昨夜、VPNでダラダラと会社のWindowsServerのイベントログを眺めていたら、「セキュリティ ポリシーは伝達されましたが、警告があります。0x5: アクセスが拒否されました。」とのエラーが5分置きにアプリケーションログに残されていた。
ドメインコントローラで、ドメインアドミニ持ってるのにアクセス拒否??
と思ってググってみる。
MSのサポートを見ながら早速調査開始!
まず、レジストリエディタを開いて、
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
の中の「ExtensionDebugLevel 」の値を2に変更。
詳細な情報を調べていないが、たぶん、ポリシー更新の際のデバッグログを残す設定らしい。
んで、
secedit /refreshpolicy machine_policy /enforce
で更新。
C:\WINDOWS\Security\Logs\
の中にwinlogon.logて、ファイルが出来ているので、中身を見てみる。
フムフム・・・。
messengerに対するポリシー変更の際にエラーを吐いている。
そういや、会社で買った資産管理ツール上の設定で、メッセンジャーやらwinnyやら禁止していたかな・・・。
ドメインコントローラもその対象だったっけ。
つまり、資産管理ツールで既に操作出来ない用にされているから、ポリシーの変更の際も操作出来ないってわけか。
ドメインポリシーの中にある、サービスの項目のmessengerに対する設定を未定義に戻して再度ポリシーの更新。。。。
上手くいったヽ(´ー`)ノ
つか、余計なもん買ってしまった・・・orz
ActiveDirectoryをもっと勉強してれば、あんな無駄なツールを買わずに済んだのに・・・。