gpupdate /force は成功するのにポリシーが適用されない場合の確認項目

gpupdate の成功は処理完了を示すだけで、対象 GPO の適用を保証しません。gpresult、OU、フィルター、拒否理由、SYSVOL、イベントを確認します。

1. 結論と対象範囲

クライアント／サーバーのバージョン、ドメイン参加状況、DNS とゲートウェイ、ネットワーク場所、完全なエラー文、イベント時刻、直近の変更を準備します。例では予約済みの corp.example を使用し、実在する顧客のドメイン、IP、アカウント、機器番号は掲載していません。

本件は「Active Directory とグループポリシー」に分類されます。ログと設定はリモートで収集できる場合がありますが、権限の一括変更、スイッチ経路、本番切替、復元テストは計画した作業枠で実施します。

2. 主な症状と環境確認

• 口頭説明だけで判断せず、完全なエラー文、イベントログの時刻、失敗した操作を保存します。
• 影響範囲、初回発生時刻、再現性、別セグメントでも同じ結果になるかを記録します。
• ドメイン参加端末は社内 DNS を使用します。パブリック DNS では AD の検出に必要な SRV レコードを返せません。

3. 推奨する切り分け順序

1. gpupdate を繰り返すのではなく、gpresult または RSoP で適用・拒否・フィルター除外された GPO を確認します。
2. ユーザーとコンピューターの OU、GPO リンク、継承ブロック、強制、ループバック処理を確認します。
3. セキュリティフィルター、WMI フィルター、読み取り権限、対象への「グループポリシーの適用」権限を確認します。
4. ドメイン参加端末は社内 DNS を使用します。パブリック DNS では AD の検出に必要な SRV レコードを返せません。
5. ドメインコントローラー間の AD と SYSVOL の複製、および接続先 DC のポリシーバージョンを確認します。
6. 口頭説明だけで判断せず、完全なエラー文、イベントログの時刻、失敗した操作を保存します。

gpupdate /force
gpresult /h "%TEMP%\gpo-result.html"
wevtutil qe Microsoft-Windows-GroupPolicy/Operational /c:20 /f:text

4. 安全な修復と一括展開

読み取り専用の確認、設定エクスポート、単一システムでの検証を優先します。原因を確認してから対象範囲、作業時間、ロールバック方法を決めます。複数端末ではテスト OU と少数のパイロット端末を用意し、ポリシー結果を保存してから段階的に展開します。

• ドメイン参加端末は社内 DNS を使用します。パブリック DNS では AD の検出に必要な SRV レコードを返せません。
• ドメインコントローラー間の AD と SYSVOL の複製、および接続先 DC のポリシーバージョンを確認します。
• 口頭説明だけで判断せず、完全なエラー文、イベントログの時刻、失敗した操作を保存します。

5. 確認方法・ロールバック・注意点

一度動作しただけで完了としません。利用者操作、ログ、再起動／再ログイン、必要に応じて別ネットワーク場所、次回のポリシー／バックアップ周期で再確認します。

確認とロールバック

• 一度に変更する条件は1つにし、変更前に設定をエクスポートするか現状を記録します。
• クライアント、ドメインコントローラー、ハイパーバイザーのタイムゾーンと時刻同期元を確認し、Kerberos の失敗を防ぎます。
• ドメインコントローラー間の AD と SYSVOL の複製、および接続先 DC のポリシーバージョンを確認します。

避けるべき一般的な誤り

• パブリック DNS や hosts への恒久的な DC 登録で回避すること。
• ローカル管理者を確認せずにドメイン離脱すること。
• パイロット検証なしで新しい GPO をドメイン全体へリンクすること。