次の方法で共有


グループ ポリシーを使用して MaxTokenSize レジストリ エントリを複数のコンピューターに追加する方法

この記事では、グループ ポリシーを使用して MaxTokenSize レジストリ エントリを複数のコンピューターに追加する方法について説明します。

元の KB 番号: 938118

はじめに

Windows Server 2003、Windows Server 2008、Windows Server 2008 R2、または Windows Server 2012 を実行しているドメイン コントローラーでは、グループ ポリシーを使用して、複数のコンピューターに次のレジストリ エントリを追加できます。

キー: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
エントリ: MaxTokenSize
値の種類: REG_DWORD
値: 48000

この記事では、この設定をドメインのすべてのメンバーに簡単にプッシュできるように、これを行う方法について説明します。 プロセスは、ドメイン コントローラーが実行されている Windows Server のバージョンによって異なります。

Note

MaxTokenSize の最大許容値は 65535 バイトです。 ただし、HTTP の認証コンテキスト トークンの base64 エンコードのため、maxTokenSize レジストリ エントリを 48,000 バイトより大きい値に設定することはお勧めしません。 Windows Server 2012 以降では、MaxTokenSize レジストリ エントリの既定値は 48,000 バイトです。

詳細

Windows Server 2003 でグループ ポリシー オブジェクト (GPO) を使用して MaxTokenSize を構成する方法

Windows Server 2012 ベースのドメイン コントローラーがないドメイン内の複数のコンピューターにレジストリ エントリを追加するには、次の手順に従います。

  1. MaxTokenSize レジストリ エントリの管理用テンプレート (ADM) ファイルを作成します。 これを行うには、次の手順に従います。

    1. メモ帳を起動します。

    2. 次のテキストをコピーし、メモ帳に貼り付けます。

      クラス マシン

      カテゴリ!!縁 石

      KEYNAME "SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters"
      政策!!MaxToken
      VALUENAME "MaxTokenSize"
      VALUEON NUMERIC 48000
      VALUEOFF NUMERIC 0
      END POLICY

      終了カテゴリ

      [文字列]
      KERB="Kerberos の最大トークン サイズ"
      MaxToken="Kerberos MaxTokenSize"

      Note

      MaxTokenSize レジストリ エントリの値は 48000 に設定されています。 これが推奨される値です。

    3. 設定を展開する GPO の構成に使用するドメイン コントローラーの %windir%\Inf\ フォルダーに、メモ帳ドキュメントを MaxTokenSize.adm として保存します。

    4. メモ帳を終了します。

  2. ADM を GPO にインポートし、MaxTokenSize レジストリ エントリを目的の値に設定します。 これを行うには、次の手順に従います。

    1. ドメイン レベルでリンクされているか、コンピューター アカウントを含む組織単位 (OU) にリンクされている新しいグループ ポリシー オブジェクト (GPO) を作成します。 または、既に展開されている GPO を選択します。

    2. グループ ポリシー オブジェクト エディターを開きます。 これを行うには、[スタート] をクリックし、[実行] をクリックし、「gpedit.msc」と入力して、[OK] をクリックします。

    3. コンソール ツリーで、[コンピューターの構成] を展開し、[管理用テンプレート] を展開し、[管理用テンプレート] をクリックします。

    4. [アクション] メニューの [すべてのタスク] をポイントし、[テンプレートの追加と削除] をクリックします。

    5. 追加をクリックします。

    6. 手順 1 で作成した MaxTokenSize.adm ファイルをクリックして選択し、[開く] をクリックします。

    7. [閉じる] をクリックします。

    8. [表示] メニューの [フィルター] をクリックします。

    9. [完全に管理できるポリシー設定のみを表示する] チェック ボックスをオフにし、[OK] をクリックします。

    10. [管理用テンプレート] を展開し、[Kerberos の最大トークン サイズ] をクリックします。

    11. 右側のウィンドウで Kerberos MaxTokenSize を右クリックし、[プロパティ] をクリックして [プロパティ] ダイアログ ボックスを開きます。

    12. [有効] をクリックしてから、[OK] をクリックします。

      Note

      GPO を有効にするには、GPO の変更をドメイン内のすべてのドメイン コントローラーにレプリケートする必要があります。また、影響を受けるコンピューターは、ポリシーが適用された後に再起動する必要があります。

