Windows サーバー 2008 R2、Windows Server 2008、Windows Server 2003、および Windows 2000 Server での Gpo の既定のアクセス許可を変更する方法

文書翻訳 文書翻訳
文書番号: 321476
すべて展開する | すべて折りたたむ

目次

概要

グループ ポリシー オブジェクト (Gpo) を防ぐには、信頼されたグループのポリシーを変更する管理者のグループのセキュリティを強化することができます。これを行うには、グループ ポリシー コンテナーのclassScemaオブジェクトのDefaultSecurityDescriptor属性を変更することによって。ただし、変更は新しく作成した Gpo のみ影響します。既存の Gpo には、グループ ポリシー コンテナーに直接の権限を変更できます (CN {GPO_GUID}、= CN = システム, DC = ドメイン... =) およびグループ ポリシー テンプレート (\\domain\SYSVOL\Policies\{GPO_GUID})。ここも管理用テンプレート (ADM ファイル)、グループ ポリシー テンプレートに不注意でアンマネージ ワークステーションに ADM ファイル更新を防止できます。

詳細

新しい Active Directory オブジェクトが作成されると、そのスキーマ内のclassSchema オブジェクトDefaultSecurityDescriptor属性で指定されているアクセス許可が適用されます。GPO を作成する場合は、このため、そのgroupPolicyContainerオブジェクトの ACL からDefaultSecurityDescriptor属性で受信、 CN グループ ・ ポリシー ・ コンテナー、CN = スキーマでは、CN = 構成、DC = forestroot... =オブジェクト。グループ ポリシー エディターでもこれらのアクセス許可、フォルダー、サブフォルダーおよびファイルには、グループ ポリシーのテンプレート (SYSVOL\Policies\ {GPO_GUID}) に適用されます。

グループ ポリシー コンテナーのclassSchemaオブジェクトのDefaultSecurityDescriptor属性を変更するのには、次の手順を使用できます。スキーマの変更のため、完全なレプリケーションすべて Gc のフォレスト全体で起動するに注意してください。スキーマのアクセス許可は、セキュリティ記述子定義言語 (SDDL) を使用して書き込まれます。SDDL の詳細については、次のマイクロソフト Web サイトを参照してください。
http://msdn2.microsoft.com/en-us/library/aa379567.aspx
グループ ポリシー コンテナーのclassSchemaオブジェクトのDefaultSecurityDescriptor属性を変更するには。
  1. フォレストのスキーマ マスター ドメイン コント ローラー スキーマ管理者グループのメンバーであるアカウントでログオンします。
  2. Mmc.exe を起動し、[スキーマ] スナップインを追加します。
  3. Active Directory スキーマ] を右クリックし、[操作マスター] をクリックします。
  4. クリック このドメイン コント ローラーでスキーマの修正があります。をクリックし、[ OK] をクリックします。
  5. スキーマ名前付けコンテキストを開きを検索するには、ADSI エディターを使用して、 CN = グループ ・ ポリシー ・ コンテナーclassSchema型のオブジェクト。
  6. オブジェクトのプロパティを表示し、[ defaultSecurityDescriptor属性を検索します。
  7. 貼り付け、次の文字列値を削除するには、エンタープライズの管理者のみが書き込みアクセス許可を必要があるありますようには、ドメイン管理者のアクセス許可を記述します。
    D:P(A;CI。RPLCLOLORC;;A) (A;CI。RPWPCCDCLCLOLORCWOWDSDDTSW;;EA) (A;CI。RPWPCCDCLCLOLORCWOWDSDDTSW;;CO)(A;CI。RPWPCCDCLCLORCWOWDSDDTSW;;SY) (A;CI。RPLCLORC;;AU) (OA。CI。CR; edacfd8f-ffb3-11d1-b41d-00a0c968f939;AU)
    追加のグループの書き込みのアクセス許可を付与するには、前のテキストの末尾に次のテキストを追加します。
    (A;CI。RPWPCCDCLCLOLORCWOWDSDDTSW;;Group_SID)
    注意してください。 Group_SID アクセス許可の割り当ては、グループの SID です。

    Windows Server 2003 では、 defaultSecurityDescriptor属性で、次の文字列を貼り付けます。
    D:P(A;CI。RPLCLOLORC;;A) (A;CI。RPWPCCDCLCLOLORCWOWDSDDTSW;;EA) (A;CI。RPWPCCDCLCLOLORCWOWDSDDTSW;;CO)(A;CI。RPWPCCDCLCLORCWOWDSDDTSW;;SY) (A;CI。RPLCLORC;;AU) (OA。CI。CR; edacfd8f-ffb3-11d1-b41d-00a0c968f939;AU) (A;CI。LCRPLORC;;ED)


    DefaultSecurityDescriptor属性を変更する、セキュリティ記述子、既存の Gpo を変更されません。ただし、上記の完全な文字列を使用して sdutil.exe などのツールと組み合わせて内の既存の Gpo の ACL を置き換えますことができます。
  8. 新しい文字列に貼り付け、 属性を編集します。 ボックス、設定] をクリックして、 [適用] をクリックし、[ OK] をクリックします。
ドメイン管理者またはエンタープライズ管理者のアクセスを制限しようとしている場合は、Grouppolicycontainer オブジェクトのスキーマの既定のアクセス許可に拒否を置く必要があります。作成されたときこれらのグループは、グループ ポリシー オブジェクトに ACL の詳細を追加します。ドメイン管理者を Domain Admins を追加する必要があり、企業の管理者の管理者の追加します。拒否を追加すると、唯一の restirict これらのグループです。

X x64 ベース バージョンの Microsoft Windows のテクニカル サポートに

ハードウェアの製造元は、テクニカル サポートおよび x x64 ベース バージョンの Windows のヘルプを提供します。X x64 ベース バージョンの Windows がハードウェアに搭載されているため、ハードウェアの製造元がサポートされます。Windows 固有のコンポーネントをインストール、ハードウェアの製造元をカスタマイズしている可能性があります。一意のコンポーネントは、固有のデバイス ドライバーを含めることができます。 または、ハードウェアのパフォーマンスを最大化するオプションの設定を含めることができます。X x64 ベース バージョンの Windows とテクニカル ヘルプが必要な場合は、マイクロソフトの合理的なサポートを提供します。ただし、製造元に直接連絡する必要があります。製造元は、ハードウェアの製造元がインストールしたソフトウェアをサポートする最適な修飾されます。

については、Microsoft Windows XP Professional x64 Edition の製品情報については、次のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/windowsxp/64bit/default.mspx
製品情報については x x64 ベース バージョンの Microsoft Windows Server 2003、次のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/windowsserver2003/64bit/x64/editions.mspx

プロパティ

文書番号: 321476 - 最終更新日: 2012年5月25日 - リビジョン: 1.0
キーワード:?
kbhowto kbgrppolicyinfo kbenv kbmt KB321476 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:321476
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com