ユーザー権利の設定
最終更新日: 2002年12月18日
アカウントのビルトイン機能は変更できませんが、アカウントに対するユーザー権利は管理できます。この権利によって、システムへの対話的なログオンや、ファイルとディレクトリのバックアップなど、特定のアクションを実行するユーザーを認証します。ユーザー権利はアクセス許可とは異なります。ユーザー権利はユーザー アカウントに対して適用されますが、アクセス許可はオブジェクトに適用されるためです。ユーザー権利の変更は広範な影響を及ぼすので、ユーザー権利のポリシーの変更は、経験のある管理者のみ実行するようにしてください。
マイクロソフトは、ログオンの権利と特権という 2 種類のカテゴリのユーザー権利を定義しています。それぞれの定義は以下のとおりです。
ログオンの権利 : ユーザーに割り当てられるユーザー権利で、システムにログオンする方法を指定するものです。ログオンの権利の例として、システムにリモートでログオンする権利が挙げられます。
特権 : ユーザーに割り当てられるユーザー権利で、システムで許可するアクションを指定するものです。特権の一例として、システムをシャットダウンする権利が挙げられます。
ユーザー権利は、ローカル レベルで機能を定義します。個々のユーザー アカウントに適用できますが、グループ アカウント単位で管理するのが最善の方法です。この方法により、グループのメンバとしてログオンするユーザーは、そのグループに関連付けられた権利を自動的に継承することができます。個々のユーザーではなく、グループに権利を割り当てることで、ユーザー アカウントの管理を簡略化できます。グループのユーザーが、すべて同じユーザー権利を必要としている場合、各ユーザー アカウントに同じ設定を繰り返し割り当てなくても、グループに対して一度だけ権利を割り当てるだけで済みます。
グループに割り当てられたユーザー権利は、メンバを維持したまま、グループのすべてのメンバに適用されます。ユーザーが複数のグループのメンバの場合、ユーザーの権利が累積されます。これはそのユーザーが複数の権利と特権を持つことを意味します。1 つのグループに割り当てられた権利が、別のグループに割り当てられた権利と競合する場合に限り、特定のログオン権利が適用されます。たとえば、複数のグループに属するメンバに [ネットワーク経由でコンピュータへアクセスを拒否する] のログオン権利が付与されている場合、そのユーザーは、別のグループでログオン権利が与えられていてもログオンすることはできません。このユーザーは、キャッシュされた資格情報を使ってローカルにログオンすることになりますが、ドメイン リソースへのアクセスを試みると、以下のメッセージが表示されます。
.gif)
しかし、一般的に 1 つのグループに割り当てられたユーザー権利は、別のグループに割り当てられた権利と競合することはありません。ユーザーの権利を削除するには、管理者がグループからこのユーザーを削除するだけです。この場合、ユーザーはそのグループで割り当てられた権利を失います。
以下の一覧は、ユーザーに割り当てることのできるログオンの権利と特権を示したものです。
| ログオンの権利: | 特権: |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
これらの特権の一部は、オブジェクトに設定されたアクセス許可よりも優先される場合があります。たとえば、Backup Operators グループのメンバとしてドメイン アカウントにログオンするユーザーは、すべてのドメイン サーバーでバックアップ操作を実行する権利を所有します。ただしバックアップ作業を実行するには、サーバー上のすべてのファイルを読み取る能力が必要になります。ファイルによっては、所有者がアクセス許可を明示的に設定し、Backup Operators グループのメンバを含むすべてのユーザーのアクセスを拒否するように指定している場合もあります。ユーザーの権利は、すべてのファイルとディレクトリのアクセス許可よりも優先されるので、この場合は、バックアップを実行する権利が優先されることになります。オブジェクトに設定されたアクセス許可より優先される特権は、以下のとおりです。
ファイルとその他オブジェクトの所有権の取得
監査とセキュリティ ログの管理
ファイルとディレクトリのバックアップ
