グループポリシー直したのにドライブアクセス拒否になる



hard-disc-23354_640

プロローグ

ベネッセで情報流出の事件があった頃、USBメモリの規制を検討していました。
僕の会社はActive Directoryを導入しているので、当然AD経由での制限をかけます。
その為の設定や実験を、自分のパソコンを対象にやっていたのですが、
一段落して設定を元に戻して他の仕事に取り掛かっていると、
程なくしてDVDが読めないとの相談が1件、2件。。。

なんだろうかと思いながら自分のしごとをしていると、ある瞬間はたと気づく。
まさかと思ってADサーバにログインしてグループポリシーの設定を見ると、
あーやっちまったー。
実験してた際、対象PCを自分のパソコンだけにしていたが、
それを直して対象PCなしにしたつもりが、全PC対象になっていました。
しまったなあと思い、すぐに修正。
先程相談してきた人にも確認してもらった所、DVDが読めるようになりました。
これにて一件落着、

のはずが、話はこれで終わらなかったのです。

変調

その翌日、またしてもDVDが開けないとの相談が今度は他の営業所から来ました。

リモートデスクトップで見てみると、確かに昨日と同様
DVDドライブにアクセスしようとすると「アクセスが拒否されました」とか言われる。
でも昨日確かに原因を修正したのに。

ポリシーがきちんとあたってないのかな?と思いログオフしたり、
ポリシーをgpupdateで更新してみたりしてもやはり変わらない。

いよいよ困ったなと思いググってみるとWPDBusEnumというのが
よく引っかかるのでこの辺りを疑う。

コマンドプロンプトを管理者で実行してWPDBusEnumをサービス起動すればいいようだが、やってみても効果なし。
アクティブディレクトリ上のポリシー設定は何度も確認したし、当該PCのイベントログやローカルのポリシーまで調べてみたがやはりわかりませんでした。

結局お手上げ。
被害の出ているPCはそれほど多くない(ポリシー設定間違えていた期間にログインし直しなどでおかしなポリシー当たった人だけ?)ので、他の人のPC借りて対応してもらうことにしました。

なんとか解決

それからは仕事の合間を縫って細々と調べました。

しかしまあこれが一向に進展しない。セキュリティポリシーが変な残り方してドライブがアクセス拒否しましたなんて、どこのブログにも質問サイトにもありませんでした。ニッチ過ぎたのか?

挙句にはADサーバのポリシーが保存されているディレクトリの状態が正と副で違っているのを疑ってみたりしたけど、結局これはまた別の話のようで、いつの間にか直っていました。

そうこうして1ヶ月ほど経ったでしょうか。
半ばヤケになってDVDドライブのドライバを削除することを思いつきました。
以下手順。

1.WPDBusEnumサービス起動
※結局これはやらなくてもよいみたいですが一応
wpdenum_service

2.デバイスマネージャで該当のDVDドライブ選択→削除wpdenum_service_device1

3.ハードウェア変更のスキャン 実行wpdenum_service_device2

これでやったら普通にDVDドライブが一覧に戻ってきて、DVDドライブにアクセスしてみると何事もなかったようにアクセス可能になっていました。

DVDドライブのドライバを一旦削除て中々の力技でまったくスマートじゃないですが、なんにせよやっと解決することができました。

早速症状が出ていた人の所へ行ってこのやり方で直してあげました。
オー助かったとか感謝してくれたけど、その原因僕なんですとは言えず、爽やかにどういたしましてと答えておきました。
知る必要のないこともあるのです。うむ。

エピローグ

今回の記事を書くに当たって再度検索してみたら、同じ症状で同じように解決してるブログを見つけました。

グループポリシーでリムーバブル記憶域のアクセスを禁止したら大変なことになった(汗

あの時あんなに色々検索したのに見つけられなかったなあ。なぜだろう。