"sysvol フォルダー内のこの GPO のアクセス許可が Active Directory のアクセス許可と矛盾しています" GPMC を実行するとメッセージが表示される

この記事では、グループ ポリシー管理コンソール (GPMC) の実行時に発生するエラーを修正するためのヘルプを提供します。

適用対象:  Windows Server 2012R2
元の KB 番号:   828760

現象

Microsoft Windows Server ドメインで GPMC を実行し、[既定のドメインポリシー] または[既定のドメイン コントローラー ポリシー] をクリックすると、次のいずれかのメッセージが表示されます。

  • グループ ポリシー オブジェクト (GPO) のセキュリティを変更するアクセス許可がある場合は、次のメッセージが表示されます。

    sysvol フォルダー内のこの GPO のアクセス許可は、Active Directory のアクセス許可と矛盾しています。 これらのアクセス許可は一貫性を保つ必要があります。 SYSVOL のアクセス許可を Active Directory のアクセス許可に変更するには、[OK] をクリックします。

  • グループ ポリシー オブジェクト (GPO) のセキュリティを変更するアクセス許可が付与されていない場合は、次のメッセージを受け取ります。

    sysvol フォルダー内のこの GPO のアクセス許可は、Active Directory のアクセス許可と矛盾しています。 これらのアクセス許可は一貫性を保つ必要があります。 この GPO のセキュリティを変更する権限を持つ管理者に問い合わせてください。

原因

この問題は、グループ ポリシー オブジェクトの Sysvol 部分のアクセス制御リスト (ACL) が、親フォルダーからアクセス許可を継承するために設定されている場合に発生します。

状態

Microsoft は、この記事の「適用先」セクションに記載されている Microsoft 製品の問題を確認しました。

回避策

既定の GPO でセキュリティを変更するアクセス許可がある場合は、[現象] セクションで説明されているメッセージに応じて [OK] をクリックします。 このアクションは、グループ ポリシー オブジェクトの Sysvol 部分の ACL を変更し、Active Directory コンポーネントの ACL と整合性を保ちます。 この場合、グループ ポリシーは Sysvol フォルダー内の継承属性を削除します。

詳細

各グループ ポリシー オブジェクト (GPO) は、ドメイン コントローラーの Sysvol フォルダーに部分的に格納され、一部は Active Directory ディレクトリ サービスに格納されます。 GPMC、グループ ポリシー オブジェクト エディター、および Active Directory スナップインで提供されている古いグループ ポリシー ユーザー インターフェイスは、GPO を 1 つのユニットとして表示および管理します。 たとえば、GPMC で GPO にアクセス許可を設定すると、GPMC は Active Directory と Sysvol フォルダーの両方のオブジェクトに対するアクセス許可を設定します。 各 GPO について、Active Directory のアクセス許可が Sysvol フォルダー内のアクセス許可と一致している必要があります。 GPMC およびグループ ポリシー オブジェクト エディターの外部で、これらの個別のオブジェクトを変更する必要があります。 そうすると、クライアントのグループ ポリシー処理が失敗したり、一般にアクセス権を持つ特定のユーザーが GPO を編集できなくなったりすることがあります。

さらに、ファイル システム オブジェクトとディレクトリ サービス オブジェクトは、異なる種類のオブジェクトなので、同じ使用可能なアクセス許可を持つ必要があります。 アクセス許可が一致しない場合、一貫性を保つのは容易ではない場合があります。 Active Directory と GPO の Sysvol コンポーネントのセキュリティが一貫性を保つには、GPMC で GPO をクリックすると、GPMC は GPO のアクセス許可の一貫性を自動的にチェックします。 GPMC が GPO の問題を検出した場合、その GPO のセキュリティを変更するアクセス許可を持っているかどうかに応じて、[現象] セクションに記載されているメッセージのいずれかを受信します。