AGPM によるグループ ポリシー オブジェクトのアクセス許可への変更は無視されます
この記事では、高度なグループ ポリシー管理 (AGPM) で制御されるグループ ポリシー オブジェクトのアクセス許可に対する変更が想定どおりに保存されない問題の回避策について説明します。
適用対象: Windows Server (サポートされているすべてのバージョン)、Windows クライアント (サポートされているすべてのバージョン)
元の KB 番号: 3174540
現象
AGPM で制御されるグループ ポリシー オブジェクトのアクセス許可を変更するには、まず AGPM でポリシーをチェックアウトしてから、ポリシー オブジェクトの Security タブでアクセス許可を編集します。 たとえば、認証済みユーザーに読み取り専用アクセス許可を追加します。 ただし、ポリシーをチェックインして変更を保存した後、ポリシーの Security タブを表示すると、変更内容が想定どおりに保存されないことが確認できます。
原因
この動作は、AGPM 4.0 Service Pack 3 (SP3) 以前のバージョンでの仕様です。 新しく作成されたグループ ポリシー オブジェクトにアクセス許可を追加するには、AGPM の Production Delegation タブを使用することをお勧めします。
回避策
この問題を回避するには、次の手順に従ってください。
AGPM サーバーに Microsoft デスクトップ最適化パック March 2017 サービス リリース をインストールします。
AGPM サーバーで次のレジストリ キーと値を設定します。
- パス:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Agpm - 値の名前: OverrideRemovePermissionsWithoutReadAndApply
- 値の種類: 文字列REG_SZ
- 値のデータ: 1
- パス:
AGPM サーバーを再起動します。
OverrideRemovePermissionsWithoutReadandApply が 1 に設定されている場合、読み取りアクセス許可は、ポリシーが AGPM にチェックインされた後に保存されますが、書き込みアクセス許可は削除されます。
OverrideRemovePermissionsWithoutReadAndApply が設定されていないか、 1 以外の値に設定されている場合、AGPM は Symptoms セクションで説明されているとおりに動作します。