デフォルト ドメイン コントローラのグループ ポリシー オブジェクトでユーザー権利をリセットする方法

文書翻訳 文書翻訳
文書番号: 267553 - 対象製品
すべて展開する | すべて折りたたむ

概要

デフォルト ドメイン コントローラのグループ ポリシー オブジェクト (GPO) には、多くのデフォルトのユーザー権利設定が含まれています。場合によっては、デフォルトの設定を変更すると、望ましくない結果になることがあります。この結果、ユーザー権利に予想外の制限が設定されてしまうことがあります。変更が予想外の場合、または変更が記録されていないため、加えられた変更内容がわからない場合は、ユーザー権利設定のデフォルトへのリセットが必要になることがあります。

Sysvol フォルダの内容が手動で再構築された場合、または次の「サポート技術情報」 (Microsoft Knowledge Base) の資料に記載されている手順を使用して、 Sysvol フォルダがバックアップから復元された場合も、この状況になることがあります。
253268 [NT] 該当する Sysvol コンテンツがない、グループ ポリシーのエラー メッセージ


ドメイン コントローラのコンソールにログオンしようとする際に、次のエラー メッセージが表示される場合にも、ユーザー権利 SeInteractiveLogonRight および SeDenyInteractiveLogonRight 設定のデフォルトへのリセットが必要になることがあります。
このシステムのローカル ポリシーは、このユーザーが対話的にログオンすることを許可していません。

詳細

GPO でユーザー権利の割り当てをリセットするには、次の 3 つの手順が必要です。
  1. GptTmpl.inf ファイルを編集する。
  2. グループ ポリシーのバージョンを増加させる (この変更は Gpt.ini 内で行われます)。
  3. 新しいグループ ポリシーを適用する。
: これらの手順を実行する場合は、注意してください。GPO テンプレートを誤って設定すると、ドメイン コントローラが機能しなくなることがあります。
  1. GptTmpl.inf ファイルを編集します。GptTmpl.inf ファイルを編集することにより、ユーザー権利の設定がデフォルトにリセットされることがあります。このファイルは、Sysvol フォルダの下の Group Policy フォルダにあります。
    sysvol パス\sysvol\ドメイン名\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit
    : Sysvol フォルダのデフォルトのパスは、%SystemRoot%\Sysvol です。

    ユーザー権利をデフォルトの設定に完全にリセットするには、GptTmpl.inf ファイル内の既存の情報を、デフォルトのユーザー権利情報で置き換えます。次の該当するセクションをコピーして、既存の GptTmpl.inf ファイルに貼り付けることができます。

    各テンプレートに対するアクセス許可の設定に注意してください。希望するユーザー権利設定に基づいて、インストールに対する正しいテンプレートを使用する必要があります。

    : これらの変更を行う前に、GptTmpl.inf ファイルをバックアップすることを強くお勧めします。

    Windows 2000 以前のユーザーと互換性があるアクセス許可

       [Unicode]
       Unicode=yes
       [Event Audit]
       AuditSystemEvents = 0
       AuditLogonEvents = 0
       AuditObjectAccess = 0
       AuditPrivilegeUse = 0
       AuditPolicyChange = 0
       AuditAccountManage = 0
       AuditProcessTracking = 0
       AuditDSAccess = 0
       AuditAccountLogon = 0
       [Privilege Rights]
       SeAssignPrimaryTokenPrivilege =
       SeAuditPrivilege =
       SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeBatchLogonRight = 
       SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeCreatePagefilePrivilege = *S-1-5-32-544
       SeCreatePermanentPrivilege =
       SeCreateTokenPrivilege =
       SeDebugPrivilege = *S-1-5-32-544
       SeIncreaseBasePriorityPrivilege = *S-1-5-32-544
       SeIncreaseQuotaPrivilege = *S-1-5-32-544
       SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeLoadDriverPrivilege = *S-1-5-32-544
       SeLockMemoryPrivilege =
       SeMachineAccountPrivilege = *S-1-5-11  
       SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeProfileSingleProcessPrivilege = *S-1-5-32-544
       SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeSecurityPrivilege = *S-1-5-32-544
       SeServiceLogonRight =
       SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeSystemEnvironmentPrivilege = *S-1-5-32-544
       SeSystemProfilePrivilege = *S-1-5-32-544
       SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeTakeOwnershipPrivilege = *S-1-5-32-544
       SeTcbPrivilege =
       SeDenyInteractiveLogonRight =
       SeDenyBatchLogonRight =
       SeDenyServiceLogonRight =
       SeDenyNetworkLogonRight =
       SeUndockPrivilege = *S-1-5-32-544
       SeSyncAgentPrivilege =
       SeEnableDelegationPrivilege = *S-1-5-32-544
       [Version]
       signature="$CHICAGO$"
       Revision=1
       [Registry Values]
       MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1
    
