コンピューターとユーザー アカウントに委任時の信頼を付与
[コンピューターとユーザー アカウントに委任時の信頼を付与] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
参考
このポリシー設定では、ユーザーまたはコンピューター オブジェクト上の [Trusted for Delegation] 設定を設定できるユーザーを決定します。
セキュリティ アカウントの委任では複数のサーバーに接続する機能を提供し、各サーバーに変更が発生しても元のクライアントの認証資格情報が保持されます。認証の委任は、クライアントおよびサーバー アプリケーションが複数の層を持っている場合に使用する機能です。一般に公開するサービスで、アプリケーションまたはデータベース サービスの認証にクライアントの資格情報を使用できます。この構成を可能にするには、委任時の信頼を付与されているアカウントでクライアントとサーバーを実行する必要があります。
[コンピューターとユーザー アカウントに委任時の信頼を付与] 資格情報を持つ管理者のみが委任を設定できます。Domain admins および Enterprise admins がこの資格情報を持っています。ユーザーに委任時の信頼を付与する手順は、ドメインの機能レベルによって異なります。
この権利が付与されているユーザーまたはコンピューター オブジェクトには、アカウント制御フラグに対する書き込みアクセス権が必要です。委任時の信頼が付与されているデバイスで (またはユーザー コンテキストで) 実行されているサーバー プロセスは、クライアントの委任された資格情報を使用して別のコンピューター上のリソースにアクセスできます。ただし、クライアント アカウントは、そのオブジェクトのアカウント制御フラグに対する書き込みアクセス権が必要です。
定数: SeEnableDelegationPrivilege
設定可能な値
アカウントのユーザー定義一覧
未定義
ベスト プラクティス
- ドメインに属しているメンバー サーバーとワークステーション上のすべてのユーザーには、このユーザー権利を割り当てる理由はありません。これらのコンテキストでは意味がありません。ドメイン コントローラーとスタンドアロン デバイスにのみ関連します。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\ユーザー権利の割り当て
既定値
次の表に、サポートされている最新バージョンの Windows の実際のポリシー値と有効な既定のポリシー値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
| サーバーの種類または GPO | 既定値 |
|---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
未定義 |
ドメイン コントローラーの有効な既定の設定 |
Administrators |
メンバー サーバーの有効な既定の設定 |
Administrators |
クライアント コンピューターの有効な既定の設定 |
Administrators |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能、ツール、ガイダンスについて説明します。
この設定を変更すると、クライアント、サービス、アプリケーションとの互換性に影響が生じる可能性があります。
このポリシー設定を有効にするために、デバイスを再起動する必要はありません。
アカウントのユーザー権利の割り当てに対する変更はすべて、アカウントの所有者が次にログオンしたときに有効になります。
グループ ポリシー
このユーザー権利は、既定のドメイン コントローラーのグループ ポリシー オブジェクト (GPO) とワークステーションやサーバーのローカル セキュリティ ポリシーで定義されています。
設定は、グループ ポリシー オブジェクト (GPO) によって次の順番で適用されます。グループ ポリシーが次に更新された時に、ローカル コンピューターの設定が上書きされます。
ローカル ポリシー設定
サイト ポリシー設定
ドメイン ポリシー設定
OU ポリシー設定
ローカル設定が灰色表示されている場合は、GPO が現在その設定を制御していることを示します。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
[コンピューターとユーザー アカウントに委任時の信頼を付与] ユーザー権利を誤用すると、承認されていないユーザーがネットワーク上の他のユーザーを偽装することができる可能性があります。攻撃者はこの特権を悪用して、ネットワーク リソースにアクセスし、セキュリティの問題が発生した後に何があったのか特定することを困難にする可能性があります。
対策
[コンピューターとユーザー アカウントに委任時の信頼を付与] ユーザー権利は、この機能の必要性が明確な場合のみ割り当ててください。この権利を割り当てるときは、制約付き委任の使用を調査して、委任されたアカウントが実行できる機能を制御してください。ドメイン コントローラーでは、この権利は既定で Administrators グループに割り当てられます。
注
ドメインに属しているメンバー サーバーとワークステーション上のすべてのユーザーには、このユーザー権利を割り当てる理由はありません。これらのコンテキストでは意味がありません。ドメイン コントローラーとスタンドアロン コンピューターにのみ関連します。
考えられる影響
なし。既定の構成は [未定義] です。