ファイルとディレクトリの復元
プログラムのデバッグ
スキャン チェックのバイパス
ファイルとその他オブジェクトの所有権の取得 (TakeOwnership) 特権は、オブジェクトに WriteOwner (所有者の書き込み) アクセスを許可するものです。バックアップ と 復元の特権 は、オブジェクトへの読み書きアクセスを許可します。プログラムのデバッグ (debug) 特権は、オブジェクトの読み取りまたはオープン アクセスを許可します。スキャン チェックのバイパス (ChangeNotify) 特権は、ディレクトリに対するリバース アクセスを提供します。この特権は、既定ですべてのユーザーに与えられ、セキュリティは考慮されません。監査とセキュリティ ログの管理 (Security) 特権は、セキュリティ ログへのアクセス、セキュリティ ログへのアクセス制限の無効化など、複数の機能を提供します。この場合 Event Logger は、Security 特権の強制を担当します。TakeOwnership、Security、Backup、Restore、Debug 特権は、管理者アカウントにのみ割り当てる必要があります (評価された構成に準拠した特権の割り当て制限については、『Windows 2000 Security Configuration Guide』 の付録 C 「ユーザー権利と特権」を参照してください)。
特別なユーザー アカウントである LocalSystem には、ほぼすべての特権とログオンの権利が割り当てられています。これは、オペレーティング システムの一部として実行されるすべてのプロセスが、このアカウントに関連付けられており、このプロセスにすべてのユーザー権利が必要なためです。
付録 C – 『Windows 2000 Security Configuration Guide』 の「ユーザー権利と特権」には、セキュリティ ターゲット要求に該当するユーザー権利と特権の相互参照表が含まれています。特定の ST 要求に対応したユーザー権利のポリシーを実行する場合、これを参考にする必要があります。
ユーザー権利の割り当て
ユーザー権利は グループ ポリシー の ローカル ポリシー ノード経由で割り当てられます。名前が示すように、ローカル ポリシーはローカル コンピュータに属します。ただし、設定したローカル ポリシーを Active Directory にインポートすることができます。ローカル ポリシーは、サイト、ドメイン、または組織単位の既存のグループ ポリシーの一部として設定することもできます。これを実行すると、サイト、ドメイン、または組織単位のコンピュータ アカウントに、ローカル ポリシーが適用されます。
ユーザー権利のポリシーは、以下のように管理することができます。
管理者アカウントを使用してログオンします。
[Active Directory ユーザーとコンピュータ] ツールを開きます。
ドメイン コントローラの含まれたコンテナを右クリックし、[プロパティ] をクリックします。
[グループ ポリシー] タブをクリックし、[編集] をクリックして、[既定のドメイン ポリシー] を編集します
[グループ ポリシー] ウィンドウで、[コンピュータの構成] を展開し、[Windows の設定]、[セキュリティの設定]、[ローカル ポリシー] の順に移動します。
[ユーザー権利の割り当て] を選択します。
注意 : すべてのポリシーは定義されているか、いないかのどちらかです。すなわち、使用する設定、もしくは使用しない設定のいずれかになります。現在のコンテナ内の定義されていないポリシーは、別のコンテナから継承されるポリシーです。
ユーザー権利の割り当てを設定するには、ユーザー権利をダブルクリックするか、あるいはユーザー権利を右クリックして [セキュリティ] を選択します。これにより、[セキュリティ ポリシーの設定] ダイアログ ボックスが開きます。
個々のユーザー権利をサイト、ドメイン、または組織単位に設定するには、以下の手順を完了します。
変更するユーザー権利の [セキュリティ ポリシーの設定] ダイアログ ボックスを開きます。
[これらのポリシーの設定を定義する] を選択し、ポリシーを定義します。
ユーザーまたはグループにこの権利を適用するには、[追加] をクリックします。
