【Windows】グループポリシーでログオンスクリプトを設定・デバッグする方法

今回は、Active Directoryを活用した企業環境において、グループポリシーを使ったログオンスクリプトの設定とデバッグ方法について、実務的な活用方法を詳しく解説します。

ログオンスクリプトは、ユーザーがドメインにログオンする際に自動的に実行されるスクリプトで、ネットワークドライブのマッピング、プリンタの設定、環境変数の設定など、ユーザー環境の初期化に欠かせません。

しかし、グループポリシーの設定ミスやスクリプトのエラーにより、意図した処理が実行されず、ユーザーからのサポート依頼が増えるケースは少なくありません。

本記事では、グループポリシーでのログオンスクリプト設定から、トラブルシューティング、PowerShellスクリプトの実装例まで、実際の現場で即役立つ知識をお伝えします。

ログオンスクリプトの概要と実行タイミング
1. 実行タイミング
2. スクリプトの種類
Active Directoryでのスクリプト配置
1. スクリプトの配置先
2. ネットワークパスでのアクセス確認
グループポリシーでのログオンスクリプト設定
スクリプト実行の動作確認
1. クライアント上での確認方法
2. イベントログでの実行確認
一般的なエラーとデバッグ方法
PowerShellスクリプトの実装例
GPO適用の強制と確認
1. グループポリシーの強制更新
2. GPO適用状況の詳細確認
セキュリティと実行ポリシーの考慮
1. PowerShell実行ポリシーの設定
2. スクリプトの署名
トラブルシューティング実例
まとめ

ログオンスクリプトの概要と実行タイミング

ログオンスクリプトは、ユーザーがドメインにログオンした際に、管理者が設定したスクリプト（バッチファイル、VBScript、PowerShellスクリプト等）が自動的に実行される機能です。これにより、個別のユーザー設定やシステム設定を一元管理できます。

実行タイミング

重要なポイントは、ログオンスクリプトは以下のタイミングで実行されるということです：

ユーザーがドメイン資格情報でログオン
ネットワークドライブが利用可能
Active Directoryとの通信が可能

つまり、ログオンスクリプトは、ネットワークドライブへのアクセスやLDAP検索など、ネットワークリソースにアクセスする処理に適しています。一方で、ローカルのみのリソース設定には、スタートアップスクリプトの使用が推奨されます。

スクリプトの種類

ログオンスクリプトで使用できるスクリプト形式：

バッチファイル（.bat、.cmd）：シンプルなネットワークドライブマッピング用
VBScript（.vbs）：やや複雑な処理が必要な場合
PowerShell（.ps1）：最新の推奨形式。条件分岐や複雑な処理に対応

実務では、PowerShellスクリプトを使用することが増えており、より保守しやすく、スケーラブルな環境構築が可能です。

Active Directoryでのスクリプト配置

ログオンスクリプトは、Active Directoryの特定のフォルダに配置する必要があります。

スクリプトの配置先

標準的には、ドメインコントローラー上の以下のパスにスクリプトを配置します：

\\[Domain]\sysvol\[DomainName]\scripts\

具体例：

\\contoso.com\sysvol\contoso.com\scripts\

このパスは、グループポリシーで設定したGPO配下の「scripts」フォルダに自動的にマッピングされます。

ネットワークパスでのアクセス確認

スクリプト配置後、実際にアクセス可能か確認することが重要です。

# スクリプトフォルダへのアクセス確認
net use \\contoso.com\sysvol

# コマンドプロンプトで確認
cd \\contoso.com\sysvol\contoso.com\scripts\

# スクリプトが存在するか確認
dir logon.ps1

アクセス権限が不足している場合は、以下の権限を確認してください：

Domain Admins グループ：フルコントロール
Authenticated Users：読み取り実行権限

グループポリシーでのログオンスクリプト設定

ステップ1：グループポリシーエディタを開く

ドメインコントローラーまたはAdministrator権限を持つクライアント上で、以下の方法でグループポリシーエディタを開きます：

# コマンドで起動
gpmc.msc

ステップ2：GPOの作成または編集

グループポリシー管理コンソール（GPMC）から：

適切なOUを右クリック
「ここにGPOを作成してリンク」を選択
GPO名を入力（例：「User Logon Scripts」）

ステップ3：ログオンスクリプトの設定

作成したGPOを編集し、以下のパスに移動します：

ユーザーの構成 → ポリシー → Windows設定 → スクリプト（ログオン/ログオフ）

「ログオン」を右クリック → プロパティで以下の情報を入力：

スクリプト名：logon.ps1（ファイル名のみ、フルパスは不要）
スクリプトパラメータ：必要に応じてパラメータを指定

重要なポイント：ファイル名のみを指定する場合、スクリプトは自動的に\\[Domain]\sysvol\[DomainName]\scripts\から検索されます。

