"認証後にクライアントを偽装" および "グローバル オブジェクトの作成" のセキュリティ設定の概要

文書翻訳 文書翻訳
文書番号: 821546 - 対象製品
すべて展開する | すべて折りたたむ

目次

概要

この資料では、"認証後にクライアントを偽装" および "グローバル オブジェクトの作成" のユーザー権利について説明します。これらは Windows 2000 Service Pack 4 (SP4) で初めて導入された新しいセキュリティ設定であり、Windows 2000 のセキュリティの強化に役立ちます。この資料では、新しいセキュリティ設定、および発生する可能性のある既知の問題とそのトラブルシューティングの方法に関する情報について説明します。

重要 : デフォルトのドメイン ポリシーまたはグループ ポリシーを使用して "認証後にクライアントを偽装" および "グローバル オブジェクトの作成" のユーザー権利を適用する場合は、次の点を考慮してください。
  • "認証後にクライアントを偽装" および "グローバル オブジェクトの作成" のユーザー権利は、Windows 2000 SP4 以降のバージョンを実行しているコンピュータにのみ適用されます。
  • コンピュータが Windows 2000 Service Pack 2 (SP2) 以降のバージョンを実行している環境では、デフォルトのドメイン ポリシーまたはグループ ポリシーを使用して "認証後にクライアントを偽装" および "グローバル オブジェクトの作成" のセキュリティ設定をコンピュータに適用することができます。Windows 2000 SP2 および Windows 2000 Service Pack 3 (SP3) ベースのコンピュータを含む環境でセキュリティ設定を展開することはできますが、セキュリティ設定は Windows 2000 SP4 ベースのコンピュータに "のみ" 適用されることに注意してください。設定は Windows 2000 SP2 または Windows 2000 SP3 を実行しているコンピュータには適用されません。
  • デフォルトのドメイン ポリシーまたは別のグループ ポリシーを使用して、これらの新しいユーザー権利のいずれかまたは両方を Windows 2000 または Windows 2000 Service Pack 1 (SP1) を実行しているコンピュータに適用しないでください。デフォルトのドメイン ポリシーまたは別のグループ ポリシーを使用してこれらのユーザー権利を Windows 2000 または Windows 2000 Service Pack 1 (SP1) を実行しているコンピュータに適用する場合、ポリシーのセキュリティ設定の伝達が失敗します。つまり、ポリシーは Windows 2000 または Windows 2000 SP1 のコンピュータには伝達されず、ユーザー権利はローカル セキュリティ設定スナップインに表示されません。デフォルトのドメイン ポリシーまたは別のグループ ポリシーを使用してこれらの新しいユーザー権利のいずれかまたは両方を Windows 2000 または Windows 2000 Service Pack 1 (SP1) を実行しているコンピュータに適用すると、次のシナリオが発生することがあります。
    • 同じグループ ポリシー オブジェクトに置かれていて、Windows 2000 または Windows 2000 Service Pack 1 (SP1) のデバイスを対象とする追加のセキュリティ ポリシーの設定が、対象のデバイスに伝達されません。
    • 追加のセキュリティ ポリシーの設定が、他のグループ ポリシーを使用して SDOU (サイト、ドメイン、組織単位) のパスに従って Windows 2000 または Windows 2000 Service Pack 1 (SP1) のデバイスに適用された場合、セキュリティ ポリシーの設定は伝達されます。
    • Windows 2000 または Windows 2000 Service Pack 1 (SP1) のデバイスがこれらの新しいセキュリティ設定のいずれかまたは両方の対象とされる場合、それらのデバイス上のローカルの MMC セキュリティ スナップインにセキュリティ設定が何も表示されません。しかし、他のドメイン側のグループ ポリシー オブジェクト (新しい設定が含まれていないもの) から対象のデバイスに適用されるセキュリティ設定はすべて、引き続き対象のデバイスに適用されます。
  • 同様に、ドメイン コントローラで Windows 2000 SP2 以降のバージョンを実行している環境では、デフォルトのドメイン コントローラのセキュリティ ポリシーを使用して、"認証後にクライアントを偽装" および "グローバル オブジェクトの作成" のセキュリティ設定をドメイン コントローラに適用することができます。Windows 2000 SP2 および Windows 2000 SP3 ベースのドメイン コントローラを含む環境でセキュリティ設定を展開することはできますが、セキュリティ設定は Windows 2000 SP4 ベースのドメイン コントローラにのみ適用されることに注意してください。設定は、Windows 2000 SP2 または Windows 2000 SP3 を実行しているドメイン コントローラには適用されません。

