Active Directoryに参加したWindows XPクライアントには,グループポリシーと呼ばれる“ドメインベースでのコンピュータやユーザの個別設定”がネットワーク経由で適用され,自動的にコンピュータの設定やユーザのデスクトップ環境を整えますが,これを変更したときに,予想に反して反映されないことがあります。その場合,gpresultというコマンドを実行するだけで,かなりの切り分けが可能になります。
gpresult /zでグループポリシーの状態を確認
まず,実際にログオンしている状態で gpresult /z コマンドを実行し,グループポリシーがクライアントやユーザにどう適用されているのかをチェックします(図1)。なお,このチェックはログオンしているユーザによって結果が変わるので,問題が起こっているユーザで実行する必要があります。結果ログは長いので,通常はテキストファイルにリダイレクトします。
図1 gpresult /z を実行したところ
C:\>gpresult /z > %USERPROFILE%\デスクトップ\gpresult.log C:\>
結果ログに“エラー:アクセスが拒否されました”や“情報:ポリシーオブジェクトは存在しません”と表示された場合,ログオン時に有効なグループポリシーが取り込めない状態になっている意味になるので,ログオンプロセス自体を疑い,本特集のCommand-2の例であげたような「ログオンに時間がかかる」に添ったトラブルシューティングを行った方がよいでしょう。
そうでなかった場合,結果ログ(リスト1)を見て,それに見合った対応をすることになります。
gpresult結果ログの見方
まず“ドメインの種類”と“サイト名”をチェックすることで,DNSベースでドメインコントローラが見つけられているか,確認することができます。通常は "ドメインの種類" は "Windows 2000" となりサイト名も指定されますが,ここが“WindowsNT 4”となっていてサイト名が“N/A”となってる場合,SRVレコードによるDNSベースでのドメインコントローラの検索ができていません。この場合,pingを使って名前解決の様子を確認し,ipconfigやnslookupを使ってDNSサーバからSRVレコードが検索できるようにします。方法については,Command-2を参考にしてください。
リスト1 図1のコマンド実行でできたログ(grpresult.log:部分)
Microsoft (R) Windows (R) XP Operating System Group Policy Result tool v2.0 Copyright (C) Microsoft Corp. 1981-2001 作成日 2007/08/13 時刻 4:34:22 RSOP の結果 EXAMPLE\user01 - CHABCL00 : ログ モード -------------------------------------------- OS 種類: Microsoft Windows XP Professional OS 構成: メンバ ワークステーション OS バージョン: 5.1.2600 ドメイン名: EXAMPLE ドメインの種類: Windows 2000 サイト名: Site2 移動プロファイル: ローカル プロファイル C:\Documents and Settings\user01 低速リンクで接続: はい コンピュータ設定 --------- 前回のグループ ポリシーの適用時: 2007/08/13 at 4:32:40 グループ ポリシーの適用元: chabsv01.example.com グループ ポリシーの低速リンクのしきい値: 500 kbps 適用されたグループ ポリシー オブジェクト ---------------------- Default Domain Policy
