トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

・DC ローカルポリシー ユーザー権利の割り当て のバックアップ(No.4)


・Windows Server 2016 Domain Controller

[コンピュータの構成]>[ポリシー]>[Windows の設定]>[セキュリティの設定]>[ローカルポリシー]>[ユーザー権利の割り当て]



[コンピュータの構成]>[ポリシー]>[Windows の設定]>[セキュリティの設定]>[ローカルポリシー]>[ユーザー権利の割り当て]

ポリシー設定ポリシー値説明
オペレーティングシステムの一部として機能誰もいない(空白)このユーザーの権利を使用すると、プロセスは認証なしでどのユーザーを偽装することもできます。したがって、プロセスはそのユーザーと同じローカル リソースにアクセスできるようになります。
この特権を必要とするプロセスでは、この特権を特別に割り当てられたユーザー アカウントを使用するのではなく、この特権が最初から含まれている LocalSystem アカウントを使用してください。組織内で Windows Server 2003 ファミリのメンバーのサーバーしか使用しない場合、この特権をユーザーに割り当てる必要はありません。ただし、組織内で Windows 2000 または Windows NT 4.0 を実行するサーバーを使用する場合は、この特権を割り当てて、プレーンテキストのパスワードを交換するアプリケーションを使用する必要が生じる場合があります。
注意: このユーザーの権利を割り当てると、セキュリティ上の問題が生じる可能性があります。このユーザーの権利は、信頼できるユーザーのみに割り当ててください。
既定値: なし
グローバルオブジェクトの作成Administrators
LOCAL SERVICE
NETWORK SERVICE
SERVICE
このセキュリティ設定は、すべてのセッションから利用できるグローバル オブジェクトをユーザーが作成できるかどうかを決定します。このユーザー権利がないユーザーも、自分のセッションに特有のオブジェクトは作成できます。グローバル オブジェクトを作成できるユーザーは、他のユーザーのセッション下で実行されているプロセスに影響を及ぼす可能性があり、そのためアプリケーション エラーやデータの破損を引き起こすことがあります。
注意: このユーザー権利を割り当てると、セキュリティ上の問題が生じる可能性があります。このユーザー権利は、信頼できるユーザーのみに割り当ててください。
既定値:
Administrators
Local Service
Network Service
Service
コンピューターとユーザー アカウントに委任時の信頼を付与Administratorsこのセキュリティ設定は、ユーザー オブジェクトまたはコンピューター オブジェクトに対する [Trusted for Delegation] 設定を設定できるユーザーを決定します。この特権を与えられるユーザーまたはオブジェクトは、ユーザー オブジェクトまたはコンピューター オブジェクトのアカウント制御フラグに対する「書き込み」アクセスを与えられている必要があります。クライアントのアカウントに 'Account cannot be delegated' アカウント制御フラグ セットがない限り、委任時の信頼を付与されているコンピューター (またはユーザー コンテキスト) で実行されているサーバー プロセスは、クライアントの委任された資格情報を使用して他のコンピューター上のリソースにアクセスできます。このユーザー権利は、既定のドメイン コントローラーのグループ ポリシー オブジェクト (GPO) およびワークステーションとサーバーのローカル セキュリティ ポリシーで定義されます。
注意: このユーザー権利または [Trusted for Delegation] 設定を誤って使用すると、外部から接続するクライアントを偽装し、その資格情報を使用してネットワーク リソースにアクセスするトロイの木馬プログラムによる高度な攻撃に対して、ネットワークが脆弱になる可能性があります。
既定値: ドメイン コントローラー上の Administrators
サービスとしてログオン誰もいない(空白)このセキュリティ設定は、セキュリティ プリンシパルがサービスとしてログオンすることを可能にします。Local System、Local Service、Network Service の各アカウントは、サービスとしてログオンするための権利が組み込まれているため、サービスをこれらのアカウントで実行するように構成できます。その他のユーザー アカウントで実行するサービスには適切な権利を割り当てる必要があります。
既定値: なし
Windows Server 2012ベースのコンピューターでHyper-V仮想マシンの起動またはライブ移行がエラー0x80070569で失敗する場合がある
https://support.microsoft.com/ja-jp/help/2779204/starting-or-live-migrating-hyper-v-virtual-machines-may-fail-with-erro
この場合、NT Virtual Machine\Virtual Machines を含める。
シンボリックリンクを作成するAdministrators
NT Virtual Machine\Virtual Machines (必要に応じて)
