トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

・DC ローカルポリシー ユーザー権利の割り当て のバックアップ(No.1)

・Windows Server 2016 Domain Controller

[コンピュータの構成]>[ポリシー]>[Windows の設定]>[セキュリティの設定]>[ローカルポリシー]>[ユーザー権利の割り当て]

ポリシー設定ポリシー値説明
資格情報マネージャーに信頼された呼び出し側としてアクセス誰もいない(空白)この設定は、バックアップ/復元中にCredential Managerによって使用されます。このアカウントはWinlogonにのみ割り当てられているため、アカウントにはこの特権を与えないでください。この特権が他のエンティティに与えられると、ユーザーが保存した資格情報が危険にさらされる可能性があります。
ネットワーク経由でコンピュータへアクセスBUILTIN\Administrators、NT AUTHORITY\Authenticated Users、NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERSこのユーザー権利は、ネットワークを介してコンピューターに接続できるユーザーとグループを決定します。リモートデスクトップサービスは、このユーザー権利の影響を受けません。
オペレーティングシステムの一部として機能誰もいない(空白)このユーザー権利により、プロセスは認証なしで任意のユーザーになりすますことができます。したがって、プロセスはそのユーザーと同じローカルリソースにアクセスできます。

|ドメインにワークステーションを追加|BUILTIN\Administrators|このセキュリティ設定は、ドメインにワークステーションを追加できるグループまたはユーザーを決定します。
このセキュリティ設定は、ドメイン コントローラーでのみ有効です。既定では、認証済みのすべてのユーザーにこの権利があり、最大 10 個のコンピューター アカウントをドメインに作成できます。
ドメインにコンピューター アカウントを追加すると、そのコンピューターは Active Directory ベースのネットワークに参加できます。たとえば、ワークステーションをドメインに追加すると、そのワークステーションは Active Directory にあるアカウントとグループを認識できるようになります。
既定値: Authenticated Users (ドメイン コントローラー)
注意: Active Directory コンピューター コンテナーで "コンピューター オブジェクト作成" アクセス許可を持つユーザーは、ドメインにコンピューター アカウントを作成することもできます。コンテナーでのアクセス許可を持つユーザーは、作成できるコンピューター アカウントの数が 10 個に制限されません。また、"ドメインにワークステーションを追加" を使用して作成したコンピューター アカウントの所有者は Domain Administrators になります。一方、コンピューター コンテナーでのアクセス許可を使用して作成したコンピューター アカウントの所有者は、コンピューター アカウントの作成者になります。コンテナーでのアクセス許可を持つユーザーが、"ドメインにワークステーションを追加" ユーザー権利も持っている場合、ユーザー権利ではなくコンピューター コンテナーのアクセス許可に基づいてコンピューターが追加されます。|

ローカルログオンを許可Administrators; Usersどのユーザーがコンピューターにログオンできるかを決定します
ファイルとディレクトリのバックアップAdministratorsシステムをバックアップする目的で、ファイルとディレクトリ、レジストリ、およびその他の永続オブジェクトのアクセス許可をバイパスできるユーザーを決定します
ページファイルの作成Administratorsどのユーザーとグループが内部アプリケーションプログラミングインターフェイス(API)を呼び出してページファイルのサイズを作成および変更できるかを決定します
トークンオブジェクトの作成誰もいない(空白)プロセスが内部アプリケーションプログラミングインターフェイス(API)を使用してアクセストークンを作成するときに、ローカルアカウントへのアクセスに使用できるトークンを作成するために、プロセスが使用できるアカウントを決定します。
グローバルオブジェクトの作成Administrators; LOCAL SERVICE; NETWORK SERVICE; SERVICEこのセキュリティ設定は、ユーザーがすべてのセッションで使用可能なグローバルオブジェクトを作成できるかどうかを決定します。
永続的共有オブジェクトの作成誰もいない(空白)オブジェクトマネージャを使用してディレクトリオブジェクトを作成するためにプロセスが使用できるアカウントを決定します
プログラムのデバッグAdministratorsデバッガーをプロセスまたはカーネルにアタッチできるユーザーを決定します。独自のアプリケーションをデバッグしている開発者には、このユーザー権利を割り当てる必要はありません。新しいシステムコンポーネントをデバッグする開発者は、そのためにこのユーザー権利を必要とします。このユーザー権利は、重要で重要なオペレーティングシステムコンポーネントへの完全なアクセスを提供します。
コンピューターとユーザー アカウントに委任時の信頼を付与誰もいない(空白)このセキュリティ設定は、ユーザーまたはコンピューターオブジェクトに委任に対して信頼された設定を設定できるユーザーを決定します。
リモートコンピュータからの強制シャットダウンAdministratorsネットワーク上のリモートの場所からコンピューターをシャットダウンできるユーザーを決定します。このユーザー権利を悪用すると、サービス拒否が発生する可能性があります。
認証後にクライアントを偽装Administrators, SERVICE, Local Service, Network Serviceこの特権をユーザーに割り当てると、そのユーザーに代わって実行されるプログラムがクライアントになりすますことができます。この種のなりすましに対してこのユーザー権利を要求することにより、権限のないユーザーが、作成したサービスに(たとえば、リモートプロシージャコール(RPC)または名前付きパイプによって)クライアントを接続させ、そのクライアントになりすますことができなくなります。管理レベルまたはシステムレベルに対する権限のないユーザーの権限。
デバイスドライバーのロードとアンロードAdministratorsデバイスドライバーまたは他のコードをカーネルモードに動的にロードおよびアンロードできるユーザーを決定します。このユーザー権利は、プラグアンドプレイデバイスドライバーには適用されません。
メモリ内のページのロック誰もいない(空白)どのアカウントがプロセスを使用してデータを物理メモリに保持できるかを決定します。これにより、システムがディスク上の仮想メモリにデータをページングできなくなります。この特権を行使すると、使用可能なランダムアクセスメモリ(RAM)の量が減少するため、システムのパフォーマンスに大きく影響する可能性があります。
監査とセキュリティログの管理Administratorsファイル、Active Directoryオブジェクト、レジストリキーなどの個々のリソースのオブジェクトアクセス監査オプションを指定できるユーザーを決定します。
ファームウェア環境値の修正Administratorsファームウェア環境値を変更できるユーザーを決定します。ファームウェア環境変数は、非x86ベースのコンピューターの不揮発性RAMに保存される設定です。設定の効果はプロセッサによって異なります。
ボリュームの保守タスクを実行Administratorsこのセキュリティ設定は、リモートデフラグなどのボリュームでメンテナンスタスクを実行できるユーザーとグループを決定します。
単一プロセスのプロファイルAdministratorsこのセキュリティ設定は、パフォーマンス監視ツールを使用して非システムプロセスのパフォーマンスを監視できるユーザーを決定します。
ファイルとディレクトリの復元Administratorsバックアップしたファイルとディレクトリを復元するときに、ファイル、ディレクトリ、レジストリ、およびその他の永続オブジェクトのアクセス許可をバイパスできるユーザーを決定し、有効なセキュリティプリンシパルをオブジェクトの所有者として設定できるユーザーを決定します
ファイルとその他のオブジェクトの所有権の取得AdministratorsActive Directoryオブジェクト、ファイルとフォルダー、プリンター、レジストリキー、プロセス、スレッドなど、システム内のセキュリティ保護可能なオブジェクトの所有権を取得できるユーザーを決定します。