JANUSSEALグループポリシーのトラブルシューティング

マイクロソフトのグループポリシーは、ワークステーションとサーバーの集中構成のための豊かで効果的なテクノロジです。Janusseal はグループポリシーを使用して、組織が Janusseal の設定を組織の要件に合わせてカスタマイズできるようにします。

グループポリシーには、技術の専門家ではない管理者のトラブルシューティングが困難な「機能」がいくつかあります。

管理者は、Windowsドメインコントローラ上のグループポリシーエディタを使用して Janusseal を設定することがありますが、ワークステーションに適用すると期待どおりに動作しないことがあります。追加の分類が表示されることもあれば、まったく表示されないことや、ポリシー全体が機能しないように見える場合があります。

この記事では、グループポリシーを使用して Janusseal の設定を複雑にしてしまう、より一般的な問題のいくつかを解決するためのヒント、ツール、テクニックについて説明します。グループポリシーに関するいくつかの経験があり、ディプロイしているネットワークにはグループポリシーが適用されていることを前提としています。

コンテンツ

Article Information
ID: 
kb/1413
Type: 
how to
Date created: 
15 Jun, 2018
Last updated: 
06 Jul, 2018 18:07
More Information: 

ヒント

ヒント: グループポリシーエディタから管理用テンプレートを削除しても、グループポリシーオブジェクトから設定が削除されない。

更新された管理用テンプレート(.admファイル)を使用してグループポリシーを更新する必要がある場合は、単にテンプレートを削除して新しいテンプレートに置き換えを試みることがあります。これはいくつかの状況では置き換えに成功する場合もありますが、置き換えできない場合や、奇妙な結果をもたらす場合があります。

管理用テンプレートが削除されると、(構成されていないのに対して) 有効または無効になっているグループポリシー設定がグループポリシーオブジェクトに残ります。置換管理用テンプレートで同じ設定が構成されていない場合は、設定が破棄されます。つまり、グループポリシーオブジェクトに残っているため、ターゲットマシンにも適用されます。これは、グループポリシーエディタのビューで設定されていないことが示されている場合でも同じです。

ヒント: 簡単なものから始める

ドメインレベルでグループポリシーを使用する場合は、グループポリシーが正しく動作していることを確認するために、次のことをお勧めします。

  • ドメイン上の単一のテストマシンで構成されるセキュリティグループ
  • 単純なグループポリシーオブジェクト
    • Janussealライセンスの詳細
    • ドメインにリンクされている
    • テストマシンのセキュリティグループにフィルタリングされる

テストマシンを再起動し、gpresult を使用して、新しいセキュリティグループのメンバーであることを認識したことを確認します。

Gpupdate を実行し、regedit を使用してライセンスの詳細がレジストリに展開されていることを確認します。

レジストにリエントリがある場合は、グループポリシーの変更、テストマシンの更新、MS Office アプリケーション(Outlook、Word など)の再起動のサイクルを繰り返し続けます。設定に自信があるときは、テスト・セキュリティ・グループにマシンを追加します(パイロット・グループから)。

一方、レジストリにエビデンスがない場合 ( regedit でビューをリフレッシュすることを忘れないでください)、トラブルシューティングのセクションのいくつかのテクニックを見てみましょう。

ヒント: グループポリシーは、クライアント上で最大4つの領域に適用できる

グループポリシーでは、コンピュータとユーザーのレジストリ設定を設定できます。x64 オペレーティングシステムでは、レジストリ設定も関連する Wow6432Node に反映されます。詳細は regedit を参照してください。

ヒント: セキュリティグループを使用すると、グループポリシーのターゲットを容易に管理できる

グループポリシーがドメインにリンクされている場合は、セキュリティグループを使用して特定のグループにポリシーを適用できます。

この設計は、ポリシーの変更の間にマシンをどのように移行できるかを管理するために使用できます。あるセキュリティグループから別のセキュリティグループにコンピュータを移動すると、常に 1 つまたは別のグループポリシーオブジェクトが適用されます。

ヒント: ポリシーをマシンに適用するには 2 回再起動が必要

最初の再起動は、マシンがネットワークに接続して、メンバーであるセキュリティグループを検出するために必要です。

2回目の再起動は、マシンが属する関連するセキュリティグループに適用可能なグループポリシーを取得するためによく使用されます。あるいは、マシンが目的のセキュリティグループに入ったら、gpupdate を使用てグループポリシーを取得することができます。

ヒント: gpupdate の後に必ずしも再起動する必要はない

ポリシーの変更が(レジストリ)設定のみである場合、Janusseal の再起動は必要ありません。gpupdate に続いて、単にアプリケーション(MS Outlook、Wordなど)を再起動します。

ヒント: グループポリシーエディタのコンピュータ設定とユーザー設定に注意が必要

混乱を避けるために:

  • コンピュータグループに適用されるポリシーオブジェクトをグループ化するには、グループポリシーエディタでコンピューターの設定を構成します。
  • ユーザーグループに適用されるポリシーオブジェクトをグループ化するには、グループポリシーエディタでユーザー設定を構成します。

ヒント: グループポリシーの処理と優先順位に注意が必要

ユーザーまたはコンピュータに適用されるグループポリシーオブジェクトがすべて同じではありません。後で適用される設定は、以前に適用された設定を上書きします。

グループポリシーの設定は、次の順序で適用されます。

  1. ローカルグループポリシーオブジェクト
  2. サイト
  3. ドメイン
  4. 組織単位

上記には例外があり、強制または無効のどちらの GPO リンケージにも依存します。

参考文献:

ヒント: JANUSSEAL は、コンピュータとユーザーのレジストリ設定とレジストリポリシーの設定を組み合わせて使用​​する

Janusseal がその構成を読み込むレジストリ値はすべて等しくありません。

Janusseal 構成は、次の場所のレジストリ設定に基づいています。

  1. HKLM\Software\Policy\janusNET\janusSEAL
  2. HKCU\Software\Policy\janusNET\janusSEAL
  3. HKLM\Software\janusNET\janusSEAL
  4. HKCU\Software\janusNET\janusSEAL

複数の場所から設定を読み込む場合は、上記のリストの前の設定が使用されます。

上記の各場所から設定を読み込みできない場合、デフォルト値(ソフトウェアに埋め込まれています)が使用されます。

32 ビットの Office および 32 ビット Janusseal の設定を実行している x64 オペレーティングシステムでは、 ..\SOFTWARE\.. Node の代わりに、..\SOFTWARE\Wow6432Node\.. Node から設定が読み込まれます。

参照:

ヒント: グループポリシーを使用して Janusseal msi をディプロイする場合、マシンがパッケージのネットワークロケーションにアクセスできることを確認する

ソフトウェアパッケージ (およびネットワーク上の場所) へのアクセスを必要とするマシンで、ネットワークに接続していて、ユーザーがログインする前に実行されます。Windows エクスプローラを使用してコンピュータからアクセスでき、パッケージを参照できる場合でも、これを行うにはユーザーの資格情報を使用しています。マシンがこのアクセスを持っていない可能性があります。

問題は、マシンのシステムイベントログで明らかになります。


ツールセットA:グループポリシーツールグループポリシーオブジェクト

これらのツールは、グループポリシーが適用されている場所(ワークステーションまたはサーバー)に使用します。

gpupdate

セキュリティ設定を含むローカルおよび Active Directory ベースのグループポリシー設定を更新します。

Windows Server 2012 R2 および Windows Server 2012 では、リモートグループ (Force a Remote Group Policy Refresh (GPUpdate)) に強制的に更新プログラムを適用できます。

参考文献:

  • Windows XP Command Line Reference (Technet): Gpupdate

gpresult

ユーザーまたはコンピュータのグループポリシー設定およびポリシーの結果セット(RSOP)を表示します。

参考文献:

  • Windows XP Command-line reference (Technet): Gpresult

RSoP (ログモード)

RSoP スナップインを使用すると、特定のユーザーまたはコンピュータに対して有効なポリシーを確認できます。これは、管理者が組織全体の構成を迅速に評価できる利点です。RSoP は完全にリモートであり、管理者はドメイン上の任意のコンピュータまたはユーザーのポリシーを確認するようにスナップインを誘導できます。

参考文献:

regedit

レジストリ設定を表示する(マシンのポリシー設定を含む)

Janusseal Machine Group のポリシー設定は、次のレジストリキーの下にあります。

  • HKLM\SOFTWARE\Policies\janusNET\janusSEAL

Janussealユーザーグループのポリシー設定は、次のレジストリキーの下にあります。

  • HKCU\SOFTWARE\Policies\janusNET\janusSEAL

x64 オペレーティングシステムでは、以下も確認する必要があります。

  • HKLM\SOFTWARE\Wow6432Node\Policies\janusNET\janusSEAL
  • HKCU\SOFTWARE\Wow6432Node\Policies\janusNET\janusSEAL

ツールセットB:グループポリシー管理ツール

グループポリシー管理コンソール(GPMC)

グループポリシー管理コンソール (GPMC) は、企業全体のグループポリシーを管理するための単一の管理ツールを提供する Microsoft Manement Console(MMC) スナップインです。GPMC は、グループポリシーを管理するための標準ツールです。

他のタスクの中では、GPMC を使用して

  • グループポリシーオブジェクトのライフサイクルの管理(作成、バックアップ、復元、インポート、コピー)
  • グループポリシーオブジェクトの範囲を管理する
  • グループポリシーオブジェクトの優先順位を管理する
  • ポリシーの結果セットの決定

参考文献:

グループポリーエディター

Gpedit は、ローカルグループポリシーオブジェクト、またはドメインに適用されるグループポリシーオブジェクトを編集するための MMC スナップインです。

参考文献:

RSoP(モデリングモード)