"認証後にクライアントを偽装" ユーザー権利 (SeImpersonatePrivilege)

"認証後にクライアントを偽装" ユーザー権利 (SeImpersonatePrivilege) は、Windows 2000 SP4 で最初に使用されるようになった新しい Windows 2000 セキュリティ設定です。デフォルトで、デバイス ローカル Administrators グループのメンバおよびデバイスのローカル Service アカウントに "認証後にクライアントを偽装" ユーザー権利が割り当てられます。次のコンポーネントもこのユーザー権利を持ちます。
  • サービス コントロール マネージャによって開始されるサービス
  • COM インフラストラクチャによって開始され、特定のアカウントで実行するように設定されたコンポーネント オブジェクト モデル (COM) サーバー
"認証後にクライアントを偽装" ユーザー権利をユーザーに割り当てると、そのユーザーに代わって動作するプログラムがクライアントを偽装することを許可することになります。このセキュリティ設定によって、リモート プロシージャ コール (RPC) や名前付きパイプなどの方法で接続しているクライアントを権限のないサーバーが偽装することを防ぐことができます。SeImpersonatePrivilege 関数の詳細については、次のマイクロソフト Web サイトを参照してください。
http://msdn2.microsoft.com/en-us/library/aa375728.aspx
Impersonate 関数 (ImpersonateClient、ImpersonateLoggedOnUser、ImpersonateNamedPipeClient など) の詳細については、Microsoft Platform SDK ドキュメントで SeImpersonatePrivilege を検索してください。このドキュメントは、次のマイクロソフト Web サイトで参照できます。
http://msdn2.microsoft.com/en-us/library/aa375728.aspx

トラブルシューティング

  • Windows 2000 SP4 のインストール後、偽装を使用するプログラムが正しく動作しないことがある

    コンピュータに Windows 2000 Service Pack 4 (SP4) をインストールすると、偽装を使用するプログラムが正しく動作しないことがあります。

    この問題は、プログラムを実行するために使用されるユーザー アカウントが "認証後にクライアントを偽装" ユーザー権利を持たない場合に発生する可能性があります。

    Windows 2000 Service Pack 3 (SP3) 以前のバージョンを実行しているコンピュータでは、クライアントの偽装にユーザー権利は必要ありません。したがって、Windows 2000 SP4 のインストール後、偽装を使用するプログラムが正しく動作しないことがあります。

    この問題を解決するには、プログラムの実行に使用されるユーザー アカウントを特定し、そのユーザー アカウントに "認証後にクライアントを偽装" ユーザー権利を割り当てます。この操作を行うには、次の手順を実行します。
    1. [スタート] ボタンをクリックし、[プログラム]、[管理ツール] を順にポイントし、[ローカル セキュリティ ポリシー] をクリックします。
    2. [ローカル ポリシー] を展開し、[ユーザー権利の割り当て] をクリックします。
    3. 右側のウインドウで、[認証後にクライアントを偽装] をダブルクリックします。
    4. [ローカル セキュリティ ポリシーの設定] ダイアログ ボックスで、[追加] をクリックします。
    5. [ユーザーまたはグループの選択] ダイアログ ボックスで、追加するユーザー アカウントをクリックし、[追加] をクリックして、[OK] をクリックします。
    6. [OK] をクリックします。
    : プログラムの実行に使用されているユーザー アカウントを特定できない場合、および発生している現象の原因がユーザー権利にあることを確認したい場合のトラブルシューティングには、Everyone グループに "認証後にクライアントを偽装" ユーザー権利を割り当て、プログラムを起動します。プログラムが正常に動作する場合、発生している問題の原因は新しいセキュリティ設定にある可能性があります。
  • Visual Studio .NET で Web アプリケーションをデバッグすると、"プロジェクトを実行しようとしているときにエラーが発生しました" というエラー メッセージが表示される

