資格情報マネージャーに信頼された呼び出し側としてアクセス
[資格情報マネージャーに信頼された呼び出し側としてアクセス] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
参考
[資格情報マネージャーに信頼された呼び出し側としてアクセス] ポリシー設定は、バックアップと復元時に資格情報マネージャーで使われます。Winlogon サービスのみに割り当てられるため、この特権が指定されたアカウントはありません。この特権を他のエンティティに付与すると、保存したユーザーの資格情報が侵害される場合があります。
定数: SeTrustedCredManAccessPrivilege
設定可能な値
アカウントのユーザー定義一覧
未定義
ベスト プラクティス
- このポリシー設定を既定値から変更しないでください。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\ユーザー権利の割り当て
既定値
次の表に、サポートされている最新バージョンの Windows の実際のポリシー値と有効な既定のポリシー値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
| サーバーの種類または GPO | 既定値 |
|---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
未定義 |
ドメイン コントローラーの有効な既定の設定 |
未定義 |
メンバー サーバーの有効な既定の設定 |
未定義 |
クライアント コンピューターの有効な既定の設定 |
未定義 |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能、ツール、ガイダンスについて説明します。
このポリシー設定の有効化には、コンピューターの再起動は必要ありません。
アカウントのユーザー権利の割り当てに対する変更はすべて、アカウントの所有者が次にログオンしたときに有効になります。
グループ ポリシー
設定は、グループ ポリシー オブジェクト (GPO) によって次の順番で適用されます。グループ ポリシーが次に更新された時に、ローカル コンピューターの設定が上書きされます。
ローカル ポリシー設定
サイト ポリシー設定
ドメイン ポリシー設定
OU ポリシー設定
ローカル設定が灰色表示されている場合は、GPO が現在その設定を制御していることを示します。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
アカウントにこのユーザー権利が割り当てられた場合、アカウントのユーザーは、資格情報マネージャーを呼び出し、別のユーザーに資格情報を返すアプリケーションを作成できる可能性があります。
対策
資格情報マネージャー以外で、アカウントの [資格情報マネージャーに信頼された呼び出し側としてアクセス] ポリシー設定を定義しないでください。
考えられる影響
なし。既定の構成は [未定義] です。