[ユーザーまたはグループの追加] ダイアログ ボックスで、[参照] をクリックすると、[ユーザーまたはグループの選択] ダイアログ ボックスが開きます。以上で、ユーザーとグループに権利が適用されます。
.gif)
.gif)
[ユーザーまたはグループの選択] ダイアログ ボックスには、以下の選択オプションが表示されます。
名前 : [名前] コラムは、現在選択されているドメインまたはリソースの利用可能なアカウントを示します。
追加 : 選択さた名前を選択リストに追加します。
名前の確認 : 選択リストに入力されたユーザーとグループの名前を確認します。これは、手作業で入力した名前が、実際に利用できるかどうか確認する必要がある場合に有益です。
- 他のドメインからアカウント名にアクセスするには、[探す場所] リスト ボックスをクリックします。アクセスできる現在のドメイン、信頼されたドメイン、およびその他のリソースを示すドロップダウン リストが表示されます。[ディレクトリ全体] を選択すると、ディレクトリ内のすべてのアカウント名が表示されます。
注意 : 信頼できると指定されたドメインのみ、[探す場所] ドロップダウン リストに表示されます。Windows 2000 では信頼を移行できるので、通常、ドメイン ツリーまたはフォレスト内のすべてのドメインが一覧表示されます。信頼の移行は、明示的に設定する必要はありません。信頼は、フォレスト構造とフォレスト内のアクセス許可に基づいて自動的に設定されます。
アカウント名を選択して、グループに追加した後は、[OK] をクリックします。これで、[ユーザーまたはグループの追加] ダイアログ ボックスに、選択したアカウントが表示されます。再度 [OK] をクリックします。
[セキュリティ ポリシーの設定] ダイアログ ボックスを更新し、選択を反映します。誤りがあった場合、名前を選択し、[削除] をクリックしてその名前を削除します。
.gif)
- ユーザーとグループへの権利付与が完了したら、[OK] をクリックします。
.gif)
.gif)
ローカル ユーザー権利の設定
Windows 2000 Professional などのローカル コンピュータでユーザー権利を適用するには、以下の手順を完了します。
管理者としてログインします。
[スタート] を開き、[プログラム]、[管理ツール] の順にポイントし、[ローカル セキュリティ ポリシー] をクリックします。
[ローカル セキュリティ設定] ウィンドウの [ローカル ポリシー] へ移動し、[ユーザー権利の割り当て] を選択します。
ユーザー権利の割り当てを設定するには、ユーザー権利をダブルクリックするか、あるいはユーザー権利を右クリックして [セキュリティ] を選択します。[セキュリティ ポリシーの設定] ダイアログ ボックスが開かれ、コンピュータの [有効なポリシー] が表示されます。これは変更できませんが、ローカル ポリシーの設定は調整できます。表示されたフィールドを使用して、ローカル ポリシーを設定します。サイト、ドメイン、および組織単位のポリシーは、ローカル ポリシーより優先される点に留意してください。
[適用先] コラムは、ユーザー権利が与えられた現在のユーザーとグループを示しています。[ローカル ポリシーの設定] コラムの下にある関連するチェック ボックスを選択または解除し、ユーザー権利を適用または削除します。
ユーザー権利を適用するユーザーとグループを追加するには、[追加] をクリックします。[ユーザーまたはグループの選択] ダイアログ ボックスが開くと、ローカルのユーザーとグループを追加できます。
ドメインからアカウント名にアクセスするには、[探す場所] リスト ボックスをクリックします。アクセス可能な現在のコンピュータ、ローカル ドメイン、信頼されたドメイン、およびその他のリソースを示す一覧が表示されます。ローカル ドメインを選択すると、そのドメイン内のすべてのアカウント名が表示されます。
.gif)
.gif)
.gif)
.gif){kind=link}
.gif){kind=link}
.gif){kind=link}
.gif){kind=link}
.gif){kind=link}
.gif){kind=link}
.gif){kind=link}
.gif){kind=link}