#author("2020-02-12T11:10:25+09:00","","")
[[・Windows Server 2016 Domain Controller]]
*[コンピュータの構成]>[ポリシー]>[Windows の設定]>[セキュリティの設定]>[ローカルポリシー]>[ユーザー権利の割り当て] [#ka4e7e8f]
|150|150|説明|c
|ポリシー設定|ポリシー値|説明|h
|オペレーティングシステムの一部として機能|誰もいない(空白)|このユーザー権利により、プロセスは認証なしで任意のユーザーになりすますことができます。したがって、プロセスはそのユーザーと同じローカルリソースにアクセスできます。|
|グローバルオブジェクトの作成|SERVICE、NETWORK SERVICE、LOCAL SERVICE、Administrators|このセキュリティ設定は、ユーザーがすべてのセッションで使用可能なグローバルオブジェクトを作成できるかどうかを決定します。|
|コンピューターとユーザー アカウントに委任時の信頼を付与|Administrators|このセキュリティ設定は、ユーザー オブジェクトまたはコンピューター オブジェクトに対する [Trusted for Delegation] 設定を設定できるユーザーを決定します。&br;この特権を与えられるユーザーまたはオブジェクトは、ユーザー オブジェクトまたはコンピューター オブジェクトのアカウント制御フラグに対する「書き込み」アクセスを与えられている必要があります。クライアントのアカウントに "Account cannot be delegated" アカウント制御フラグ セットがない限り、委任時の信頼を付与されているコンピューター (またはユーザー コンテキスト) で実行されているサーバー プロセスは、クライアントの委任された資格情報を使用して他のコンピューター上のリソースにアクセスできます。&br;このユーザー権利は、既定のドメイン コントローラーのグループ ポリシー オブジェクト (GPO) およびワークステーションとサーバーのローカル セキュリティ ポリシーで定義されます。&br;注意&br;このユーザー権利または [Trusted for Delegation] 設定を誤って使用すると、外部から接続するクライアントを偽装し、その資格情報を使用してネットワーク リソースにアクセスするトロイの木馬プログラムによる高度な攻撃に対して、ネットワークが脆弱になる可能性があります。&br;既定値: ドメイン コントローラー上の Administrators|
|サービスとしてログオン|誰もいない(空白)|このセキュリティ設定は、セキュリティ プリンシパルがサービスとしてログオンすることを可能にします。Local System、Local Service、Network Service の各アカウントは、サービスとしてログオンするための権利が組み込まれているため、サービスをこれらのアカウントで実行するように構成できます。その他のユーザー アカウントで実行するサービスには適切な権利を割り当てる必要があります。&br;既定値: なし|
|シンボリックリンクを作成する|Administrators|この特権は、ユーザーがログオンしているコンピューターからシンボリック リンクを作成できるかどうかを決定します。&br;既定値: Administrator&br;警告: この特権は、信頼されるユーザーにのみ付与するようにしてください。シンボリック リンクを処理するように設計されていないアプリケーションでシンボリック リンクを使用すると、セキュリティによる保護が脆弱になります。&br;注意&br;この設定は、コンピューター上で許可される symlink の種類を制御するためにコマンド ライン ユーティリティで操作される、symlink ファイル システム設定と組み合わせて使用できます。fsutil とシンボリック リンクの詳細についての情報を得るには、コマンド ラインで「fsutil behavior set symlinkevalution /?」と入力してください。|
|スケジューリング優先順位の繰り上げ|Administrators|このセキュリティ設定は、他のプロセスに対するプロパティの書き込みアクセスを持つプロセスを使用して、そのプロセスに割り当てられている実行の優先順位を上げることができるアカウントを決定します。この特権を与えられているユーザーは、タスク マネージャー ユーザー インターフェイスを使ってプロセスのスケジュールの優先順位を変更できます。&br;既定値: Administrator|
|セキュリティ監査の生成|NETWORK SERVICE、LOCAL SERVICE|このセキュリティ設定は、セキュリティ ログにエントリを追加するためにプロセスが使用できるアカウントを決定します。セキュリティ ログは、システムへの権限のないアクセスの追跡に使用されます。このユーザーの権利を誤用すると、多くの監査イベントが生成され、[監査: セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする] セキュリティ ポリシー設定が有効になっている場合には、攻撃の証拠が隠されたり、サービス拒否 (Denial-Of-Service) を引き起こす可能性があります。詳細については、「監査: セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする」を参照してください。&br;既定値: Local Service&br;Network Service|