    : インターネット インフォメーション サービスがインストールされている場合は、次のユーザー アカウントを、これらの権利に対して既に表示されているユーザー アカウントに追加する必要があります。
       SeBatchLogonRight = IWAM_%servername%,IUSR_%servername%
       SeInteractiveLogonRight = IUSR_%servername%
       SeNetworkLogonRight = IWAM_%servername%,IUSR_%servername%
    
    %servername% 変数はプレースホルダで、コンピュータの設定を反映するように編集する必要があります。

    たとえば、次のようになります。
    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0, IWAM_testserver1, IUSR_testserver1
    
    : ターミナル サービスがインストールされている場合は、次のユーザー アカウントを、これらの権利に対して既に表示されているユーザー アカウントに追加する必要があります。
       SeInteractiveLogonRight = TsInternetUser
    
    たとえば、次のようになります。
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544, TsInternetUser
    
    または次のようになります。
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544,IWAM_testserver1, IUSR_testserver1,TsInternetUser
    

    Windows 2000 ユーザーだけと互換性があるアクセス許可

       [Unicode]
       Unicode=yes 
       [Event Audit]
       AuditSystemEvents = 0
       AuditLogonEvents = 0
       AuditObjectAccess = 0
       AuditPrivilegeUse = 0
       AuditPolicyChange = 0
       AuditAccountManage = 0
       AuditProcessTracking = 0
       AuditDSAccess = 0  
       AuditAccountLogon = 0
       [Privilege Rights]
       SeAssignPrimaryTokenPrivilege =
       SeAuditPrivilege =
       SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeBatchLogonRight = 
       SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeCreatePagefilePrivilege = *S-1-5-32-544
       SeCreatePermanentPrivilege =
       SeCreateTokenPrivilege =
       SeDebugPrivilege = *S-1-5-32-544
       SeIncreaseBasePriorityPrivilege = *S-1-5-32-544
       SeIncreaseQuotaPrivilege = *S-1-5-32-544
       SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeLoadDriverPrivilege = *S-1-5-32-544
       SeLockMemoryPrivilege =
       SeMachineAccountPrivilege = *S-1-5-11
       SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeProfileSingleProcessPrivilege = *S-1-5-32-544
       SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeSecurityPrivilege = *S-1-5-32-544
       SeServiceLogonRight =
       SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeSystemEnvironmentPrivilege = *S-1-5-32-544
       SeSystemProfilePrivilege = *S-1-5-32-544
       SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeTakeOwnershipPrivilege = *S-1-5-32-544
       SeTcbPrivilege =
       SeDenyInteractiveLogonRight =
       SeDenyBatchLogonRight =
       SeDenyServiceLogonRight =
       SeDenyNetworkLogonRight =
       SeUndockPrivilege = *S-1-5-32-544
       SeSyncAgentPrivilege =
       SeEnableDelegationPrivilege = *S-1-5-32-544
       [Version]
       signature="$CHICAGO$"
       Revision=1
       [Registry Values]
       MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1
    
    : インターネット インフォメーション サービスがインストールされている場合は、次のユーザー アカウントを、これらの権利に対して既に表示されているユーザー アカウントに追加する必要があります。servername 変数はプレースホルダで、コンピュータの設定を反映するように編集する必要があります。
       SeBatchLogonRight = IWAM_servername,IUSR_servername
       SeInteractiveLogonRight = IUSR_servername
       SeNetworkLogonRight = IUSR_servername
    
    新しい GptTmpl.inf ファイルを保存して閉じます。


  2. グループ ポリシーのバージョンを増加させます。ポリシーの変更が確実に保持されるようにするためには、グループ ポリシーのバージョンを増加させる必要があります。グループ ポリシー テンプレートのバージョン番号は、Gpt.ini ファイルにより制御されます。
    1. 次の場所から Gpt.ini ファイルを開きます。
      sysvol パス\sysvol\ドメイン名\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}
    2. グループ ポリシーがリセットされる前に、通常の複製によって新しいバージョン番号が古くなるようなことのないように、バージョン番号を十分に大きな番号に変更します。バージョン番号を増加させる好ましい方法は、バージョン番号の末尾に "0" を追加するか、バージョン番号の先頭に "1" を追加することです。
    3. Gpt.ini ファイルを保存して閉じます。
  3. 新しいグループ ポリシーを適用します。Secedit を使用して、グループ ポリシーを手動で更新します。これは、コマンド プロンプトで次の行を入力することにより実行できます。
    secedit /refreshpolicy machine_policy /enforce
    イベント ビューアで、イベント番号 "1704" のアプリケーション ログをチェックして、ポリシーの伝達が成功していることを確認します。 グループ ポリシーの更新の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    227448 Secedit.exe を用いてグループ ポリシーを再適用する

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 267553 (最終更新日 2003-09-22) を基に作成したものです。

プロパティ

文書番号: 267553 - 最終更新日: 2004年6月16日 - リビジョン: 4.0
この資料は以下の製品について記述したものです。
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
キーワード:?
kbhowto kbgpo KB267553
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com