#author("2020-02-12T09:59:42+09:00","","")
[[・Windows Server 2016 Domain Controller]]
*[コンピュータの構成]>[ポリシー]>[Windows の設定]>[セキュリティの設定]>[ローカルポリシー]>[ユーザー権利の割り当て] [#ka4e7e8f]
|150|150|説明|c
|ポリシー設定|ポリシー値|説明|h
|資格情報マネージャーに信頼された呼び出し側としてアクセス|誰もいない(空白)|この設定は、バックアップ/復元中にCredential Managerによって使用されます。このアカウントはWinlogonにのみ割り当てられているため、アカウントにはこの特権を与えないでください。この特権が他のエンティティに与えられると、ユーザーが保存した資格情報が危険にさらされる可能性があります。|
|ネットワーク経由でコンピュータへアクセス|BUILTIN\Administrators、NT AUTHORITY\Authenticated Users、NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS|このユーザー権利は、ネットワークを介してコンピューターに接続できるユーザーとグループを決定します。リモートデスクトップサービスは、このユーザー権利の影響を受けません。|
|オペレーティングシステムの一部として機能|誰もいない(空白)|このユーザー権利により、プロセスは認証なしで任意のユーザーになりすますことができます。したがって、プロセスはそのユーザーと同じローカルリソースにアクセスできます。|
|ドメインにワークステーションを追加|BUILTIN\Administrators|このセキュリティ設定は、ドメインにワークステーションを追加できるグループまたはユーザーを決定します。&br;このセキュリティ設定は、ドメイン コントローラーでのみ有効です。既定では、認証済みのすべてのユーザーにこの権利があり、最大 10 個のコンピューター アカウントをドメインに作成できます。&br;ドメインにコンピューター アカウントを追加すると、そのコンピューターは Active Directory ベースのネットワークに参加できます。たとえば、ワークステーションをドメインに追加すると、そのワークステーションは Active Directory にあるアカウントとグループを認識できるようになります。&br;
既定値: Authenticated Users (ドメイン コントローラー)&br;注意: Active Directory コンピューター コンテナーで "コンピューター オブジェクト作成" アクセス許可を持つユーザーは、ドメインにコンピューター アカウントを作成することもできます。コンテナーでのアクセス許可を持つユーザーは、作成できるコンピューター アカウントの数が 10 個に制限されません。また、"ドメインにワークステーションを追加" を使用して作成したコンピューター アカウントの所有者は Domain Administrators になります。一方、コンピューター コンテナーでのアクセス許可を使用して作成したコンピューター アカウントの所有者は、コンピューター アカウントの作成者になります。コンテナーでのアクセス許可を持つユーザーが、"ドメインにワークステーションを追加" ユーザー権利も持っている場合、ユーザー権利ではなくコンピューター コンテナーのアクセス許可に基づいてコンピューターが追加されます。|
|ローカルログオンを許可|Administrators; Users|どのユーザーがコンピューターにログオンできるかを決定します|
|ファイルとディレクトリのバックアップ|Administrators|システムをバックアップする目的で、ファイルとディレクトリ、レジストリ、およびその他の永続オブジェクトのアクセス許可をバイパスできるユーザーを決定します|
|ページファイルの作成|Administrators|どのユーザーとグループが内部アプリケーションプログラミングインターフェイス(API)を呼び出してページファイルのサイズを作成および変更できるかを決定します|
|トークンオブジェクトの作成|誰もいない(空白)|プロセスが内部アプリケーションプログラミングインターフェイス(API)を使用してアクセストークンを作成するときに、ローカルアカウントへのアクセスに使用できるトークンを作成するために、プロセスが使用できるアカウントを決定します。|
|グローバルオブジェクトの作成|Administrators; LOCAL SERVICE; NETWORK SERVICE; SERVICE|このセキュリティ設定は、ユーザーがすべてのセッションで使用可能なグローバルオブジェクトを作成できるかどうかを決定します。|
|永続的共有オブジェクトの作成|誰もいない(空白)|オブジェクトマネージャを使用してディレクトリオブジェクトを作成するためにプロセスが使用できるアカウントを決定します|
|プログラムのデバッグ|Administrators|デバッガーをプロセスまたはカーネルにアタッチできるユーザーを決定します。独自のアプリケーションをデバッグしている開発者には、このユーザー権利を割り当てる必要はありません。新しいシステムコンポーネントをデバッグする開発者は、そのためにこのユーザー権利を必要とします。このユーザー権利は、重要で重要なオペレーティングシステムコンポーネントへの完全なアクセスを提供します。|
|コンピューターとユーザー アカウントに委任時の信頼を付与|誰もいない(空白)|このセキュリティ設定は、ユーザーまたはコンピューターオブジェクトに委任に対して信頼された設定を設定できるユーザーを決定します。|
|リモートコンピュータからの強制シャットダウン|Administrators|ネットワーク上のリモートの場所からコンピューターをシャットダウンできるユーザーを決定します。このユーザー権利を悪用すると、サービス拒否が発生する可能性があります。|
|認証後にクライアントを偽装|Administrators, SERVICE, Local Service, Network Service|この特権をユーザーに割り当てると、そのユーザーに代わって実行されるプログラムがクライアントになりすますことができます。この種のなりすましに対してこのユーザー権利を要求することにより、権限のないユーザーが、作成したサービスに(たとえば、リモートプロシージャコール(RPC)または名前付きパイプによって)クライアントを接続させ、そのクライアントになりすますことができなくなります。管理レベルまたはシステムレベルに対する権限のないユーザーの権限。|
|デバイスドライバーのロードとアンロード|Administrators|デバイスドライバーまたは他のコードをカーネルモードに動的にロードおよびアンロードできるユーザーを決定します。このユーザー権利は、プラグアンドプレイデバイスドライバーには適用されません。|
|メモリ内のページのロック|誰もいない(空白)|どのアカウントがプロセスを使用してデータを物理メモリに保持できるかを決定します。これにより、システムがディスク上の仮想メモリにデータをページングできなくなります。この特権を行使すると、使用可能なランダムアクセスメモリ(RAM)の量が減少するため、システムのパフォーマンスに大きく影響する可能性があります。|
|監査とセキュリティログの管理|Administrators|ファイル、Active Directoryオブジェクト、レジストリキーなどの個々のリソースのオブジェクトアクセス監査オプションを指定できるユーザーを決定します。|
|ファームウェア環境値の修正|Administrators|ファームウェア環境値を変更できるユーザーを決定します。ファームウェア環境変数は、非x86ベースのコンピューターの不揮発性RAMに保存される設定です。設定の効果はプロセッサによって異なります。|
|ボリュームの保守タスクを実行|Administrators|このセキュリティ設定は、リモートデフラグなどのボリュームでメンテナンスタスクを実行できるユーザーとグループを決定します。|
|単一プロセスのプロファイル|Administrators|このセキュリティ設定は、パフォーマンス監視ツールを使用して非システムプロセスのパフォーマンスを監視できるユーザーを決定します。|
|ファイルとディレクトリの復元|Administrators|バックアップしたファイルとディレクトリを復元するときに、ファイル、ディレクトリ、レジストリ、およびその他の永続オブジェクトのアクセス許可をバイパスできるユーザーを決定し、有効なセキュリティプリンシパルをオブジェクトの所有者として設定できるユーザーを決定します|
|ファイルとその他のオブジェクトの所有権の取得|Administrators|Active Directoryオブジェクト、ファイルとフォルダー、プリンター、レジストリキー、プロセス、スレッドなど、システム内のセキュリティ保護可能なオブジェクトの所有権を取得できるユーザーを決定します。|
