トップ   編集 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

DC-test の変更点

Top/DC-test
  • 追加された行はこの色です。
  • 削除された行はこの色です。
  • DC-test は削除されています。
  • DC-test の差分を削除
#author("2020-02-21T11:00:33+09:00","","")
*[コンピュータの構成]>[ポリシー]>[Windows の設定]>[セキュリティの設定]>[ローカルポリシー]>[ユーザー権利の割り当て] [#e309e0c6]
&br;
**[コンピュータの構成]>[ポリシー]>[Windows の設定]>[セキュリティの設定]>[ローカルポリシー]>[ユーザー権利の割り当て] [#h5f632e8]
|100|100||c
|ポリシー設定|ポリシー値|説明|h
|オペレーティングシステムの一部として機能|誰もいない(空白)|このユーザーの権利を使用すると、プロセスは認証なしでどのユーザーを偽装することもできます。したがって、プロセスはそのユーザーと同じローカル リソースにアクセスできるようになります。&br;この特権を必要とするプロセスでは、この特権を特別に割り当てられたユーザー アカウントを使用するのではなく、この特権が最初から含まれている LocalSystem アカウントを使用してください。組織内で Windows Server 2003 ファミリのメンバーのサーバーしか使用しない場合、この特権をユーザーに割り当てる必要はありません。ただし、組織内で Windows 2000 または Windows NT 4.0 を実行するサーバーを使用する場合は、この特権を割り当てて、プレーンテキストのパスワードを交換するアプリケーションを使用する必要が生じる場合があります。&br;注意: このユーザーの権利を割り当てると、セキュリティ上の問題が生じる可能性があります。このユーザーの権利は、信頼できるユーザーのみに割り当ててください。&br;|グローバルオブジェクトの作成Administrators&br;LOCAL SERVICE&br;NETWORK SERVICE&br;|SERVICE'このセキュリティ設定は、すべてのセッションから利用できるグローバル オブジェクトをユーザーが作成できるかどうかを決定します。このユーザー権利がないユーザーも、自分のセッションに特有のオブジェクトは作成できます。グローバル オブジェクトを作成できるユーザーは、他のユーザーのセッション下で実行されているプロセスに影響を及ぼす可能性があり、そのためアプリケーション エラーやデータの破損を引き起こすことがあります。&br;注意: このユーザー権利を割り当てると、セキュリティ上の問題が生じる可能性があります。このユーザー権利は、信頼できるユーザーのみに割り当ててください。&br;既定値:&br;Administrators&br;Local Service&br;Network Service&br;|コンピューターとユーザー アカウントに委任時の信頼を付与Administratorsこのセキュリティ設定は、ユーザー オブジェクトまたはコンピューター オブジェクトに対する [Trusted for Delegation] 設定を設定できるユーザーを決定します。この特権を与えられるユーザーまたはオブジェクトは、ユーザー オブジェクトまたはコンピューター オブジェクトのアカウント制御フラグに対する「書き込み」アクセスを与えられている必要があります。クライアントのアカウントに 'Account cannot be delegated' アカウント制御フラグ セットがない限り、委任時の信頼を付与されているコンピューター (またはユーザー コンテキスト) で実行されているサーバー プロセスは、クライアントの委任された資格情報を使用して他のコンピューター上のリソースにアクセスできます。このユーザー権利は、既定のドメイン コントローラーのグループ ポリシー オブジェクト (GPO) およびワークステーションとサーバーのローカル セキュリティ ポリシーで定義されます。&br;注意: このユーザー権利または [Trusted for Delegation] 設定を誤って使用すると、外部から接続するクライアントを偽装し、その資格情報を使用してネットワーク リソースにアクセスするトロイの木馬プログラムによる高度な攻撃に対して、ネットワークが脆弱になる可能性があります。&br;|サービスとしてログオン誰もいない(空白)このセキュリティ設定は、セキュリティ プリンシパルがサービスとしてログオンすることを可能にします。