ユーザー定義のローカル グループの制限されたグループ ("所属するグループ") の動作に対する更新プログラム

文書番号: 810076 - 対象製品
すべて展開する | すべて折りたたむ

目次

概要

Microsoft Windows 2000 Service Pack 4 (SP4) より前の Microsoft Windows のバージョンでは、グループ ポリシーで制限されたグループの [所属するグループ] セキュリティ設定を使用して、ドメイン グループをメンバ コンピュータ上のローカル グループに追加することはできません。制限されたグループの動作は、Windows 2000 SP4 および Microsoft Windows Server 2003 ファミリで更新されました。Microsoft Windows XP Service Pack 1 (SP1) では、修正プログラムを適用して、制限されたグループの動作を更新する必要があります。この資料では、制限されたグループ機能に対する変更点について説明します。
先頭へ戻る | フィードバック

詳細

制限されたグループの [所属するグループ] 機能を使用して、ドメイン グループをローカル グループに追加できるようになりました。[所属するメンバ] および [所属するグループ] など、制限されたグループ機能の詳細については、Windows Server 製品のマニュアルで "制限されたグループ" に関する項目を参照してください。

Windows XP

Service Pack の情報

この問題を解決するには、Windows XP の最新の Service Pack を入手します。関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
322389
(http://support.microsoft.com/kb/322389/ )
最新の Windows XP Service Pack を入手する方法

修正プログラムの情報

マイクロソフトでは、この製品のデフォルトの動作を変更する、サポートされた機能を用意していますが、この機能はこの資料に記載された動作のみを修正することを目的としており、この機能を必要とするコンピュータに対してのみ適用することを推奨します。この機能は、今後さらにテストを行う場合があります。したがって、この機能の不足により深刻な影響を受けていない場合は、この機能が含まれる次の Windows XP Service Pack がリリースされるまで待つことを推奨します。

この機能を入手するには、Microsoft Product Support Services にお問い合わせください。Microsoft Product Support Services の電話番号一覧およびサポート料金については、次のマイクロソフト Web サイトを参照してください。
http://support.microsoft.com/contactus/?ws=support
(http://support.microsoft.com/contactus/?ws=support)
この機能 (英語版) のファイル属性は次表のとおりです。ただし、これより新しい機能がリリースされている可能性もあります。各ファイルの日付および時刻は、世界協定時刻 (UTC) で示されています。ファイル情報に表示される時刻は、ローカル時刻に変換されています。UTC とローカル時刻との時差を確認するには、コントロール パネルの [日付と時刻] の [タイム ゾーン] タブを使用してください。
   日付            時刻     バージョン       サイズ    ファイル名  プラットフォーム
   ----------------------------------------------------------------
   31-Jan-2003  02:53  5.1.2600.1163  849,408  Scesrv.dll  IA64
   31-Jan-2003  02:53  5.1.2600.1163  307,712  Scesrv.dll  i386

ドメイン グループをローカル グループに追加する

この機能が適切なすべてのコンピュータにインストールされていることを確認したら、制限されたグループの [所属するグループ] の設定を使用して、ドメイン グループを (ビルトインまたはカスタムの) ローカル グループに追加することができます。[所属するグループ] ポリシーを、任意のサイト、ドメイン、または組織単位 (OU) にリンクされる複数のグループ ポリシー オブジェクト (GPO) の特定のグループに対して定義することができます。これにより、すべてのポリシーが有効になります。たとえば、以下の表で示されているように、Domain Admins をローカルの Administrators グループに追加するポリシーを作成し、My Management Admins グループをローカルの Administrators グループに追加するポリシーを追加することができます。このグループは、ドメイン レベルの GPO にリンクされています。また、My Organizational Unit Regional Admins グループをローカルの Administrators グループに追加するポリシーを作成することもできます。このグループは、OU レベルの GPO にリンクされています。すべてのポリシーが有効になります。

