AD セキュリティグループ/ユーザーの制限数によりGPOが正常に適用されない事象があるようです。
大規模の会社のドメインだと発生する可能性があるかもしれません。
こちら
GPO が機能するためにユーザーが所属できるセキュリティ グループの数に制限はありますか?
200 のセキュリティ グループのメンバーであるユーザーに問題があります。ログオン時に GPO は適用されません。gpresultを実行すると、 「情報: ポリシー オブジェクトが存在しません」というメッセージが表示されます。グループを約 90 に減らすと、すべてが正常に動作します。グループは NTFS アクセス許可のみを目的としており、GPO を適用するためのものではありません。
回答です。
ADには上限があることをご了承ください。セキュリティ プリンシパル (つまり、ユーザー、グループ、およびコンピューター アカウント) は、最大約 1,015 のグループのメンバーになることができます。この制限は、セキュリティ プリンシパルごとに作成されるアクセス トークンのサイズ制限によるものです。
ユーザーを追加するグループが多すぎると、 Kerberos 認証が機能しない可能性があります。GPO がユーザーに適用されず、ユーザーがネットワーク リソースを使用することが検証されていない可能性があります。グループ数を 90 に減らすとユーザーに GPO を適用できるため、グループのネストやその他の要因により、ユーザーが所属するグループの数が制限に達したことが原因である可能性があります。
このとき、ユーザーとグループをどのように管理したか教えてください。ユーザーをこれらのグループに直接追加しましたか、それともグループのネストにより追加しましたか? さらに、ユーザーをあまり多くのグループに追加しないほうがよいでしょう。AD での管理が難しくなる可能性があります。
ADの制限について詳しくは以下の記事を参照してください。
Active Directory の最大制限 – スケーラビリティ
http://technet.microsoft.com/en-us/library/active-directory-maximum-limits-scalability(v=WS.10).aspx
「参考」
 |
|
Anker PowerCore 10000 (10000mAh 大容量 モバイルバッテリー)【PSE技術基準適合/PowerIQ搭載】 iPhone&Android対応 (ブラック) |
