- 修正パッチMS16-072適用後のGPOの動きについて
→今まではGPOに対して[スコープ]にグループを指定だけでポリシーが適用されていましたが、
MS16-072のパッチをクライアント側(サーバーに適用しなくても出る)に適用すると
gpresultコマンドを実行した際にポリシーが不明な理由で適用されなくなります。
回避する為にはGPOの新規作成時にデフォルトで存在する「Authenticated users」の追加が必要なのですが、
追加方法によっては思いもよらない動作をするので注意が必要です。
ちなみにユーザーポリシーの場合は「Authenticated users」でコンピューターポリシーの場合は「Domain Computers」だそうです。
手順(ユーザー、グループでフィルターしている場合)
============================
1.GPO「testGPO」を新規に作成、既存のOUにリンク
[スコープ]タブに「Authenticated users」が権限「読み取り」と「グループポリシーの適用」で存在
→OUに所属する全ユーザーに「testGPO」が適用
2.[スコープ]タブの「Authenticated users」を削除してグループ「testG」を追加。
→グループ「testG」にのみ「testGPO」が適用
3.クライアントにMS16-072のパッチを適用
→不明な理由 によりポリシーが適用されない
4.[スコープ]タブから「Authenticated users」を追加(権限は「読み取り」と「グループポリシーの適用」)
→グループ「testG」に加えて、OUに所属する全ユーザーに「testGPO」が適用
5.[スコープ]タブの「Authenticated users」を削除して、
[委任]タブから「Authenticated users」を「読み取り」で追加(権限は「読み取り」)
→グループ「testG」にのみ「testGPO」が適用
※「グループポリシーの適用」権限は「許可」にも「拒否」にもチェックは入れてはだめ。
============================
結論
・パッチを適用するとGPOを特定のユーザー/コンピューター/グループのみで適用しているものは効かなくなる。
[スコープ]タブから「Authenticated users」を追加すると「グループポリシーの適用」権限も付いてくるので
[委任]タブから「Authenticated users」を「読み取り」で追加した方が楽。
既に[スコープ]タブに「Authenticated users」が存在している場合は「グループポリシーの適用」の「許可」を外す。
※「グループポリシーの適用」の「許可」を外すと[スコープ]タブから「Authenticated users」が消える。
[委任]タブには存在している。
- デバイスCALが足りなくなってリモート接続できなくなったよ!
- ユーザーCALが足りなくなったってエラーが出るんだけど
→昔のWindowsサーバーはユーザーCALをカウントしなかったんだけど、
Windows2012辺りからユーザーCALもカウントするようになりました。
ただ、以前のように足りなくなっても接続できなくなるのかは不明です。
- SQLサーバーのログが肥大化してSQLサーバーが止まった!
→SQLのログは溜まっていくのでログを圧縮するとか、削除するとかする必要があります。
というか構築する時点でログの保存場所を別ドライブにすることをお勧めします。
- Automationのジョブが月の途中で急に動かなくなるんだけど!
→Freeプランだと月500分という制限があってそこまでは無料です。
それ以降は有料で制限を超過してしまうとその該当の機能だけ動かなくなります。
プランをBasicに変更して500分を超えると課金制0.21円/分で請求されるそうです。
といっても100分21円なので年間でも300円以下じゃないですかね(ジョブ課金に関しては)。
それでもお金を払いたくない人は実行するジョブを減らすしかないですね。
最終更新:2019年01月17日 16:20
