Windows TIPS
| [Active Directory] |
gpotoolでグループ・ポリシー・オブジェクトの複製状況を検証する
→ 解説をスキップして操作方法を読む
デジタルアドバンテージ 打越 浩幸
2008/05/30 |
| 対象OS |
| Windows XP |
| Windows Vista |
| Windows Server 2003 |
|
|
 |
| ■ |
Active Directoryでは、グループ・ポリシーを使ってドメイン内のコンピュータの設定を一括して制御できる。 |
| ■ |
グループ・ポリシーで設定された項目はグループ・ポリシー・オブジェクト(GPO)に保存され、各DCへ複製された後、各コンピュータへ伝達される。 |
| ■ |
GPOが正しく複製されているか、GPOへ正しくアクセスできるかなどを検証するには、gpotoolを利用するとよい。 |
|
|
Active Directory環境では、グループ・ポリシーを使ってドメイン内の各コンピュータの設定などを中央から一括して制御できる。グループ・ポリシーに設定した内容はドメインの「グループ・ポリシー・オブジェクト(GPO)」に保存され、それが各ドメイン・コントローラ(DC)に複製された後、ドメイン内の各コンピュータへと配布/伝達され、設定が反映される(GPOについては関連記事を参照していただきたい。)。
グループ・ポリシーによる集中制御が正しく機能するためには、各DCに対するGPOの複製が正しく行われる必要がある。だが、ネットワークの構成や状態が不安定だと(特に遅いWAN回線を経由する場合など)、複製が正しく行われず、設定したはずの項目が反映されていなかったり、接続するDCによって設定が異なったりすることがある(GPOの更新が全DC間で揃っていない場合など)。また、(何らかの要因によって)GPOのアクセス権の設定が不正になっていると、GPOにアクセスできないといったトラブルが発生する可能性もある。
このようなトラブルを避け、GPOの複製やアクセス権の設定が正しく行われているかどうかを検証するには、GPOTool(Group Policy Object Verification Tool)というツールを利用するとよい。これはWindows Server 2003(およびWindows XP向け)のリソースキットに含まれるツールであり、ドメインの各DCにアクセスして、そのGPOの状態を調べたり、アクセス権が正しく設定されているかどうかなどを検証することができる。本TIPSでは、gpotoolについて解説する。
gpotool.exe(Group Policy Object Verification Tool)は、Windows Server 2003およびWindows XP向けのリソースキットに含まれる、GPOの検証用のツールである。以下の場所からリソースキットをダウンロードし、インストールすることで利用できる。Windows Server 2003用となっているが、Windows XP環境でも利用できる。
リソースキットをインストール後、コマンド・プロンプトを開き、gpotool /?を実行すると使い方が表示される。
C:\>gpotool /? ……ヘルプの表示
Group Policy Object verification tool
Usage: gpotool [options]
Options:
/gpo:GPO[,GPO...] Preffered policies. Partial GUID and friendly name
match accepted. If not specified, process all policies in the
domain.
/domain:name Specify the DNS name for the domain hosting the policies. If
not present, assume user's domain.
/dc:DC[,DC...] Preffered list of domain controllers. If not specified, find
all controllers in the domain.
/checkacl Verify sysvol ACL. For faster processing, this step is skipped by default.
/verbose Display detailed information. |
GPOの検証
このコマンドを引数なしで起動すると、デフォルトでは所属するドメインのすべてのDCに接続し、そのDCに置かれているGPOへアクセスできるかどうか、内容が一致しているかどうかなど検証され、結果が表示される。ドメイン内の全DCが列挙され、さらにすべてのGPOが正しく表示されているかどうかを確認しておこう。
C:\>gpotool ……gpotoolの起動
Validating DCs... ……DCの検証中
Available DCs: ……DCの一覧
server01.example.com ……DC1
server02.example.com ……DC2
Searching for policies... ……GPOの検索
Found 6 policies ……見つかったGPOの数
=====================================
Policy {078A93DB-D701-4506-9F65-091423C35DCD} ……GPOのGUID
Friendly name: SUS Policy ……GPO名
Policy OK ……状態は問題なし
=====================================
Policy {170AC242-E7FA-427C-9BA4-83439F3B5369} ……GPOのGUID
Friendly name: Power Configuration Policy ……GPO名
Policy OK ……状態は問題なし
……(以下省略)…… |
/verboseオプションを付けると、GPOに関する、より詳細な情報が表示される。GPOの名称やGUIDのほか、GPOが作成/更新された時刻、GPOのバージョン、拡張機能(extensions)などが表示される。GPOに関する詳しい解説については、先の関連記事などを参照していただきたい。
C:\>gpotool /verbose ……詳細の表示
Domain: example.com ……ドメイン名
Validating DCs...
Available DCs:
server01.example.com
server02.example.com
Searching for policies...
Found 6 policies
=====================================
Policy {078A93DB-D701-4506-9F65-091423C35DCD} ……ポリシーのGUID
Friendly name: SUS Policy ……GPO名
Policy OK
Details: ……詳細情報
-------------------------------------
DC: server01.example.com
Friendly name: SUS Policy
Created: 2003/10/07 6:37:34 ……作成日付
Changed: 2008/05/04 7:01:01 ……更新日付
DS version: 4(user) 4(machine) ……GPOのバージョン
Sysvol version: 4(user) 4(machine)
Flags: 3 (user side disabled; machine side disabled) ……フラグ
User extensions: ……拡張機能
Machine extensions: [{35378EAC-683F-11D2-A89A-00C04FBBCFA2}{0F6B957D-509E-11D1-A7CC-0000F87571E3}]
Functionality version: 2
-------------------------------------
……(以下省略)…… |
アクセス権の検証
GPOのアクセス権が正しく設定されているかどうかを検証するには、/checkaclオプションを指定して実行する(デフォルトではアクセス権のチェックは行われない)。アクセス権設定が正しくないと、GPOへ正しくアクセスできなくなる。
C:\>gpotool /checkacl ……アクセス権もチェックする
Validating DCs...
Available DCs:
server01.example.com
server02.example.com
Searching for policies...
Found 6 policies
=====================================
Policy {078A93DB-D701-4506-9F65-091423C35DCD}
Friendly name: SUS Policy
Policy OK ……状態はOK
……(以下省略)…… |
Windows Server Insider フォーラム 新着記事
Windows Server Insider 記事ランキング
本日
月間