この特権は、ユーザーがログオンしているコンピューターからシンボリック リンクを作成できるかどうかを決定します。
既定値: Administrator
警告: この特権は、信頼されるユーザーにのみ付与するようにしてください。シンボリック リンクを処理するように設計されていないアプリケーションでシンボリック リンクを使用すると、セキュリティによる保護が脆弱になります。
注意: この設定は、コンピューター上で許可される symlink の種類を制御するためにコマンド ライン ユーティリティで操作される、symlink ファイル システム設定と組み合わせて使用できます。fsutil とシンボリック リンクの詳細についての情報を得るには、コマンド ラインで「fsutil behavior set symlinkevalution /?」と入力してください。
スケジューリング優先順位の繰り上げAdministratorsこのセキュリティ設定は、他のプロセスに対するプロパティの書き込みアクセスを持つプロセスを使用して、そのプロセスに割り当てられている実行の優先順位を上げることができるアカウントを決定します。この特権を与えられているユーザーは、タスク マネージャー ユーザー インターフェイスを使ってプロセスのスケジュールの優先順位を変更できます。
既定値: Administrator
セキュリティ監査の生成NETWORK SERVICE、LOCAL SERVICEこのセキュリティ設定は、セキュリティ ログにエントリを追加するためにプロセスが使用できるアカウントを決定します。セキュリティ ログは、システムへの権限のないアクセスの追跡に使用されます。このユーザーの権利を誤用すると、多くの監査イベントが生成され、[監査: セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする] セキュリティ ポリシー設定が有効になっている場合には、攻撃の証拠が隠されたり、サービス拒否 (Denial-Of-Service) を引き起こす可能性があります。詳細については、「監査: セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする」を参照してください。
既定値: Local ServiceNetwork Service
デバイスドライバーのロードとアンロードAdministratorsこのユーザーの権利は、デバイス ドライバーまたは他のコードをカーネル モードで動的にロードおよびアンロードできるユーザーを決定します。このユーザーの権利は、プラグ アンド プレイ デバイス ドライバーには適用されません。この特権は、他のユーザーに割り当てないことをお勧めします。
注意: このユーザーの権利を割り当てると、セキュリティ上の問題が生じる可能性があります。このユーザーの権利は、システム管理の担当ではないユーザー、グループ、またはプロセスには割り当てないでください。
ワークステーションとサーバーの既定値: Administrators
ドメイン コントローラーの既定値:Administrators, Print Operators
トークンオブジェクトの作成誰もいない(空白)このセキュリティ設定は、プロセスが内部アプリケーション プログラミング インターフェイス (API) でアクセス トークンを作成するときに、ローカル リソースへのアクセス用のトークンを作成するプロセスが使用できるアカウントを決定します。
このユーザーの権利はオペレーティング システムによって内部的に使用されます。必要がない限り、このユーザーの権利を Local System 以外のユーザー、グループ、またはプロセスに割り当てないでください。
注意: このユーザーの権利を割り当てると、セキュリティ上の問題が生じる可能性があります。このユーザーの権利を、システム管理の担当ではないユーザー、グループ、またはプロセスには割り当てないでください。
既定値: なし
ドメインにワークステーションを追加Administratorsこのセキュリティ設定は、ドメインにワークステーションを追加できるグループまたはユーザーを決定します。
このセキュリティ設定は、ドメイン コントローラーでのみ有効です。既定では、認証済みのすべてのユーザーにこの権利があり、最大 10 個のコンピューター アカウントをドメインに作成できます。
ドメインにコンピューター アカウントを追加すると、そのコンピューターは Active Directory ベースのネットワークに参加できます。たとえば、ワークステーションをドメインに追加すると、そのワークステーションは Active Directory にあるアカウントとグループを認識できるようになります。
既定値: Authenticated Users (ドメイン コントローラー)
注意: Active Directory コンピューター コンテナーで 'コンピューター オブジェクト作成' アクセス許可を持つユーザーは、ドメインにコンピューター アカウントを作成することもできます。コンテナーでのアクセス許可を持つユーザーは、作成できるコンピューター アカウントの数が 10 個に制限されません。また、'ドメインにワークステーションを追加' を使用して作成したコンピューター アカウントの所有者は Domain Administrators になります。一方、コンピューター コンテナーでのアクセス許可を使用して作成したコンピューター アカウントの所有者は、コンピューター アカウントの作成者になります。コンテナーでのアクセス許可を持つユーザーが、'ドメインにワークステーションを追加' ユーザー権利も持っている場合、ユーザー権利ではなくコンピューター コンテナーのアクセス許可に基づいてコンピューターが追加されます。
