3流プログラマのメモ書き

元開発職→社内SE→派遣で営業支援の三流プログラマのIT技術メモ書き。 このメモが忘れっぽい自分とググってきた技術者の役に立ってくれれば幸いです。(jehupc.exblog.jpから移転中)

(ActiveDirectory)グループポリシーオブジェクトのセキュリティフィルタの設定が効かない

ActiveDirectory グループポリシー

[ユーザの構成]に設定を行ったGPOについて、任意のセキュリティグループだけ適用させる必要が生じました。

デフォルトでGPOの[スコープ]タブの[セキュリティフィルター]には、[Authenticated Users]となり、全ユーザーに適用されます。
[Gp_hoge]グループだけに適用させたいので、[Authenticated Users]を削除し、[Gp_hoge]を追加したのですが、グループポリシーの内容が適用されません。

なぜかと思って調べると、Windowsセキュリティ更新プログラム(KB3159398)による仕様変更が原因だったことに今更気づきました。
この更新プログラムにより、グループポリシーオブジェクトに Authenticated Users グループ用の読み取りアクセス許可がない場合、またはセキュリティ フィルターを使用していて、Domain Computers グループ用の読み取りアクセス許可がない場合に、[ユーザーの構成]に関するポリシー適用が失敗するようになります。

対策としては、GPOの[委任]タブにて、[Domain Computers]グループに対し[読み取り]のアクセス許可与えます。

もし、任意のユーザーのみ適用させたくない場合は[委任]タブにて、適用させたくないユーザーを追加し、[読み取り]を[許可]に、[グループポリシーの適用]を[拒否]にします。(拒否にするのはAuthenticated Usersがポリシー適用許可になっているため)

セキュリティフィルターを使う場合は注意しておきたいです。

参考:
[MS16-072] グループ ポリシーのセキュリティ更新プログラムについて (2016 年 6 月 14 日)
「MS16-072: グループ ポリシーのセキュリティ更新プログラム」を適用するとポリシー適用に問題が生じる場合がある
山市良のえぬなんとかわーるど: Active Directoryの管理者の方へ、6 月の更新 MS16-072 (KB3159398) は要注意 (訂正あり)
更新プログラム「KB3159398」の適用で一部のグループポリシーが機能しなくなる問題を回避する方法 (1/2):山市良のうぃんどうず日記(68) - @IT