グループポリシーの優先順位

グループポリシーの優先順位が意図したとおりにならない場合は時間をかけ検証してみる。

 

（質問）

自動ブラウザ構成のGPO優先度について

 

こんにちは。

 

現在、ActiveDirectoryのグループポリシーで自動プロキシURLの設定をしています

 

この度プロキシサーバの変更に伴い、

先行テストで一部のメンバーだけに新しいプロキシサーバを使用するように構成したく、

新規にOUを作成し新しい「自動プロキシURL」を設定したGPOをリンクしました。

しかし、このポリシーが有効にならず、従来の自動プロキシURLのままとなってしまいました。

 

問題の切り分けの為、VMware ESXi上に新規に

Windows Server 2003 R2 Standard(32bit)を構成し、

テストドメインを構築し試してみました。

 

[test.local]

  [Parent] <- ParentGPO

    [Child] <- ChildGPO

      test(User)

 

ParentGPO

  自動ブラウザ構成：自動プロキシURL：http://www.test.local/parent.pac

  重要なURL：ホームページのURL：http://www.test.local/parent/

 

ChildGPO

  自動ブラウザ構成：自動プロキシURL：http://www.test.local/child.pac

  重要なURL：ホームページのURL：http://www.test.local/child/

 

ユーザー「test」を指定し、RSoPを実行したところ、結果は以下の通りです。

  自動ブラウザ構成：自動プロキシURL：http://www.test.local/parent.pac   
　優勢なGPO:ParentGPO

  重要なURL：ホームページのURL：http://www.test.local/child/         
  優勢なGPO:ChildGPO

 

このテストドメインはこのサーバのみの構成ですので、

レプリケーション等の問題は考えられません。

サーバ上での gpupdate /force も問題無く行われています。

－－－－－－－－－－－－－－－－－－－－－－－－－－
（回答１）

とりあえず、当方で以下の設定を実施してみたところ、下記の通りなりました

 

\Parent\Chlid\TestUser

 

[Parent]

  自動プロキシURL：http://www.parent.hogehoge.com/Proxy.pac

  ホームページのURL：http://www.parent.hogehoge.com/

 

[Child]

  自動プロキシURL：http://www.child.hogehoge.com/Proxy.pac

  ホームページのURL：http://www.child.hogehoge.com/

 

【結果】

  自動プロキシURL：http://www.child.hogehoge.com/Proxy.pac

  ホームページのURL：http://www.child.hogehoge.com/

 

（環境）

DC:Windows Server 2008 R2

Client:Windows 7 Ent(IE 8)/Windows XP(IE 7

－－－－－－－－－－－－－－－－－－－－－－－－－－

（質問・続）

皆さん様々な観点で検証して頂けるので、問題範囲が広がり過ぎている為、

質問内容を以下の通り再定義させていただきます。

 

•なぜ、Windows Server 2003 R2のDCでは

RSoPの結果が上記のようにポリシーの項目毎に優勢なGPOが異なるのか

 

環境の問題か、GPOの挙動の問題かを切り分ける為、

VMware ESXi上に新規でWindows Server 2003 R2 Standard(32bit)を構成し、

テストドメインを構築し試してみました。

 

[test.local]

  [Parent] <- ParentGPO

    [Child] <- ChildGPO

      test(User)

 

ParentGPO

  自動ブラウザ構成：自動プロキシURL：http://www.test.local/parent.pac

  重要なURL：ホームページのURL：http://www.test.local/parent/

 

ChildGPO

  自動ブラウザ構成：自動プロキシURL：http://www.test.local/child.pac

  重要なURL：ホームページのURL：http://www.test.local/child/

 

ユーザー「test」を指定し、RSoPを実行したところ、結果は以下の通りです。

  自動ブラウザ構成：自動プロキシURL：http://www.test.local/parent.pac  
  優勢なGPO:ParentGPO

  重要なURL：ホームページのURL：http://www.test.local/child/         
  優勢なGPO:ChildGPO

 

このテストドメインはこのサーバのみの構成ですので、

レプリケーション等の問題は考えられません。

サーバ上での gpupdate /force も問題無く行われています。

 

皆さん様々な観点で検証して頂けるので、問題範囲が広がり過ぎている為、

質問内容を以下の通り再定義させていただきます。

 