ステップ4：GPOをOUにリンク

作成したGPOを対象のOU（ユーザーグループ）にリンクします。この時点で、該当するOUに属するユーザーの次回ログオン時にスクリプトが実行されます。

スクリプト実行の動作確認

クライアント上での確認方法

ユーザーのクライアントマシンで以下の確認を行います：

# gpresultコマンドでGPO適用を確認
gpresult /h report.html

# より詳細なGPO適用状況を確認
gpresult /scope:user /h report.html

HTMLレポートで、「スクリプト」セクションを確認し、「ログオン」スクリプトが一覧に表示されているかを確認します。

イベントログでの実行確認

スクリプト実行の成功/失敗は、イベントログでも確認できます：

# イベントビューアを開く
eventvwr.msc

# 確認対象：Windows ログ → System または Applications

ログオンスクリプトの実行履歴は、以下の情報で表示されます：

イベントID 1000：スクリプト実行成功
イベントID 1001：スクリプト実行失敗
詳細情報：実行時刻、実行スクリプト名、リターンコード

一般的なエラーとデバッグ方法

ハマりポイント1：スクリプトが実行されない

原因は複数考えられます：

GPOが適用されていない：
```
gpupdate /force
```
GPOの強制更新を実行し、再ログオンして確認します。

スクリプトパスが誤っている：

# スクリプトが実際に存在するか確認
dir \\contoso.com\sysvol\contoso.com\scripts\logon.ps1

PowerShell実行ポリシーが制限されている：

# GPOで実行ポリシーを設定
# コンピューターの構成 → ポリシー → 管理用テンプレート
# → Windows PowerShell → スクリプト実行の有効化

ハマりポイント2：スクリプトは実行されるが失敗する

PowerShellスクリプトのエラーをログに記録することで、原因特定が可能になります：

$LogFile = "C:\Temp\logon-$(Get-Date -Format yyyyMMdd-HHmmss).log"

try {
    # スクリプト処理
    "スクリプト実行開始" | Add-Content $LogFile
    # 処理...
    "スクリプト実行完了" | Add-Content $LogFile
}
catch {
    "エラー: $_" | Add-Content $LogFile
}

ハマりポイント3：ネットワークドライブマッピングが失敗する

ネットワークドライブマッピングは、ネットワークが完全に初期化された後に実行する必要があります：

# ネットワークが利用可能になるまで待機
while ($true) {
    if (Test-Path "\\contoso.com\sysvol") {
        break
    }
    Start-Sleep -Seconds 1
}

# ネットワークドライブをマッピング
net use Z: \\server\share /persistent:yes

PowerShellスクリプトの実装例

実務で使用できるログオンスクリプトの実装例を示します。

param(
    [string]$LogPath = "C:\Temp"
)

# ログファイルの初期化
$LogFile = Join-Path $LogPath "logon-$(Get-Date -Format yyyyMMdd-HHmmss).log"

function Write-LogEntry {
    param([string]$Message)
    $TimeStamp = Get-Date -Format "yyyy-MM-dd HH:mm:ss"
    "$TimeStamp - $Message" | Add-Content -Path $LogFile -Force
}

try {
    Write-LogEntry "スクリプト実行開始"

    # ネットワークドライブマッピング
    $DriveMapping = @{
        'Z:' = '\\server\share\users'
        'Y:' = '\\server\data'
    }

    foreach ($Drive in $DriveMapping.Keys) {
        try {
            # 既存のマッピングを削除
            net use $Drive /delete /y 2>&1 | Out-Null

            # 新規マッピング
            net use $Drive $DriveMapping[$Drive] /persistent:yes
            Write-LogEntry "ドライブ $Drive をマッピング: $($DriveMapping[$Drive])"
        }
        catch {
            Write-LogEntry "エラー: $Drive のマッピングに失敗 - $_"
        }
    }