|デバイスドライバーのロードとアンロード|Administrators|デバイスドライバーまたは他のコードをカーネルモードに動的にロードおよびアンロードできるユーザーを決定します。このユーザー権利は、プラグアンドプレイデバイスドライバーには適用されません。|
|トークンオブジェクトの作成|誰もいない(空白)|プロセスが内部アプリケーションプログラミングインターフェイス(API)を使用してアクセストークンを作成するときに、ローカルアカウントへのアクセスに使用できるトークンを作成するために、プロセスが使用できるアカウントを決定します。|
|ドメインにワークステーションを追加|Administrators|このセキュリティ設定は、ドメインにワークステーションを追加できるグループまたはユーザーを決定します。&br;このセキュリティ設定は、ドメイン コントローラーでのみ有効です。既定では、認証済みのすべてのユーザーにこの権利があり、最大 10 個のコンピューター アカウントをドメインに作成できます。&br;ドメインにコンピューター アカウントを追加すると、そのコンピューターは Active Directory ベースのネットワークに参加できます。たとえば、ワークステーションをドメインに追加すると、そのワークステーションは Active Directory にあるアカウントとグループを認識できるようになります。&br;既定値: Authenticated Users (ドメイン コントローラー)&br;注意: Active Directory コンピューター コンテナーで "コンピューター オブジェクト作成" アクセス許可を持つユーザーは、ドメインにコンピューター アカウントを作成することもできます。コンテナーでのアクセス許可を持つユーザーは、作成できるコンピューター アカウントの数が 10 個に制限されません。また、"ドメインにワークステーションを追加" を使用して作成したコンピューター アカウントの所有者は Domain Administrators になります。一方、コンピューター コンテナーでのアクセス許可を使用して作成したコンピューター アカウントの所有者は、コンピューター アカウントの作成者になります。コンテナーでのアクセス許可を持つユーザーが、"ドメインにワークステーションを追加" ユーザー権利も持っている場合、ユーザー権利ではなくコンピューター コンテナーのアクセス許可に基づいてコンピューターが追加されます。|
|ネットワーク経由でのアクセス|Administrators、Authenticated Users、ENTERPRISE DOMAIN CONTROLLERS|このユーザー権利は、ネットワークを介してコンピューターに接続できるユーザーとグループを決定します。リモートデスクトップサービスは、このユーザー権利の影響を受けません。|
|ネットワーク経由でのアクセスを拒否する|Guests|このセキュリティ設定は、ネットワーク経由でコンピューターにアクセスできないユーザーを決定します。ユーザー アカウントに [ネットワーク経由でのアクセス] と [ネットワーク経由のアクセスを拒否] の両方のポリシーが適用されている場合、このポリシーの設定は、[ネットワーク経由でのアクセス] ポリシーの設定より優先されます。&br;既定値: Guest|
|バッチ ジョブとしてのログオンを拒否|Guests|このセキュリティ設定は、バッチ ジョブとしてログオンできないアカウントを決定します。ユーザー アカウントに [バッチ ジョブとしてログオン] と [バッチ ジョブとしてのログオンを拒否] の両方のポリシーが適用されている場合、このポリシーの設定は、[バッチ ジョブとしてログオン] ポリシーの設定より優先されます。&br;既定値 : なし|
|ファームウェア環境値の修正|Administrators|ファームウェア環境値を変更できるユーザーを決定します。ファームウェア環境変数は、非x86ベースのコンピューターの不揮発性RAMに保存される設定です。設定の効果はプロセッサによって異なります。|
|ファイルとその他のオブジェクトの所有権の取得|Administrators|Active Directoryオブジェクト、ファイルとフォルダー、プリンター、レジストリキー、プロセス、スレッドなど、システム内のセキュリティ保護可能なオブジェクトの所有権を取得できるユーザーを決定します。|
|ファイルとディレクトリのバックアップ|Administrators|システムをバックアップする目的で、ファイルとディレクトリ、レジストリ、およびその他の永続オブジェクトのアクセス許可をバイパスできるユーザーを決定します|
|ファイルとディレクトリの復元|Administrators|バックアップしたファイルとディレクトリを復元するときに、ファイル、ディレクトリ、レジストリ、およびその他の永続オブジェクトのアクセス許可をバイパスできるユーザーを決定し、有効なセキュリティプリンシパルをオブジェクトの所有者として設定できるユーザーを決定します|
|プログラムのデバッグ|Administrators|デバッガーをプロセスまたはカーネルにアタッチできるユーザーを決定します。独自のアプリケーションをデバッグしている開発者には、このユーザー権利を割り当てる必要はありません。新しいシステムコンポーネントをデバッグする開発者は、そのためにこのユーザー権利を必要とします。このユーザー権利は、重要で重要なオペレーティングシステムコンポーネントへの完全なアクセスを提供します。|