•なぜ、Windows Server 2003 R2のDCでは

RSoPの結果が上記のようにポリシーの項目毎に優勢なGPOが異なるのか

－－－－－－－－－－－－－－－－－－－－－－－－－－
（回答２）

前回の検証結果は

DC・・・Window Server 2008 SP2

クライアント・・・Windows Vista、Windows 7

の環境で検証したものですが、再度

DC・・・Window Server 2003 R2 SP2

クライアント・・・Windows XP

の環境で検証してみましたがユーザーを指定してのRSoPは意図したとおり（自動ブラウザ構成：自動プロキシURL、重要なURL：ホームページのURLとも[御質問の例で言えばChildGPO]が優先された結果となりました。

再度、したのMSのページ・資料のとおりDCのChildGPOが設定されているか確認してみてください。

http://technet.microsoft.com/ja-jp/library/cc726038.aspx

http://www.atmarkit.co.jp/fwin2k/win2ktips/031autoproxy/autoproxy.html

 

DCとそのユーザのコンピュータでイベントビューアを立ち上げアプリケーションログにエラーが出ていないか確認もしてください。

詳細なログ（Userenv.logというデバッグログ）をクライアントで取得する方法についてはChukiさんのコメントにあるページのとおりです。

Userenv.log の「読み方」については、MSのしたのページに情報があります。ですが、これらのログはグループポリシーの適用プロセスを理解していないと、判読は難しいと思います。

Understanding How to Read a Userenv Log – Part 1
Understanding How to Read a Userenv Log – Part 2

無償・匿名掲示板での正式な回答を期待するのは難しいのが現状ですので、MSの有償サポートを受けられた方が良いようにも思います。

 
－－－－－－－－－－－－－－－－－－－－－－－－－－
（質問・続２）

○○○○さん、試験問題作成委員会さん、ありがとうございます。

 

まず、試験問題作成委員会さんの検証内容を受けて、

VMware上のテストーサーバ上で実際のユーザーへのGPOの適用を確認しました。

 

結果、試験問題作成委員会さんと同様「自動ブラウザ構成」も「重要なURL」も

どちらも「ChildGPO」の内容が反映されていました。

 

Chukiさんの情報を参照し、レジストリにて詳細ログを取るよう設定しましたが、

イベント内容及びデバッグログファイル内容とも問題はないようです。

 

この状態で、グループポリシー管理コンソールより

「グループ ポリシーのモデル作成」及び「グループポリシーの結果」を実行すると、

やはり「自動ブラウザ構成」の優勢なGPOは「ParentGPO」となっており、

「重要なURL」は「ChildGPO」が優勢なGPOになっています…はて？

 

「グループ ポリシーのモデル作成」のシミュレート結果が実際の結果と異なるのは

あくまでもシミュレートなのでということでまだ理解できるのですが、

「グループポリシーの結果」が実際の状態と異なるのはどうしてでしょう？

 

> 無償・匿名掲示板での正式な回答を期待するのは難しいのが現状ですので、

> MSの有償サポートを受けられた方が良いようにも思います。

アドバイスありがとうございます。

 

実際の環境で発生している問題については、サーバOSがOEM製品の為サーバメーカーへ問い合わせを既に実施中で

サポート担当よりサーバ及びクライアントのレジストリ変更、アプリケーションログ及びuserenv.logの収集を指示されていて、

既にこれらのファイルを提出し解析を実施してもらっています。

 

－－－－－－－－－－－－－－－－－－－－－－－－－－
この質問に対する根拠資料としては以下のようなものがある。

(MSページ)

グループポリシーの優先順位

http://technet.microsoft.com/ja-jp/library/cc783171(WS.10).aspx

（参考資料）

http://www.atmarkit.co.jp/fwin2k/tutor/gpolicy06/gpolicy06_01.html

http://www.atmarkit.co.jp/fwin2k/tutor/gpolicy07/gpolicy07_05.html

 

（参考資料）

Internet Explorerのプロキシ設定をグループ・ポリシーで強制する
http://itpro.nikkeibp.co.jp/free/NT/WinReadersOnly/20041227/2/

http://itpro.nikkeibp.co.jp/free/NT/WinReadersOnly/20040816/1/

（参考資料）

グループ・ポリシーの反映状況について詳細なログを確認する

http://itpro.nikkeibp.co.jp/free/NT/WinReadersOnly/20040415/77/

(MSKB) 

製品版 Windows でユーザー環境デバッグログを有効にする方法
http://support.microsoft.com/kb/221833

 

http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/cf646553-c74e-450e-a45b-9c7eaef061e5