Default Domain Controllers Policy がレジストリを勝手に変更2014年03月24日 19時11分

これの続き
Windows server 2008 R2 で Windows Firewall 起動せず

前回、レジストリをいじって「Base Filtering Engine」と「Windows Firewall」サービスが起動しない問題を解決したわけだが、いつの間にやら、レジストリの設定が元に戻ってしまった。

こうなると、疑わしいのはグループポリシーの設定。どこかしらにレジストリを変更する設定があるのだろう。
サーバーをドメインコントローラに昇格してから問題が起こっていることを考えると、「Default Domain Controllers Policy」と見て間違いないでしょう。

現在は2008の機能レベルのドメインで運用しているが、元をたどればWindows2000のころからバージョンアップをして今に至る。現在でもWindows Server 2003を1台をドメインコントローラとして使っている。

「Base Filtering Engine」や「Windows Firewall」サービスを起動するには、特定のレジストリに対し「NT service\mpssvc」にフルコントロールの権限を与えなければならないが、Windows Server 2003ではそもそもそういったユーザーが存在しない。どうやらこれが原因で、グループポリシーが適用された際にレジストリにアクセス権が無くなってしまっていたよう。


解決方法(*正しいかどうかは定かではない)

Windows Server 2008以降のドメインコントローラの「Active Directory ユーザーとコンピューター」で「Domain Controllers」コンテナの下に新たに組織単位(OU)を作る



その組織単位(OU)に対し、新しいグループポリシーを作り、
「コンピューターの構成」→「ポリシー」→「Windowsの設定」→「セキュリティの設定」→「レジストリ」に
「MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess」と
「MACHINE\SYSTEM\CurrentControlSet\services\BFE」を追加。
セキュリティの設定で「NT service\mpssvc」にフルコントロールを与える。



不具合の起きているコンピュータを作成した組織単位(OU)に移動。



コンピュータで「gpupdate /force」コマンドを実行しセキュリティポリシーを反映。

直接「Default Domain Controllers Policy」を編集するという手もあるのだが、既存のサーバーに悪影響が出ることを恐れて、あえて新しいOUにしてみた。今のところはサービスも無事に起動し問題なく稼働している。


コメント

コメントをどうぞ

※メールアドレスとURLの入力は必須ではありません。 入力されたメールアドレスは記事に反映されず、ブログの管理者のみが参照できます。

※投稿には管理者が設定した質問に答える必要があります。

名前:
メールアドレス:
URL:
次の質問に答えてください:
↓に「sakanade」と入力してください。

コメント:

トラックバック