ネットワーク経由でのアクセスAdministrators
Authenticated Users
ENTERPRISE DOMAIN CONTROLLERS
このユーザーの権利は、ネットワーク経由でコンピューターに接続できるユーザーおよびグループを決定します。リモート デスクトップ サービスはこのユーザーの権利には影響されません。
注意: リモート デスクトップ サービスは、以前のバージョンの Windows Server でターミナル サービスと呼ばれていました。
ワークステーションとサーバーの既定値:Administrators, Backup Operators, Users, Everyone
ドメイン コントローラーの既定値:Administrators, Authenticated Users, Enterprise Domain Controllers, Everyone, Pre-Windows 2000 Compatible Access
ネットワーク経由でのアクセスを拒否するGuestsこのセキュリティ設定は、ネットワーク経由でコンピューターにアクセスできないユーザーを決定します。ユーザー アカウントに [ネットワーク経由でのアクセス] と [ネットワーク経由のアクセスを拒否] の両方のポリシーが適用されている場合、このポリシーの設定は、[ネットワーク経由でのアクセス] ポリシーの設定より優先されます。
既定値: Guest
バッチ ジョブとしてのログオンを拒否Guestsこのセキュリティ設定は、バッチ ジョブとしてログオンできないアカウントを決定します。ユーザー アカウントに [バッチ ジョブとしてログオン] と [バッチ ジョブとしてのログオンを拒否] の両方のポリシーが適用されている場合、このポリシーの設定は、[バッチ ジョブとしてログオン] ポリシーの設定より優先されます。既定値 : なし
ファームウェア環境値の修正Administratorsこのセキュリティ設定は、ファームウェアの環境値を変更できるユーザーを決定します。ファームウェア環境変数は、非 x86 ベースのコンピューターの不揮発性 RAM に格納される設定です。設定の影響は、プロセッサによって異なります。
x86 ベースのコンピューターでは、このユーザーの権利を割り当てることで変更できる唯一のファームウェア環境値は、前回正常起動時の構成です。これは、システムによってのみ変更する構成です。
Itanium ベースのコンピューターでは、起動情報が不揮発性 RAM に格納されます。bootcfg.exe を実行し、[システムのプロパティ] の [起動と回復] にある [既定のオペレーティング システム] 設定を変更するには、ユーザーにこのユーザーの権利を割り当てる必要があります。
すべてのコンピューターにおいて、Windows をインストールまたはアップグレードするにはこのユーザーの権利が必要です。
注意: [システムのプロパティ] の [詳細設定] タブに表示されるシステム環境変数とユーザー環境変数を変更できるユーザーに対しては、このセキュリティ設定は影響を及ぼしません。これらの値の変更方法の詳細については、「環境変数の値を追加または変更する」を参照してください。
既定値: Administrators
ファイルとその他のオブジェクトの所有権の取得Administratorsこのセキュリティ設定は、Active Directory オブジェクト、ファイルとフォルダー、プリンター、レジストリ キー、プロセス、スレッドなど、セキュリティが設定可能な任意のオブジェクトの所有権を取得できるユーザーを決定します。
注意: このユーザーの権利を割り当てると、セキュリティ上の問題が生じる可能性があります。オブジェクトの所有者はオブジェクトを完全に制御できるので、信頼されているユーザーのみにこのユーザーの権利を割り当ててください。
既定値: Administrators
ファイルとディレクトリのバックアップAdministratorsこのユーザーの権利は、システムをバックアップするために、ファイルやディレクトリ、レジストリ、およびその他の固定オブジェクトのアクセス許可をバイパスできるユーザーを決定します。
具体的には、このユーザーの権利はシステムのすべてのファイルおよびフォルダーに対する次のアクセス許可を、特定のユーザーまたはグループに与えることに似ています。
-フォルダーのスキャンとファイルの実行
-フォルダーの一覧/データの読み取り
-属性の読み取り
-拡張属性の読み取り
-アクセス許可の読み取り
注意: このユーザーの権利を割り当てると、セキュリティ上の問題が生じる可能性があります。ユーザーがデータをバックアップしているのか、データを盗み出しているのか、あるいは配布用にデータをコピーしているのかを判断する方法がないため、信頼されているユーザーのみにこのユーザーの権利を割り当ててください。
ワークステーションとサーバーの既定値:Administrators, Backup Operators
ドメイン コントローラーの既定値: Administrators, Backup Operators, Server Operators