表 1 : ドメイン グループをローカル グループに追加する
元に戻す全体を表示する
制限されたグループのポリシーを定義するドメイン グループ "所属するグループ" エントリ : メンバ コンピュータ上のローカル グループ 制限されたグループのポリシーが定義される GPO レベル 結果
Domain Admins (ドメインのビルトイン) Administrators (ローカルのビルトイン) ドメイン レベル Administrators グループに、Domain Admins、My Management Admins、および My Organizational Unit Admins が含まれます。
My Management Admins (ドメインのカスタム) Administrators (ローカルのビルトイン) ドメイン レベル Administrators グループに、Domain Admins、My Management Admins、および My Organizational Unit Admins が含まれます。
My Organizational Unit Regional Admins (地域の OU カスタム) Administrators (ローカルのビルトイン) OU レベル Administrators グループに、Domain Admins、My Management Admins、および My Organizational Unit Admins が含まれます。

複数の GPO 間で同一のドメイン グループをローカル グループに追加する

複数の GPO で、複数の制限されたグループのポリシーを同一のグループに作成した場合、1 つのポリシーのみが有効になります。同一のグループに関する制限されたグループのポリシーは、GPO 間でマージされません。有効なポリシーは、グループ ポリシーの処理順によって決まります。グループ ポリシーの階層および処理順の関連情報については、以下の Microsoft Developer Network (MSDN) Web サイトを参照してください。
http://msdn2.microsoft.com/en-us/library/aa374155.aspx
(http://msdn2.microsoft.com/en-us/library/aa374155.aspx)
たとえば、以下の表で示されているように、Domain Admins に対して、2 つの制限されたグループのポリシーが定義されているとします。1 つの制限されたグループのポリシーはドメイン レベルで定義されており、Domain Admins をローカルの Administrators グループに追加します。もう 1 つの制限されたグループのポリシーは、OU レベルで定義されており、Domain Admins グループを My Regional Division Admins に追加します。この場合、Domain Admins は、My Regional Division Admins のみに追加されます。これは、OU レベルでリンクされた GPO はデフォルトで、ドメイン レベルで定義された GPO より優先されるためです。

表 2 : 複数の GPO 間で同一のドメイン グループをローカル グループに追加する
元に戻す全体を表示する
制限されたグループのポリシーを定義するドメイン グループ "所属するグループ" エントリ : メンバ コンピュータ上のローカル グループ 制限されたグループのポリシーが定義される GPO レベル 結果
Domain Admins (ドメインのビルトイン) Administrators (ローカルのビルトイン) ドメイン レベル GPO が処理されるしくみのため、Domain Admins は、My Regional Division Admins グループにのみ追加されます。
Domain Admins (ドメインのビルトイン) My Regional Division Admins (ローカルのカスタム) OU GPO が処理されるしくみのため、Domain Admins は、My Regional Division Admins グループにのみ追加されます。

ドメイン コントローラ

以前のバージョンの Windows では、[所属するメンバ] が空の、制限されたグループをドメイン コントローラで処理する場合、[所属するグループ] の設定にかかわらず、ポリシーが適用されるときに、すべてのメンバがグループから削除されます。たとえば、[所属するメンバ] を空にして、ドメイン レベルで Domain Admins に関する制限されたグループ ポリシーを作成し、[所属するグループ] にローカルの Administrators を指定すると、ポリシーが適用されるときに、Domain Admins グループのすべてのメンバ (ビルトインの Administrator アカウントも含む) が削除され、空の Domain Admins グループがローカルの Administrators グループに追加されます。

この動作は、Windows 2000 SP4、Windows XP Service Pack 2 (SP2) および Windows Server 2003 で修正されています。これらのいずれかのバージョンの Windows を実行するコンピュータに対して、[所属するグループ] が定義済みで、[所属するメンバ] が空の、制限されたグループのポリシーを適用すると、[所属するメンバ] は無視され、グループ メンバシップは削除されません。

