Friendly name: SUS Policy Policy OK ……状態はOK ……（以下省略）……

「Windows TIPS」

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）