ファイルとディレクトリの復元Administratorsこのセキュリティ設定は、バックアップしたファイルやディレクトリを復元するときにファイル、ディレクトリ、レジストリ、およびその他の持続的なオブジェクトのアクセス許可をバイパスできるユーザーと、任意の有効なセキュリティ プリンシパルをオブジェクトの所有者に設定できるユーザーを決定します。
具体的には、このユーザーの権利はシステムのすべてのファイルおよびフォルダーに対する次のアクセス許可を、特定のユーザーまたはグループに与えることに似ています。
-フォルダーのスキャンとファイルの実行
-書き込み
注意: このユーザーの権利を割り当てると、セキュリティ上の問題が生じる可能性があります。このユーザー権利が割り当てられているユーザーは、レジストリ設定を上書きしたり、データを非表示にしたり、システム オブジェクトを所有することができるため、信頼されているユーザーのみにこの権利を割り当ててください。
ワークステーションとサーバーの既定値:: Administrators、Backup Operators
ドメイン コントローラー既定値: Administrators、Backup Operators、Server Operators
プログラムのデバッグAdministratorsこのユーザーの権利は、任意のプロセスまたはカーネルにデバッガーをアタッチできるユーザーを決定します。独自のアプリケーションをデバッグする開発者にこのユーザーの権利を割り当てる必要はありません。新しいシステム コンポーネントをデバッグする開発者には、このユーザーの権利が必要です。このユーザーの権利は、重要なオペレーティング システム コンポーネントに完全なアクセスを提供します。
注意: このユーザーの権利を割り当てると、セキュリティ上の問題が生じる可能性があります。このユーザーの権利は、信頼できるユーザーのみに割り当ててください。
既定値: Administrators
ページファイルの作成Administratorsこのユーザーの権利は、内部のアプリケーション プログラミング インターフェイス (API) を呼び出してページ ファイルの作成とサイズ変更を実行できるユーザーおよびグループを決定します。このユーザーの権利はオペレーティング システムの内部で使用され、通常はユーザーに割り当てる必要はありません。
特定のドライブのページング ファイルのサイズを変更する方法については、仮想メモリのページング ファイルのサイズ変更に関するページを参照してください。
既定値: Administrators
ボリュームの保守タスクを実行Administratorsこのセキュリティ設定は、リモート最適化などのボリュームの保守タスクを実行できるユーザーおよびグループを決定します。
このユーザーの権利を割り当てるときは、注意が必要です。このユーザー権利が割り当てられたユーザーは、ディスクを参照したり、他のデータが含まれているメモリにファイルを拡張することができます。拡張されたファイルが開かれると、取得したデータをユーザーが参照して変更できる可能性があります。
既定値: Administrators
メモリ内のページのロック誰もいない(空白)このセキュリティ設定は、プロセスを使用して物理メモリにデータを保持できるアカウントを決定します。これによって、システムはディスク上の仮想メモリにデータをページングできなくなります。この特権を使用すると、使用できるランダム アクセス メモリ (RAM) の量が減るため、システムのパフォーマンスに重大な影響を与える可能性があります。
既定値: なし
リモート コンピュータからの強制シャットダウンAdministratorsこのセキュリティ設定は、ネットワーク上のリモート ロケーションからコンピューターをシャットダウンできるユーザーを決定します。このユーザーの権利を誤用すると、サービス拒否 (Denial-Of-Service) を引き起こす可能性があります。このユーザー権利は、既定のドメイン コントローラーのグループ ポリシー オブジェクト (GPO) およびワークステーションとサーバーのローカル セキュリティ ポリシーで定義されます。
ワークステーションとサービスの既定値: Administrators
ドメイン コントローラーの既定値: Administrators、Server Operators
リモート デスクトップ サービスを使ったログオンを拒否Guestsこのセキュリティ設定は、リモート デスクトップ サービス クライアントとしてログオンしたときに拒否されるユーザーまたはグループを決定します。
既定値: なし
リモート デスクトップ サービスを使ったログオンを許可Administratorsこのセキュリティ設定は、リモート デスクトップ サービス クライアントとしてログオンするためのアクセス許可が付与されるユーザーまたはグループを決定します。
ワークステーションとサーバーの既定値: Administrators、Remote Desktop Users
ドメイン コントローラーの既定値: Administrators
ローカルログオンを拒否Guestsこのセキュリティ設定は、コンピューターでログオンできないユーザーを決定します。アカウントに [ローカル ログオンを許可] と [ローカル ログオンを拒否] の両方のポリシーが適用されている場合、このポリシーの設定は、[ローカル ログオンを許可] ポリシーの設定より優先されます。重要このセキュリティ ポリシーを Everyone グループに適用すると、だれもローカルでログオンできなくなります。既定値: なし
