不整合の発生したGPOへの対応
今日もちょっとした話があってカスタムテンプレートファイルを作っていたんですが、検証した時に一部おかしなところがあって、うまく動かなかったんですよね。それで、構成されていたポリシー設定を未構成にして、すぐにテンプレート外しちゃったんですが...
やはりその後クライアント側でエラーが頻発しまして、やっちゃったかなぁと悩んだり。まぁ、結果的にはこれから書きますが、対応方法わかったので良かったんですけどね...こういう場合の対応方法とか、そもそもテンプレートを外す時はどういう手順をとったら良いのかとか、Microsoft の文書に書いてあるの見たことないのでそれをもっと何とかして欲しいというのはあるんですけどね。実は私の把握していないところでどこかに書いてあるのかも知れませんけど。
- テンプレートを外す(なるべく構成されたポリシーは全て未構成にして全てのクライアントに反映されるのを待ってから行うのが望ましい)
- ポリシーを(恒久的に)削除する
- SYSVOL共有以下から、テンプレートファイルやその他ポリシー関連ファイル、フォルダが削除されたことを確認する
- ここで構成済みポリシーがロードされているクライアントが残っている場合に(secedit /refreshpolicy や gpupdate を行うと)イベントログにエラーが上がるので、クライアントをリブートする
- イベントログにエラーの上がらないことを確認
- ポリシーを再作成
もっとスマートな方法がありそうですけどね...