グループポリシーモデリングは、ユーザーまたはコンピュータに適用されるグループポリシー設定を要求します。ただし、報告されたデータは、コンピュータとユーザーの組み合わせに対して RSoP をシミュレートするサービスからのものです。

参考文献:

ツールセットC:Janusnet ツール

Janusseal Schema

Janusseal schema は、組織によって使用される Janusnet からのソフトウェアアプリケーションで、セキュリティ分類スキーマを、Janusseal 製品のいずれかで使用するのに適した電子的な表現で表現します。

グループポリシーから無関係な設定を削除する

Janusnetソフトウェアに関連する余分なポリシー設定を削除するためのオンラインツールです。ツールは、不要なポリシー設定を[構成されていない]に設定して値を削除するために、グループポリシーエディタにロードできる ADM ファイルを作成します。

ドメインコンピュータから診断情報を取得する

システム管理者が、ドメインメンバーコンピュータ(デスクトップまたはサーバー)上で実行されている Janusseal アプリケーションに関する診断情報をすばやく簡単に収集するためのツールです。

 


トラブルシューティングのテクニック

問題:対象マシンにポリシーが適用されていません。

原因:マシンが、グループポリシーオブジェクトのフィルタ処理に使用されているセキュリティグループに属していません。

テスト:コマンドラインから gpresult を実行して、マシンが予想されるセキュリティグループにあるかどうかを迅速にテストします。解決策:マシンが最近セキュリティグループに追加された場合、そのマシンが新しいセキュリティグループのメンバーであることを検出するために、マシンを再起動します。
テスト:Active Directory ユーザーとコンピュータを実行して、マシンがセキュリティグループに含まれているかどうかを確認します。解決策:マシンをセキュリティグループに追加します。

グループポリシーがまだ適用されていません。

テスト: regedit を使用して、ポリシー設定が存在するか、マシンのレジストリに noot ているかを確認します。解決策: gpupdate を使用してマシン上のポリシーを更新する

グループポリシーオブジェクトが組織単位にリンクされていません。

TBA 

原因:グループポリシーオブジェクトが適切なセキュリティグループにフィルタされていません。

TBA 

問題:グループポリシーエディタで有効になっていない分類が Janusseal に表示されています。

原因:一部のポリシー設定が tombstoned されています。

テスト: RSoP - Planning Mode を使用して、ポリシーに無関係な設定があるかどうかを確認します。解決策:不要な設定を削除するには、Janusnet ツール( tool to remove extraneous policy settings )を使用して余分なポリシー設定を削除します。

問題:親アプリケーションの起動時に Janusseal が読み込みできない。

原因:パッケージがインストールされていません。

テスト :Window Explorer を使用して、マシンのファイルシステムを確認します。

X64 オペレーティングシステムでの、Janusseal 64-bit のデフォルトのインストールフォルダは次のとおりです。

Program Files\janusNET\janusSEAL XXX.

X64 オペレーティングシステムでの、Janusseal 32-bit のデフォルトのインストールフォルダは次のとおりです。

Program Files (x86)\janusNET\janusSEAL XXX.

x86オペレーティングシステムでの、Janusseal 32-bit のデフォルトのインストールフォルダは次のとおりです。

Program Files\janusNET\janusSEAL XXX.
解決するには:システムイベントログを調べて、インストールの失敗の原因を特定します。

間違ったパッケージがディプロイされる(実際にはグループポリシーの問題ではありませんが、完全性のために追加しています)。

テスト: MS Offic eの「ビット」をチェックし、インストールされている Janusseal のビット数と一致していることを確認します。

X64 オペレーティングシステムを使用していても、3 2ビットの MS Office を使用している可能性があります。

Office 2010の [ ファイル ] メニューの [ ヘルプ ]。 右側のウィンドウである「Microsoft XXX について」にて、32 ビットまたは64 ビットのバージョンを表示します。

x64オペレーティングシステムでの、Janusseal 64-bit のデフォルトのインストールフォルダは次のとおりです。

Program Files\janusNET\janusSEAL XXX.

x64オペレーティングシステムでの、Janusseal 32-bit のデフォルトのインストールフォルダは次のとおりです。

Program Files (x86)\janusNET\janusSEAL XXX.

x86オペレーティングシステムでの、Janusseal 32-bit のデフォルトのインストールフォルダは次のとおりです。

Program Files\janusNET\janusSEAL XXX.
解決策: Janusseal と一致するパッケージをディプロイします。

原因:インストーラはネットワーク上のパッケージにアクセスできません。

テスト: マシンのイベントログを使用して、Janusseal パッケージにアクセスする際に問題がないかどうかを確認します。

解決策:マシン(ユーザーだけでなく)がネットワークの場所にアクセスできることを確認します。

解決策:ポリシーに通知されているパスが、共有を提供しているマシン上のローカルマシンパスではなく、ネットワーク上の場所であることを確認します。
Applies To
Version(s): 
2
3
References