この更新プログラムで有効にされる制限されたグループ機能を使用して、ドメイン コントローラ、メンバ サーバーまたはワークステーションを構成する場合、それらすべてで Windows 2000 SP4、Windows XP SP2 または Windows Server 2003 が実行されていることを確認し、ドメイン グループ メンバシップが予期せず変更されることがないようにします。

メンバ サーバーおよびワークステーションでは、この状況での動作は以前と変わりません。

"所属するメンバ" および "所属するグループ" の制限されたグループ ポリシーをローカル グループに適用する

可能であれば、ドメイン グループをローカル グループに追加する、制限されたグループのポリシーを定義してから、そのローカル グループのメンバシップを制限する、もう 1 つの制限されたグループのポリシーを定義します。2 つの制限されたグループのポリシーが処理される順序は定義されていないため、そのローカル グループの最後のグループ メンバシップを予測することはできません。たとえば、以下の表で示されているように、Domain Admins をローカルの Administrators グループに追加する、制限されたグループのポリシーを作成し、そのローカルの Administrators グループのメンバシップを、ビルトインの Administrator アカウントに制限する、制限されたグループのポリシーを作成した場合、有効になるポリシーを予測することはできません。Administrators メンバシップが制限される前に、Domain Admins がローカル Administrators グループに追加されると、Domain Admins がローカル Administrators グループに追加されてから、削除されます。ただし、Domain Admins が Administrators グループに追加される前に、ローカル Administrators グループ メンバシップが制限される場合、Domain Admins は、ローカルの Administrators グループに残ります。

表 3 : 制限されたメンバシップを使用してドメイン グループをローカル グループに追加する
元に戻す全体を表示する
制限されたグループのポリシーを定義するグループ "所属するメンバ" エントリ "所属するグループ" エントリ 生成されるグループ メンバシップ
Domain Admins (ドメインのビルトイン) なし Administrators (ローカルのビルトイン) ローカルの Administrators グループの最後のグループ メンバシップを予測することはできません。
Administrators (ローカルのビルトイン) Administrator (ローカルのビルトイン) なし ローカルの Administrators グループの最後のグループ メンバシップを予測することはできません。
必要なメンバシップを取得するには、[所属するメンバ] または [所属するグループ] のいずれかの制限されたグループのポリシーを排他的に使用します。表 3 の例では、必要な Administrators グループ メンバシップを取得するために、ローカルの Administrators グループの制限されたグループ ポリシーで、Domain Admins を [所属するメンバ] エントリに追加します。

Windows 2000

Service Pack の情報

この問題を解決するには、Microsoft Windows 2000 の最新の Service Pack を入手します。関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
260910
(http://support.microsoft.com/kb/260910/ )
最新の Windows 2000 Service Pack の入手方法

修正プログラムの情報

マイクロソフトでは、この製品のデフォルトの動作を変更する、サポートされた機能を用意していますが、この機能はこの資料に記載された動作のみを修正することを目的としており、この機能を必要とするコンピュータに対してのみ適用することを推奨します。この機能は、今後さらにテストを行う場合があります。したがって、この機能の不足により深刻な影響を受けていない場合は、この機能が含まれる次の Windows 2000 Service Pack がリリースされるまで待つことを推奨します。