    # プリンタの設定（環境に応じてカスタマイズ）
    $PrinterName = "\\server\printer01"
    $PrinterPort = "LPT1:"

    try {
        # プリンタドライバの追加（事前にドライバがインストールされていることが前提）
        Add-PrinterPort -Name $PrinterPort -PrinterHostAddress "192.168.1.100" -ErrorAction SilentlyContinue
        Write-LogEntry "プリンタポート $PrinterPort を追加"
    }
    catch {
        Write-LogEntry "警告: プリンタポート追加に失敗 - $_"
    }

    Write-LogEntry "スクリプト実行完了"
}
catch {
    Write-LogEntry "致命的なエラー: $_"
    exit 1
}

GPO適用の強制と確認

グループポリシーの強制更新

クライアント上で以下のコマンドを実行します：

# グループポリシーの更新（次回ログオン時に適用）
gpupdate /force

# 即座に適用する場合は別の方法が必要
gpupdate /force /wait:0

GPO適用状況の詳細確認

# ユーザーポリシーに関連するGPO適用状況を詳細表示
gpresult /user [ユーザー名] /scope:user /v

# コンピューターポリシーも含めて確認
gpresult /h report.html

HTMLレポートから、対象のGPOが実際に適用されているか、適用されていない場合は理由が記載されているか確認します。

セキュリティと実行ポリシーの考慮

PowerShell実行ポリシーの設定

ドメイン環境での推奨設定：

# グループポリシーでの設定（推奨）
# コンピューターの構成 → ポリシー → 管理用テンプレート
# → Windows PowerShell → スクリプト実行の有効化

# ローカルでの一時的な設定（テスト用）
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope LocalMachine -Force

「RemoteSigned」ポリシーの意味：

ローカルスクリプト：制限なし
ネットワークスクリプト：デジタル署名が必須

スクリプトの署名

本番環境では、PowerShellスクリプトにデジタル署名することが推奨されます：

# 自己署名証明書を作成（テスト用）
$cert = New-SelfSignedCertificate -CertStoreLocation Cert:\LocalMachine\My `
  -Subject "CN=ScriptSigner" -KeyUsage DigitalSignature

# スクリプトに署名
Set-AuthenticodeSignature -FilePath C:\scripts\logon.ps1 -Certificate $cert

トラブルシューティング実例

事例1：ドメイン参加直後のスクリプト実行失敗

症状：新しくドメイン参加したマシンでログオンスクリプトが実行されない

原因：GPOが同期されていない

対応：

# GPOの同期を待機（15-30分が目安）
# または強制更新を実行
gpupdate /force

# マシンを再起動
Restart-Computer

事例2：特定のOUのユーザーのみスクリプト実行失敗

症状：OUA のユーザーはスクリプト実行成功、OUB のユーザーは失敗

原因：OUに対するGPOリンクが異なるか、セキュリティグループフィルターの設定が異なる可能性

対応：

# 両OUのGPOリンク状況を確認
# GPMC から各OU を選択し、「リンクされたGPO」タブを確認

# セキュリティグループフィルターの確認
# GPO編集時の「スコープ」タブから確認

事例3：スクリプトが実行されるが処理が完了しない

症状：ネットワークドライブマッピングが部分的に失敗

原因：ネットワークの初期化が完了する前にスクリプトが実行されている

対応：

# スクリプト冒頭に遅延を追加
Start-Sleep -Seconds 5

# またはネットワーク接続を待機
while ((Get-NetAdapter | Where-Object {$_.Status -eq 'Up'}).Count -eq 0) {
    Start-Sleep -Seconds 1
}

まとめ

グループポリシーを使ったログオンスクリプトの設定は、ドメイン環境での重要な管理機能です。本記事の重要なポイントは以下の通りです：

スクリプトの配置先を正確に理解する：\\[Domain]\sysvol\[DomainName]\scripts\
GPOの設定時にはファイル名のみを指定する：フルパスは不要
PowerShellスクリプトを使用する場合は実行ポリシーを設定する
スクリプトに適切なエラーハンドリングとログ出力を実装する
デバッグは gpresult とイベントログを活用する

これらのテクニックを身につけることで、ユーザー環境の一元的な管理が可能になり、サポート負荷の削減につながります。