ローカルログオンを許可Administratorsこのコンピューターにログオンできるユーザーを決定します。
重要: この設定を変更すると、クライアント、サーバー、およびアプリケーションとの互換性に影響が生じることがあります。この設定の互換性については、Microsoft の Web サイト (http://go.microsoft.com/fwlink/?LinkId=24268) の「ローカル ログオンを許可」の項を参照してください。
ワークステーションおよびサーバーの既定値: Administrators、Backup Operators、Power Users、Users、Guest
ドメイン コントローラーの既定値: Account Operators、Administrators、Backup Operators、Print Operators
永続的共有オブジェクトの作成誰もいない(空白)このユーザーの権利は、オブジェクト マネージャーを使ってディレクトリ オブジェクトの作成にプロセスが使用するアカウントを決定します。
このユーザーの権利はオペレーティング システムによって内部的に使用され、オブジェクトの名前空間を拡張するカーネル モードのコンポーネントで使用できます。カーネル モードで実行されているコンポーネントには既にこのユーザーの権利が割り当てられているため、この権利を明示的に割り当てる必要はありません。
既定値: なし
監査とセキュリティログの管理Administratorsこのセキュリティ設定は、ファイル、Active Directory オブジェクト、レジストリ キーなど個別のリソースに対してオブジェクト アクセスの監査オプションを指定できるユーザーを決定します。
通常このセキュリティ設定は、ファイルとオブジェクトへのアクセスの監査を有効にすることをユーザーに許可しません。このような監査を有効にするには、コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\監査ポリシーで [オブジェクト アクセスの監査] 設定を構成する必要があります。
監査されたイベントは、イベント ビューアーのセキュリティ ログに表示できます。この特権を与えられているユーザーは、セキュリティ ログを表示および消去することもできます。
既定値: Administrators
資格情報マネージャーに信頼された呼び出し側としてアクセス誰もいない(空白)この設定は、バックアップ/復元の処理中に資格情報マネージャーで使用されます。これは Winlogon のみに割り当てられる特権です。いかなるアカウントにも付与しないでください。この特権を他のエンティティに付与すると、資格情報を保存したユーザーのセキュリティが侵害される可能性があります。
単一プロセスのプロファイルAdministratorsこのセキュリティ設定は、パフォーマンス監視ツールを使用して、システム外のプロセスのパフォーマンスを監視できるユーザーを決定します。
既定値: Administrators、Power Users
認証後にクライアントを偽装Administrators
Local Service
Network Service
SERVICE
ユーザーにこの特権を割り当てると、そのユーザーに代わって実行されるプログラムがクライアントを偽装できるようになります。この種の偽装にこのユーザー権利が必要となるのは、権限のないユーザーが作成したサービスに (リモート プロシージャ コール (RPC) や名前付きパイプなどを使用して) クライアントを接続させ、次にそのクライアントを偽装することによって、管理者レベルまたはシステム レベルなど上位のアクセス許可を得ることを防ぐためです。
注意: このユーザー権利を割り当てると、セキュリティ上の問題が生じる可能性があります。このユーザー権利は、信頼できるユーザーのみに割り当ててください。

既定値:Administrators, Local Service, Network Service, Service
注意: 既定では、サービス コントロール マネージャーによって開始されるサービスのアクセス トークンにビルトインの Service グループが追加されます。コンポーネント オブジェクト モデル (COM) サーバーが COM インフラストラクチャによって起動され、特定のアカウントで実行するよう構成されている場合も、サーバーのアクセス トークンに Service グループが追加されます。その結果、これらのサービスが開始するときにこのユーザー権利が与えられます。
また、次の条件のいずれかに該当するときは、ユーザーがアクセス トークンを偽装できます。
偽装しようとしているアクセス トークンがそのユーザー用のものである。
このログオン セッションで、明示的な資格情報を使用してネットワークにログオンすることにより、ユーザーがアクセス トークンを作成した。
要求されるレベルが '匿名' や '識別' など、'偽装' より下である。
このような要因があるため、通常はユーザーがこのユーザー権利を必要とすることはありません。
詳細については、Microsoft プラットフォーム ソフトウェア開発キット (SDK) で 'SeImpersonatePrivilege' を検索してください。
警告: この設定を有効にすると、以前に偽装の特権があったプログラムはこの特権を失い、実行しなくなる可能性があります。