この機能を入手するには、Microsoft Product Support Services にお問い合わせください。Microsoft Product Support Services の電話番号一覧およびサポート料金については、次のマイクロソフト Web サイトを参照してください。
http://support.microsoft.com/contactus/?ws=support
(http://support.microsoft.com/contactus/?ws=support)
修正プログラム (英語版) のファイル属性は次表のとおりです。ただし、これより新しい修正プログラムがリリースされている可能性もあります。各ファイルの日付および時刻は、世界協定時刻 (UTC) で示されています。ファイル情報に表示される時刻は、ローカル時刻に変換されています。UTC とローカル時刻との時差を確認するには、コントロール パネルの [日付と時刻] の [タイム ゾーン] タブを使用してください。
 日付            時刻     バージョン           サイズ      ファイル名
 -------------------------------------------------------------
 07-Nov-2002  22:33   5.0.2195.6109    124,688   Adsldp.dll
 07-Nov-2002  22:33   5.0.2195.5781    131,344   Adsldpc.dll
 07-Nov-2002  22:33   5.0.2195.6109     62,736   Adsmsext.dll
 07-Nov-2002  22:33   5.0.2195.6052    358,160   Advapi32.dll
 07-Nov-2002  22:33   5.0.2195.6094     49,936   Browser.dll
 07-Nov-2002  22:33   5.0.2195.6012    135,952   Dnsapi.dll
 07-Nov-2002  22:33   5.0.2195.6076     96,016   Dnsrslvr.dll
 15-Nov-2001  23:27                      5,149   Empty.cat
 07-Nov-2002  22:33   5.0.2195.5722     45,328   Eventlog.dll
 07-Nov-2002  22:33   5.0.2195.6059    146,704   Kdcsvc.dll
 01-Nov-2002  18:52   5.0.2195.6112    204,048   Kerberos.dll
 21-Aug-2002  16:27   5.0.2195.6023    71,248    Ksecdd.sys
 07-Nov-2002  02:02   5.0.2195.6118    507,664   Lsasrv.dll
 07-Nov-2002  02:02   5.0.2195.6118     33,552   Lsass.exe
 27-Aug-2002  22:53   5.0.2195.6034    108,816   Msv1_0.dll
 07-Nov-2002  22:33   5.0.2195.5979    307,472   Netapi32.dll
 07-Nov-2002  22:33   5.0.2195.6075    360,720   Netlogon.dll
 07-Nov-2002  22:33   5.0.2195.6100    920,848   Ntdsa.dll
 07-Nov-2002  22:33   5.0.2195.6100    389,392   Samsrv.dll
 07-Nov-2002  22:33   5.0.2195.6120    130,320   Scecli.dll
 07-Nov-2002  22:33   5.0.2195.6120    303,888   Scesrv.dll
 07-Nov-2002  01:56   5.0.2195.6118    139,264   Sp3res.dll
 07-Nov-2002  00:05         5.3.9.0      4,096   Spmsg.dll
 07-Nov-2002  00:06         5.3.9.0     87,040   Spuninst.exe
 07-Nov-2002  22:33   5.0.2195.5859     48,912   W32time.dll
 04-Jun-2002  21:32   5.0.2195.5859     57,104   W32tm.exe
 07-Nov-2002  22:33   5.0.2195.6100    126,224   Wldap32.dll
 07-Nov-2002  02:02   5.0.2195.6118    507,664   Lsasrv.dll     --   56-bit
Windows 2000 Datacenter Server 用の修正プログラムの入手方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
265173
(http://support.microsoft.com/kb/265173/ )
Datacenter Program と Windows 2000 Datacenter Server
複数の Windows 更新プログラムまたは修正プログラムのインストールを 1 回の再起動のみで行う方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
296861
(http://support.microsoft.com/kb/296861/ )
複数の Windows 更新プログラムまたは修正プログラムを同時にインストールし、再起動を 1 回で済ませる方法
先頭へ戻る | フィードバック

プロパティ

文書番号: 810076 - 最終更新日: 2011年5月15日 - リビジョン: 3.0
この資料は以下の製品について記述したものです。
  • Microsoft Windows 2000 Service Pack 4
  • Microsoft Windows Server 2003 Service Pack 2
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Microsoft Windows XP Professional
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Ultimate
  • Windows 7 Professional
  • Windows 7 Enterprise
  • Windows 7 Ultimate
キーワード:?
kbhotfixserver kbqfe kbwinxpsp2fix kbsecurity kbwin2ksp4fix kbwin2000presp4fix kbfix KB810076
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"
先頭へ戻る | フィードバック

フィードバック

 
先頭へ戻る先頭へ戻る