Local System、Local Service、Network Service の各アカウントは、サービスとしてログオンするための権利が組み込まれているため、サービスをこれらのアカウントで実行するように構成できます。その他のユーザー アカウントで実行するサービスには適切な権利を割り当てる必要があります。&br;既定値: なし&br;Windows Server 2012ベースのコンピューターでHyper-V仮想マシンの起動またはライブ移行がエラー0x80070569で失敗する場合がある&br;https://support.microsoft.com/ja-jp/help/2779204/starting-or-live-migrating-hyper-v-virtual-machines-may-fail-with-erro&br;|シンボリックリンクを作成するAdministrators&br;|NT Virtual Machine\Virtual Machines (必要に応じて)'この特権は、ユーザーがログオンしているコンピューターからシンボリック リンクを作成できるかどうかを決定します。&br;既定値: Administrator&br;警告: この特権は、信頼されるユーザーにのみ付与するようにしてください。シンボリック リンクを処理するように設計されていないアプリケーションでシンボリック リンクを使用すると、セキュリティによる保護が脆弱になります。&br;|スケジューリング優先順位の繰り上げAdministratorsこのセキュリティ設定は、他のプロセスに対するプロパティの書き込みアクセスを持つプロセスを使用して、そのプロセスに割り当てられている実行の優先順位を上げることができるアカウントを決定します。この特権を与えられているユーザーは、タスク マネージャー ユーザー インターフェイスを使ってプロセスのスケジュールの優先順位を変更できます。&br;|セキュリティ監査の生成NETWORK SERVICE、LOCAL SERVICEこのセキュリティ設定は、セキュリティ ログにエントリを追加するためにプロセスが使用できるアカウントを決定します。セキュリティ ログは、システムへの権限のないアクセスの追跡に使用されます。このユーザーの権利を誤用すると、多くの監査イベントが生成され、[監査: セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする] セキュリティ ポリシー設定が有効になっている場合には、攻撃の証拠が隠されたり、サービス拒否 (Denial-Of-Service) を引き起こす可能性があります。詳細については、「監査: セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする」を参照してください。&br;|デバイスドライバーのロードとアンロードAdministratorsこのユーザーの権利は、デバイス ドライバーまたは他のコードをカーネル モードで動的にロードおよびアンロードできるユーザーを決定します。このユーザーの権利は、プラグ アンド プレイ デバイス ドライバーには適用されません。この特権は、他のユーザーに割り当てないことをお勧めします。&br;注意: このユーザーの権利を割り当てると、セキュリティ上の問題が生じる可能性があります。このユーザーの権利は、システム管理の担当ではないユーザー、グループ、またはプロセスには割り当てないでください。&br;ワークステーションとサーバーの既定値: Administrators&br;|トークンオブジェクトの作成誰もいない(空白)このセキュリティ設定は、プロセスが内部アプリケーション プログラミング インターフェイス (API) でアクセス トークンを作成するときに、ローカル リソースへのアクセス用のトークンを作成するプロセスが使用できるアカウントを決定します。&br;このユーザーの権利はオペレーティング システムによって内部的に使用されます。必要がない限り、このユーザーの権利を Local System 以外のユーザー、グループ、またはプロセスに割り当てないでください。&br;注意: このユーザーの権利を割り当てると、セキュリティ上の問題が生じる可能性があります。このユーザーの権利を、システム管理の担当ではないユーザー、グループ、またはプロセスには割り当てないでください。&br;|ドメインにワークステーションを追加Administratorsこのセキュリティ設定は、ドメインにワークステーションを追加できるグループまたはユーザーを決定します。&br;このセキュリティ設定は、ドメイン コントローラーでのみ有効です。