[Active Directory] | |||||||||||
dcgpofixでグループ・ポリシーをデフォルト状態に戻す
|
|||||||||||
|
解説 |
Active Directoryをインストール/導入すると、デフォルトでは「Default Domain Policy」と「Default Domain Controller Policy」という2つのグループ・ポリシー・オブジェクト(GPO)が定義されている。これらを変更することにより、ドメイン全体や、ドメイン・コントローラに対するさまざまなポリシー設定が行えるが、変更しすぎたり、間違って削除してしまったり、システムの状態などがおかしくなったりした場合に、これらの設定内容をすべてキャンセルして、元に戻したくなる場合がある。だが、元の設定状態を保存していなければ、簡単には戻せない。どこをどう変更したかを調査し、いちいちその設定状態を戻さなければならないからだ。
Windows Server 2003には、dcgpofix.exeというコマンドが用意されており、これを実行すると、デフォルトのグループ・ポリシー・オブジェクトをActive Directory導入直後の状態にリセットさせることができる。ただし戻せるのはこの2つのデフォルトのグループ・ポリシー・オブジェクトだけであり、それ以外のものについては変更されない。
|
またこのdcgpofixコマンドを使ったリセット操作は、あくまでも非常用(ディザスタ・リカバリ用)として用意されているものであり、日常的に使用するようなものではない。グループ・ポリシー・オブジェクトを変更する前に既存の設定などを保存しておくには、グループ・ポリシー管理コンソール(GPMCツール)を利用することが推奨されている(関連記事のTIPS参照)。可能ならば、デフォルトの「Default Domain Policy」と「Default Domain Controller Policy」は(極力)変更せずに、OUごとに新規のグループ・ポリシー・オブジェクトを定義し、そこで必要な設定を行うような運用方法が望ましいとされている(GPMCのヘルプ・ファイルを参照)。
操作方法 |
グループ・ポリシー・オブジェクトをデフォルトのActive Directory導入直後の状態にリセットするには、コマンド・プロンプト上でdcgpofix.exeコマンドを実行する。使い方は以下の通りであるが、パラメータなしで実行すれば、両方のグループ・ポリシー・オブジェクトの設定内容がリセットされる。
dcgpofix …デフォルト設定で実行する |
実際に実行しようとすると、確認メッセージ表示されるので、[Y]を入力して、先へ進む。
C:\>dcgpofix …パラメータなしでのコマンド起動 |
dcgpofix.exeの制限事項
このコマンドでリセットできる項目にはいくらか制限があり、Active Directory導入直後の状態(dcpromoコマンドでActive Directoryを導入した直後の状態)に完全に戻るわけではない。そのため、完全に元に戻したければ、GPMCでバックアップから復元するか、Active Directoryを再導入したり、バックアップしておいたシステム状態を書き戻すなどの操作が必要になる。
戻らない設定(dcgpofixを実行しても、管理者が設定したまま維持されるもの)としては、ソフトウェア・インストール、Internet Explorerのメンテナンス、スクリプト、フォルダ・リダイレクト、管理用テンプレート、Exchange 2000によるセキュリティ設定、SMSによって設定されたセキュリティ設定などがある。詳しくはWindows Server 2003に付属のdcgpofix.exeコマンドのヘルプ([ヘルプとサポート センター]で検索する)を参照していただきたい。
また、セキュリティ設定(特に監査設定)についても、いくらか戻らないものがある。詳細については以下の文書を参照のこと。
- The Dcgpofix tool does not restore security settings in the Default Domain Controller Policy to their original state[英語](マイクロソフト サポート技術情報)
Active Directoryのスキーマ・バージョンに注意
dcgpofixは実行時にActive Directoryのスキーマ・バージョンをチェックし、Windows Server 2003のActive Directoryのスキーマ・バージョンと互換がない場合には動作しないようになっている。これを解決するには、adprepコマンドでスキーマのバージョンを上げておくか、dcgpofixで/ignoreschemaオプションを指定し、バージョンを無視するようにする。
Windows 2000におけるGPOのリセット操作
dcgpofixはWindows Server 2003用のコマンドであり、Windows 2000では利用できない。代わりに、以下のページからダウンロードできる「Windows 2000 Default Group Policy Restore Tool」ツール(recreatedefpol.exe)を利用する。
- Windows 2000 Default Group Policy Restore Tool[英語](マイクロソフト ダウンロード センター)
この記事と関連性の高い別の記事
- WindowsのActive Directoryドメインを構築する(基本編)(TIPS)
- グループ・ポリシー管理を強力に支援するGPMCを活用する(TIPS)
- Windows Server 2008でActive Directoryを無人インストールする(TIPS)
- グループ・ポリシーとpowercfg.exeコマンドで電源オプションの設定を変更する(TIPS)
- これだけは覚えておきたいWindowsのコマンドプロンプトの使い方(TIPS)
このリストは、デジタルアドバンテージが開発した自動関連記事探索システム Jigsaw(ジグソー) により自動抽出したものです。
「Windows TIPS」 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
|
|