Windows 2000 でデフォルトのドメイン GPO のセキュリティ設定をリセットする方法

文書翻訳 文書翻訳
文書番号: 226243 - 対象製品
この記事は、以前は次の ID で公開されていました: JP226243
すべて展開する | すべて折りたたむ

目次

概要

デフォルトのドメイン グループ ポリシー オブジェクト (GPO) には、デフォルトのセキュリティ設定が数多く含まれています。場合によっては、デフォルトの設定を変更すると、望ましくない影響が発生することがあります。このような影響は、Sysvol フォルダの内容が手動で再構築されたり、バックアップから復元されたりした場合にも発生することがあります。

この資料では、デフォルトのドメイン GPO のセキュリティ設定をリセットする方法について説明します。デフォルトのセキュリティ ポリシー設定をリセットするには、Sysvol フォルダ内の Gpttmpl.inf ファイルを編集します。

この操作は慎重に行う必要があります。Gpttmpl.inf ファイルが破損すると、ドメイン コントローラが動作しなくなる可能性があります。この手順の実行後は、デフォルトのドメイン GPO 内で構成されたすべての設定が失われるため、必要な設定を再度構成および適用する必要があります。

はじめに

この資料では、ドメイン GPO 内のデフォルトのセキュリティ設定をリセットする方法について、順を追って説明します。ドメイン GPO ではテンプレートが使用され、デフォルトではアカウント ポリシーに関連付けられているデフォルトのセキュリティ設定のみが有効になっています。初期状態では、他の設定は有効になっていません。これらのデフォルト設定を変更するには、グループ ポリシー オブジェクト エディタを使用して、[コンピュータの構成] の [Windows の設定] にある [セキュリティの設定] コンテナ内の設定を個別に変更します。

場合によっては、デフォルト設定を変更したり、他の設定を有効または無効にしたりすると、望ましくない影響が発生することがあります。このような影響は、ユーザー アカウントに予期しない制限が存在する場合に発生する可能性があります。予期しない変更が発生した場合や、変更が記録されなかったためにどのような変更が行われたのかわからない場合は、これらのセキュリティ設定をデフォルトに戻す必要がある場合もあります。

Sysvol フォルダの内容を手動で再構築した場合や、「サポート技術情報」 (Microsoft Knowledge Base) の資料 253268 で説明されている手順に従ってバックアップから Sysvol フォルダを復元した場合にも、このような影響が発生することがあります。 関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
253268 [NT]該当する Sysvol コンテンツがない、グループ ポリシーのエラー メッセージ

Gpttmpl.inf ファイル内のデフォルト設定のリセット

警告 : GPO テンプレートの構成を正しく行わないと、ドメイン コントローラが動作しなくなる可能性があるため、次の手順を実行するときは十分に注意してください。次の手順を実行する前に、Gpttmpl.inf ファイルのバックアップを取っておく必要があります。また、必ず次に示す特定の GUID またはパスにある Gpttmpl.inf ファイルを編集してください。別の GUID には、ドメイン コントローラのグループ ポリシー設定のユーザー設定を制御する同様の Gpttmpl.inf ファイルがあります。
  1. Gpttmpl.inf ファイルをメモ帳などのテキスト エディタで開きます。このファイルが格納されているフォルダは次のとおりです。sysvol path は Sysvol フォルダのパスです。Sysvol フォルダのデフォルトのパスは %SystemRoot@\Sysvol です。
    sysvol path\domain name\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\Microsoft\Windows NT\SecEdit
  2. セキュリティ設定をすべてデフォルト設定に戻すには、Gpttmpl.inf ファイル内の既存の情報を、次のデフォルトの情報に置き換えます。これを行うには、これらの情報をコピーして現在の Gpttmpl.inf ファイルに貼り付けます。
    [Unicode]
    Unicode=yes
    [System Access]
    MinimumPasswordAge = 0
    MaximumPasswordAge = 42
    MinimumPasswordLength = 0
    PasswordComplexity = 0
    PasswordHistorySize = 1
    LockoutBadCount = 0
    RequireLogonToChangePassword = 0
    ForceLogoffWhenHourExpire = 0
    ClearTextPassword = 0
    [Kerberos Policy]
    MaxTicketAge = 10
    MaxRenewAge = 7
    MaxServiceAge = 600
    MaxClockSkew = 5
    TicketValidateClient = 1
    [Version]
    signature="$CHICAGO$"
    Revision=1
  3. Gpttmpl.inf ファイルを保存します。

GPO バージョンの増加

ポリシー変更が確実に保持されるように、GPO のバージョンを上げます。このためには、次のいずれかの方法を使用します。
  • 方法 1 : グループ ポリシー オブジェクト エディタを使用する
    1. グループ ポリシー オブジェクト エディタを開きます。
    2. 変更を加えます。
    3. グループ ポリシー オブジェクト エディタを閉じます。
  • 方法 2 : Gpt.ini ファイルを手動で編集する

    GPO のバージョンを手動で上げるには、グループ ポリシー テンプレートのバージョン番号を制御する Gpt.ini ファイルを編集します。これを行うには、次の手順を実行します。
    1. Gpt.ini ファイルをメモ帳などのテキスト エディタで開きます。このファイルが格納されているフォルダは次のとおりです。sysvol path は Sysvol フォルダのパスです。Sysvol フォルダのデフォルトのパスは %SystemRoot@\Sysvol です。
      sysvol path\domain name\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}
    2. グループ ポリシーがリセットされる前に、通常の複製によって新しいバージョン番号が古くなるようなことのないように、バージョン番号を十分に大きな番号に変更します。バージョン番号を上げるための好ましい方法は、バージョン番号の末尾に "0" を追加するか、バージョン番号の先頭に "1" を追加することです。
    3. Gpt.ini ファイルを保存して閉じます。

新しい GPO の適用


新しい GPO を適用するには、Secedit ツールを使用して GPO を手動で更新します。これを行うには、コマンド プロンプトで secedit /refreshpolicy machine_policy /enforce と入力し、Enter キーを押します。その後、イベント ビューアでアプリケーション ログを参照してイベント 1704 が発生したかどうか調べ、ポリシーが正常に伝達されたことを確認します。

: この手順の実行後は、前に構成されていたグループ ポリシーの設定が削除されます。グループ ポリシー オブジェクト エディタを使用して、これらの設定を再度構成および適用する必要があります。

関連情報

グループ ポリシーの設定を更新する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
227448 Secedit.exe を用いてグループ ポリシーを再適用する
デフォルト ドメイン コントローラの GPO でユーザー権利をリセットする方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
267553 デフォルト ドメイン コントローラのグループ ポリシー オブジェクトでユーザー権利をリセットする方法

プロパティ

文書番号: 226243 - 最終更新日: 2006年2月6日 - リビジョン: 4.1
この資料は以下の製品について記述したものです。
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
キーワード:?
kbhowtomaster kbnetwork KB226243
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com