既定では、認証済みのすべてのユーザーにこの権利があり、最大 10 個のコンピューター アカウントをドメインに作成できます。&br;ドメインにコンピューター アカウントを追加すると、そのコンピューターは Active Directory ベースのネットワークに参加できます。たとえば、ワークステーションをドメインに追加すると、そのワークステーションは Active Directory にあるアカウントとグループを認識できるようになります。&br;既定値: Authenticated Users (ドメイン コントローラー)&br;|ネットワーク経由でのアクセスAdministrators&br;Authenticated Users&br;|ENTERPRISE DOMAIN  CONTROLLERS'このユーザーの権利は、ネットワーク経由でコンピューターに接続できるユーザーおよびグループを決定します。リモート デスクトップ サービスはこのユーザーの権利には影響されません。&br;注意: リモート デスクトップ サービスは、以前のバージョンの Windows Server でターミナル サービスと呼ばれていました。&br;ワークステーションとサーバーの既定値:&br;Administrators, Backup Operators, Users, Everyone&br;|ネットワーク経由でのアクセスを拒否するGuestsこのセキュリティ設定は、ネットワーク経由でコンピューターにアクセスできないユーザーを決定します。ユーザー アカウントに [ネットワーク経由でのアクセス] と [ネットワーク経由のアクセスを拒否] の両方のポリシーが適用されている場合、このポリシーの設定は、[ネットワーク経由でのアクセス] ポリシーの設定より優先されます。&br;|ファームウェア環境値の修正Administratorsこのセキュリティ設定は、ファームウェアの環境値を変更できるユーザーを決定します。ファームウェア環境変数は、非 x86 ベースのコンピューターの不揮発性 RAM に格納される設定です。設定の影響は、プロセッサによって異なります。&br;x86 ベースのコンピューターでは、このユーザーの権利を割り当てることで変更できる唯一のファームウェア環境値は、前回正常起動時の構成です。これは、システムによってのみ変更する構成です。&br;Itanium ベースのコンピューターでは、起動情報が不揮発性 RAM に格納されます。bootcfg.exe を実行し、[システムのプロパティ] の [起動と回復] にある [既定のオペレーティング システム] 設定を変更するには、ユーザーにこのユーザーの権利を割り当てる必要があります。&br;すべてのコンピューターにおいて、Windows をインストールまたはアップグレードするにはこのユーザーの権利が必要です。&br;注意: [システムのプロパティ] の [詳細設定] タブに表示されるシステム環境変数とユーザー環境変数を変更できるユーザーに対しては、このセキュリティ設定は影響を及ぼしません。これらの値の変更方法の詳細については、「環境変数の値を追加または変更する」を参照してください。&br;|ファイルとその他のオブジェクトの所有権の取得Administratorsこのセキュリティ設定は、Active Directory オブジェクト、ファイルとフォルダー、プリンター、レジストリ キー、プロセス、スレッドなど、セキュリティが設定可能な任意のオブジェクトの所有権を取得できるユーザーを決定します。&br;注意: このユーザーの権利を割り当てると、セキュリティ上の問題が生じる可能性があります。オブジェクトの所有者はオブジェクトを完全に制御できるので、信頼されているユーザーのみにこのユーザーの権利を割り当ててください。&br;|ファイルとディレクトリのバックアップAdministratorsこのユーザーの権利は、システムをバックアップするために、ファイルやディレクトリ、レジストリ、およびその他の固定オブジェクトのアクセス許可をバイパスできるユーザーを決定します。&br;具体的には、このユーザーの権利はシステムのすべてのファイルおよびフォルダーに対する次のアクセス許可を、特定のユーザーまたはグループに与えることに似ています。&br;-フォルダーのスキャンとファイルの実行&br;-フォルダーの一覧/データの読み取り&br;-属性の読み取り&br;-拡張属性の読み取り&br;-アクセス許可の読み取り&br;注意: このユーザーの権利を割り当てると、セキュリティ上の問題が生じる可能性があります。ユーザーがデータをバックアップしているのか、データを盗み出しているのか、あるいは配布用にデータをコピーしているのかを判断する方法がないため、信頼されているユーザーのみにこのユーザーの権利を割り当ててください。