|ページファイルの作成|Administrators|どのユーザーとグループが内部アプリケーションプログラミングインターフェイス(API)を呼び出してページファイルのサイズを作成および変更できるかを決定します|
|ボリュームの保守タスクを実行|Administrators|このセキュリティ設定は、リモートデフラグなどのボリュームでメンテナンスタスクを実行できるユーザーとグループを決定します。|
|メモリ内のページのロック|誰もいない(空白)|どのアカウントがプロセスを使用してデータを物理メモリに保持できるかを決定します。これにより、システムがディスク上の仮想メモリにデータをページングできなくなります。この特権を行使すると、使用可能なランダムアクセスメモリ(RAM)の量が減少するため、システムのパフォーマンスに大きく影響する可能性があります。|
|リモート コンピュータからの強制シャットダウン|Administrators|このセキュリティ設定は、ネットワーク上のリモート ロケーションからコンピューターをシャットダウンできるユーザーを決定します。このユーザーの権利を誤用すると、サービス拒否 (Denial-Of-Service) を引き起こす可能性があります。&br;このユーザー権利は、既定のドメイン コントローラーのグループ ポリシー オブジェクト (GPO) およびワークステーションとサーバーのローカル セキュリティ ポリシーで定義されます。&br;既定値:&br;ワークステーションとサービス: Administrators&br;ドメイン コントローラー: Administrators、Server Operators|
|リモート デスクトップ サービスを使ったログオンを拒否|Guests|このセキュリティ設定は、リモート デスクトップ サービス クライアントとしてログオンしたときに拒否されるユーザーまたはグループを決定します。&br;既定値: なし|
|リモート デスクトップ サービスを使ったログオンを許可|Administrators|このセキュリティ設定は、リモート デスクトップ サービス クライアントとしてログオンするためのアクセス許可が付与されるユーザーまたはグループを決定します。&br;既定値:&br;ワークステーションとサーバー: Administrators、Remote Desktop Users&br;ドメイン コントローラー: Administrators|
|リモート デスクトップ サービスを使ったログオンを許可|Administrators|このセキュリティ設定は、リモート デスクトップ サービス クライアントとしてログオンするためのアクセス許可が付与されるユーザーまたはグループを決定します。&br;既定値:&br;ワークステーションとサーバー: Administrators、Remote Desktop Users&br;ドメイン コントローラー: Administrators|
|ローカルログオンを拒否|Guests|このセキュリティ設定は、コンピューターでログオンできないユーザーを決定します。アカウントに [ローカル ログオンを許可] と [ローカル ログオンを拒否] の両方のポリシーが適用されている場合、このポリシーの設定は、[ローカル ログオンを許可] ポリシーの設定より優先されます。&br;重要&br;このセキュリティ ポリシーを Everyone グループに適用すると、だれもローカルでログオンできなくなります。&br;既定値: なし|
|ローカルログオンを許可|Administrators|どのユーザーがコンピューターにログオンできるかを決定します|
|永続的共有オブジェクトの作成|誰もいない(空白)|オブジェクトマネージャを使用してディレクトリオブジェクトを作成するためにプロセスが使用できるアカウントを決定します|
|監査とセキュリティログの管理|Administrators|ファイル、Active Directoryオブジェクト、レジストリキーなどの個々のリソースのオブジェクトアクセス監査オプションを指定できるユーザーを決定します。|
|資格情報マネージャーに信頼された呼び出し側としてアクセス|誰もいない(空白)|この設定は、バックアップ/復元の処理中に資格情報マネージャーで使用されます。これは Winlogon のみに割り当てられる特権です。いかなるアカウントにも付与しないでください。この特権を他のエンティティに付与すると、資格情報を保存したユーザーのセキュリティが侵害される可能性があります。|
|単一プロセスのプロファイル|Administrators|このセキュリティ設定は、パフォーマンス監視ツールを使用して非システムプロセスのパフォーマンスを監視できるユーザーを決定します。|
|認証後にクライアントを偽装|Administrators, Local Service, Network Service, SERVICE|この特権をユーザーに割り当てると、そのユーザーに代わって実行されるプログラムがクライアントになりすますことができます。この種のなりすましに対してこのユーザー権利を要求することにより、権限のないユーザーが、作成したサービスに(たとえば、リモートプロシージャコール(RPC)または名前付きパイプによって)クライアントを接続させ、そのクライアントになりすますことができなくなります。管理レベルまたはシステムレベルに対する権限のないユーザーの権限。|