Windows Server 2008 および Windows Server 2008 R2 で GPO を使用して MaxTokenSize レジストリ エントリを構成する方法

Windows Server 2008 ドメインおよび Windows Server 2008 R2 ドメインでは、レジストリ クライアント側拡張機能を使用して、MaxTokenSize レジストリ値をドメイン内の複数のコンピューターに展開できます。 GPO で MaxTokenSize 値の設定を作成するには、次の手順に従います。

  1. [スタート] をクリックし、[実行] をクリックし、「gpmc.msc」と入力し、[OK] をクリックしてグループ ポリシー管理コンソールを開きます。
  2. グループ ポリシー管理コンソールで、ドメイン レベルでリンクされているか、コンピューター アカウントを含む OU にリンクされている新しい GPO を作成します。 あるいは、展開済み GPO を選択できます。
  3. GPO を右クリックし、[編集] をクリックして[グループ ポリシー管理エディター] ウィンドウを開きます。
  4. [コンピューターの構成]、[基本設定]、[Windows の設定] の順に展開します。
  5. [レジストリ]を右クリックし、 [新規]をポイントして、 [レジストリ項目]をクリックします。 [新しいレジストリのプロパティ] ダイアログ ボックスが表示されます。
  6. [アクション] の一覧で 、[作成] をクリックします。
  7. [ハイブ] の一覧で、 HKEY_LOCAL_MACHINEをクリックします。
  8. [キー パス] の一覧で、[SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters] をクリックします。
  9. [値の名前] ボックスに「MaxTokenSize」と入力します。
  10. [値の種類] ボックスで、[REG_DWORD] チェック ボックスをオンにします。
  11. [値] データ ボックスに「48000」と入力します。
  12. [基本] の横にある [10 進数] チェック ボックスをオンにします。
  13. [OK] をクリックします。

Note

GPO を有効にするには、GPO の変更をドメイン内のすべてのドメイン コントローラーにレプリケートする必要があります。また、影響を受けるコンピューターは、ポリシーの適用後に再起動する必要があります。

Windows Server 2012 で GPO を使用して MaxTokenSize レジストリ エントリを構成する方法

Windows Server 2012 ベースのドメイン コントローラーを持つドメインに MaxTokenSize レジストリ エントリの値を展開するには、次の手順に従います。

  1. サーバー マネージャー開き、[ツール] をクリックし、[グループ ポリシー管理] をクリックしてグループ ポリシー管理コンソールを開きます。
  2. グループ ポリシー管理コンソールで、ドメイン レベルでリンクされているか、コンピューター アカウントを含む OU にリンクされている新しい GPO を作成します。 または、既に展開されている GPO を選択します。
  3. GPO を右クリックし、[編集] をクリックして[グループ ポリシー管理エディター] ウィンドウを開きます。
  4. [コンピューターの構成]、[ポリシー] の順に展開し、[管理用テンプレート] を展開します。
  5. [システム] を展開し、[Kerberos] をクリックします。
  6. 右側のウィンドウで [Kerberos SSPI コンテキスト トークンバッファーの最大サイズを設定する] を右クリックし、[編集] をクリックします。
  7. [有効] をクリックし、[最大サイズ] ボックスに「48000」と入力します。
  8. [OK] をクリックします。

Note

  • GPO を有効にするには、GPO の変更をドメイン内のすべてのドメイン コントローラーにレプリケートする必要があります。また、影響を受けるコンピューターは、ポリシーの適用後に再起動する必要があります。

  • [最大 Kerberos SSPI コンテキスト トークン バッファー サイズの設定] ポリシー設定は、Windows Server 2012 および Windows 8 で追加されます。 このポリシー設定は、Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、および Windows Server 2008 R2 でサポートされています。 このグループ ポリシー設定を使用するには、RSAT ツールがインストールされているバージョンの Windows Server 2012 または Windows 8 で GPO を編集する必要があります。

関連情報

MaxTokenSize レジストリ エントリの詳細については、次の資料番号をクリックして、Microsoft サポート技術情報の記事を表示します。
327825 ユーザーが多数のグループに属している場合の Kerberos 認証に関する問題の新しい解決策