&br;ワークステーションとサーバーの既定値:Administrators, Backup Operators&br;|ファイルとディレクトリの復元Administratorsこのセキュリティ設定は、バックアップしたファイルやディレクトリを復元するときにファイル、ディレクトリ、レジストリ、およびその他の持続的なオブジェクトのアクセス許可をバイパスできるユーザーと、任意の有効なセキュリティ プリンシパルをオブジェクトの所有者に設定できるユーザーを決定します。&br;具体的には、このユーザーの権利はシステムのすべてのファイルおよびフォルダーに対する次のアクセス許可を、特定のユーザーまたはグループに与えることに似ています。&br;-フォルダーのスキャンとファイルの実行&br;-書き込み&br;注意: このユーザーの権利を割り当てると、セキュリティ上の問題が生じる可能性があります。このユーザー権利が割り当てられているユーザーは、レジストリ設定を上書きしたり、データを非表示にしたり、システム オブジェクトを所有することができるため、信頼されているユーザーのみにこの権利を割り当ててください。&br;ワークステーションとサーバーの既定値:: Administrators、Backup Operators&br;|プログラムのデバッグAdministratorsこのユーザーの権利は、任意のプロセスまたはカーネルにデバッガーをアタッチできるユーザーを決定します。独自のアプリケーションをデバッグする開発者にこのユーザーの権利を割り当てる必要はありません。新しいシステム コンポーネントをデバッグする開発者には、このユーザーの権利が必要です。このユーザーの権利は、重要なオペレーティング システム コンポーネントに完全なアクセスを提供します。&br;注意: このユーザーの権利を割り当てると、セキュリティ上の問題が生じる可能性があります。このユーザーの権利は、信頼できるユーザーのみに割り当ててください。&br;|ページファイルの作成Administratorsこのユーザーの権利は、内部のアプリケーション プログラミング インターフェイス (API) を呼び出してページ ファイルの作成とサイズ変更を実行できるユーザーおよびグループを決定します。このユーザーの権利はオペレーティング システムの内部で使用され、通常はユーザーに割り当てる必要はありません。&br;特定のドライブのページング ファイルのサイズを変更する方法については、仮想メモリのページング ファイルのサイズ変更に関するページを参照してください。&br;|ボリュームの保守タスクを実行Administratorsこのセキュリティ設定は、リモート最適化などのボリュームの保守タスクを実行できるユーザーおよびグループを決定します。&br;このユーザーの権利を割り当てるときは、注意が必要です。このユーザー権利が割り当てられたユーザーは、ディスクを参照したり、他のデータが含まれているメモリにファイルを拡張することができます。拡張されたファイルが開かれると、取得したデータをユーザーが参照して変更できる可能性があります。&br;|メモリ内のページのロック誰もいない(空白)このセキュリティ設定は、プロセスを使用して物理メモリにデータを保持できるアカウントを決定します。これによって、システムはディスク上の仮想メモリにデータをページングできなくなります。この特権を使用すると、使用できるランダム アクセス メモリ (RAM) の量が減るため、システムのパフォーマンスに重大な影響を与える可能性があります。&br;|リモート コンピュータからの強制シャットダウンAdministratorsこのセキュリティ設定は、ネットワーク上のリモート ロケーションからコンピューターをシャットダウンできるユーザーを決定します。このユーザーの権利を誤用すると、サービス拒否 (Denial-Of-Service) を引き起こす可能性があります。このユーザー権利は、既定のドメイン コントローラーのグループ ポリシー オブジェクト (GPO) およびワークステーションとサーバーのローカル セキュリティ ポリシーで定義されます。&br;ワークステーションとサービスの既定値: Administrators&br;|リモート デスクトップ サービスを使ったログオンを拒否Guestsこのセキュリティ設定は、リモート デスクトップ サービス クライアントとしてログオンしたときに拒否されるユーザーまたはグループを決定します。&br;|リモート デスクトップ サービスを使ったログオンを許可Administratorsこのセキュリティ設定は、リモート デスクトップ サービス クライアントとしてログオンするためのアクセス許可が付与されるユーザーまたはグループを決定します。