SEブログ

【Active Directory】Group Policyが適用されない場合の対処方法

 

こんにちは!SE ブログの相馬です。

 

 

 

今回は、Group Policy が適用されない場合の対処方法について書きました。

 

 

企業で多くの GPO が適用されている環境では、PC に GPO が適用されなかったりする問題が発生する場合があるかと思います。一部の GPO が適用されない場合もあれば、GPO の一部の設定が適用されていない場合もあるかと思います。

 

 

その中でも、コンピューターの構成またはユーザーの構成のどちらかで、全ての GPO が適用されない問題が発生する場合があります。そういう場合は個々の GPO の問題というよりも、むしろ適用先の PC 側に問題がある可能性が高いかと思います。

 

 

こういう場合、対処方法として Group Policy の設定ファイルである、registry.pol というファイルを手動で削除する事によって問題が解消される場合があります。では、そもそもこの registry.pol というのは何でしょうか?

 

 

 

スポンサーリンク

registry.pol とは

 

 

registry.pol とは、ローカル GPO にあるコンピューターの構成やユーザーの構成で設定した内容が保管されるファイルになります。具体的に言いますと、ローカル GPO を適用する為に構成された設定、レジストリ情報が含まれています。また、ソフトウェアの制限ポリシーで構成した内容も含まれています。

 

 

そこで registry.pol ファイルをモ帳でファイルを開いてみましたが、ちょっとぐちゃぐちゃでよく分かりませんでした。(汗)ので

 

 

 

バイナリエディタというものをインストールして見てみました。GPO の設定内容とレジストリ情報が書いてあります。ここでは、Internet Explorer のおすすめサイトを有効にする設定を [有効] に設定してみましたが、英語でそのまま書いてありますね。うん、この程度の内容なら私でも分かりました。(笑)

 

 

 

ローカル GPO で設定した内容になります。おすすめサイトを有効にする設定を [有効] にしてあります。

 

 

 

registry.pol ファイルの保管先は、C:\Windows\System32\GroupPolicy\ に Machine と Users としてフォルダが分かれており、各々にファイルが保管されています。隠しフォルダになっているので、必ず隠しフォルダを表示するように設定を変更しましょう。

 

コンピューターの構成: C:\Windows\System32\GroupPolicy\Machine\registry.pol
ユーザーの構成: C:\Windows\System32\GroupPolicy\Users\registry.pol

 

 

 

Machine フォルダにある、registry.pol ファイルになります。

 

 

 

 

スポンサーリンク

発生する問題

 

 

registry.pol に問題がある場合、作成または変更した GPO が適用されませんので、他の PC とは構成管理的に不整合が発生します。そうなってしまいますと、GPO が正しく適用されている PC とは設定が異なってしまいます。

 

 

例えば、本来であれば Internet Explorer のプロキシ設定が制限されて設定できないはずが、設定できてしまったりなどしてしまいます。こういった問題が発生すると場合によってはセキュリティに問題が発生してしまう可能性もあり、気をつけなければならないかと思います。

 

 

そこで、実際に発生している PC のイベントログで見てみると、ID: 1096 が出力されている場合が多いようです。以下、エラーの内容になります。

 

 

The processing of Group Policy failed. Windows could not apply the registry-based policy settings for the Group Policy object LocalGPO. Group Policy settings will not be resolved until this event is resolved. View the event details for more information on the file name and path that caused the failure.

 

 

 

対処方法

 

 

C:¥Windows¥System32¥GroupPolicy フォルダ内にある、Machine または Users にある registry.pol ファイルを手動で名前を変更するか、または削除します。

 

C:\Windows\System32\GroupPolicy\Machine\registry.pol
C:\Windows\System32\GroupPolicy\Users\registry.pol

 

 

削除した後は手動でポリシー適用するか、PC を再起動します。

 

 

 

スポンサーリンク

対処する事による影響

 

 

registry.pol は、GPO を適用する為に構成された設定、レジストリ情報が含まれていますが、削除して再度生成されるので特に影響は無い筈だと思います。むしろ、GPO が適用されていない状態のほうが影響があるかと思います。

 

 

 

スポンサーリンク

まとめ

 

 

いかがでしょうか。

 

 

Group Policy が適用されていない PC を特定する事は方法としてはありますが、PC の台数が何千台や何万台規模になってきますと、ストレージや人的コストがかかりなかなかそこまで手が回らない場合があるかと思います。

 

 

そういう場合は、ユーザーから問い合わせがあった場合に手動やバッチファイルで  registry.pol ファイルを削除すれば解消される場合があるので試してみましょう。

 

 

それでは最後までお読みいただきありがとうございました!