&br;ワークステーションとサーバーの既定値: Administrators、Remote Desktop Users&br;|ローカルログオンを許可Administratorsこのコンピューターにログオンできるユーザーを決定します。&br;重要: この設定を変更すると、クライアント、サーバー、およびアプリケーションとの互換性に影響が生じることがあります。この設定の互換性については、Microsoft の Web サイト (http://go.microsoft.com/fwlink/?LinkId=24268) の「ローカル ログオンを許可」の項を参照してください。&br;ワークステーションおよびサーバーの既定値: Administrators、Backup Operators、Power Users、Users、Guest&br;|永続的共有オブジェクトの作成誰もいない(空白)このユーザーの権利は、オブジェクト マネージャーを使ってディレクトリ オブジェクトの作成にプロセスが使用するアカウントを決定します。&br;このユーザーの権利はオペレーティング システムによって内部的に使用され、オブジェクトの名前空間を拡張するカーネル モードのコンポーネントで使用できます。カーネル モードで実行されているコンポーネントには既にこのユーザーの権利が割り当てられているため、この権利を明示的に割り当てる必要はありません。&br;|監査とセキュリティログの管理Administratorsこのセキュリティ設定は、ファイル、Active Directory オブジェクト、レジストリ キーなど個別のリソースに対してオブジェクト アクセスの監査オプションを指定できるユーザーを決定します。&br;通常このセキュリティ設定は、ファイルとオブジェクトへのアクセスの監査を有効にすることをユーザーに許可しません。このような監査を有効にするには、コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\監査ポリシーで [オブジェクト アクセスの監査] 設定を構成する必要があります。&br;監査されたイベントは、イベント ビューアーのセキュリティ ログに表示できます。この特権を与えられているユーザーは、セキュリティ ログを表示および消去することもできます。&br;|単一プロセスのプロファイルAdministratorsこのセキュリティ設定は、パフォーマンス監視ツールを使用して、システム外のプロセスのパフォーマンスを監視できるユーザーを決定します。&br;|認証後にクライアントを偽装Administrators&br;Local Service&br;Network Service&br;|SERVICE'ユーザーにこの特権を割り当てると、そのユーザーに代わって実行されるプログラムがクライアントを偽装できるようになります。この種の偽装にこのユーザー権利が必要となるのは、権限のないユーザーが作成したサービスに (リモート プロシージャ コール (RPC) や名前付きパイプなどを使用して) クライアントを接続させ、次にそのクライアントを偽装することによって、管理者レベルまたはシステム レベルなど上位のアクセス許可を得ることを防ぐためです。&br;注意: このユーザー権利を割り当てると、セキュリティ上の問題が生じる可能性があります。このユーザー権利は、信頼できるユーザーのみに割り当ててください。&br;既定値:Administrators, Local Service, Network Service, Service&br;注意: 既定では、サービス コントロール マネージャーによって開始されるサービスのアクセス トークンにビルトインの Service グループが追加されます。コンポーネント オブジェクト モデル (COM) サーバーが COM インフラストラクチャによって起動され、特定のアカウントで実行するよう構成されている場合も、サーバーのアクセス トークンに Service グループが追加されます。その結果、これらのサービスが開始するときにこのユーザー権利が与えられます。&br;また、次の条件のいずれかに該当するときは、ユーザーがアクセス トークンを偽装できます。&br;偽装しようとしているアクセス トークンがそのユーザー用のものである。&br;このログオン セッションで、明示的な資格情報を使用してネットワークにログオンすることにより、ユーザーがアクセス トークンを作成した。&br;このような要因があるため、通常はユーザーがこのユーザー権利を必要とすることはありません。&br;
#author("2020-11-07T15:47:47+09:00","","")