    この問題を解決する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    821255 Visual Studio .NET で Web アプリケーションをデバッグすると、"プロジェクトを実行しようとしているときにエラーが発生しました" というエラー メッセージが表示される

"グローバル オブジェクトの作成" ユーザー権利 (SeCreateGlobalPrivilege)

"グローバル オブジェクトの作成" ユーザー権利 (SeCreateGlobalPrivilege) は、Windows 2000 SP4 で初めて導入された Windows 2000 のセキュリティ設定です。このユーザー権利は、ターミナル サービス セッションでグローバル オブジェクトを作成するユーザー アカウントに必要です。ユーザーは、このユーザー権利が割り当てられていなくてもセッション固有のオブジェクトを依然として作成できることに注意してください。デフォルトでは、Administrators グループのメンバ、システム アカウント、およびサービス コントロール マネージャによって起動されるサービスに "グローバル オブジェクトの作成" ユーザー権利が割り当てられます。

トラブルシューティング

  • Windows 2000 SP4 のインストール後、一部のプログラムが正しく動作しないことがある

    コンピュータに Windows 2000 Service Pack 4 (SP4) をインストールすると、一部のプログラムが正しく動作しないことがあります。この問題は、プログラムを実行するために使用されるユーザー アカウントが "グローバル オブジェクトの作成" ユーザー権利を持たない場合に発生する可能性があります。

    この問題を解決するには、プログラムの実行に使用されるユーザー アカウントを特定し、そのユーザー アカウントに "グローバル オブジェクトの作成" ユーザー権利を割り当てます。この操作を行うには、次の手順を実行します。
    1. [スタート] ボタンをクリックし、[プログラム]、[管理ツール] を順にポイントし、[ローカル セキュリティ ポリシー] をクリックします。
    2. [ローカル ポリシー] を展開し、[ユーザー権利の割り当て] をクリックします。
    3. 右側のウィンドウで、[グローバル オブジェクトの作成] をダブルクリックします。
    4. [ローカル セキュリティ ポリシーの設定] ダイアログ ボックスで、[追加] をクリックします。
    5. [ユーザーまたはグループの選択] ダイアログ ボックスで、追加するユーザー アカウントをクリックし、[追加] をクリックして、[OK] をクリックします。
    6. [OK] をクリックします。
    : プログラムの実行に使用されているユーザー アカウントを特定できない場合、および発生している現象の原因がユーザー権利にあることを確認したい場合のトラブルシューティングには、Everyone グループに "グローバル オブジェクトの作成" ユーザー権利を割り当て、プログラムを起動します。プログラムが正常に動作する場合、発生している問題の原因は新しいセキュリティ設定にある可能性があります。
  • ターミナル サービス セッション中に Office XP ドキュメント内でクリップを検索すると "メモリ不足です" というエラー メッセージが表示される

    この問題の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    821257 ターミナル サービス セッション中に Office ドキュメント内でクリップを検索すると "メモリ不足です" というエラー メッセージが表示される
  • McAfee Parental Controls のインストール後に Windows 2000 Server ベースのコンピュータを再起動すると、コンピュータが応答を停止 (ハング) する

    この問題の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    823043 McAfee Parental Controls のインストール後に Windows 2000 Server ベースのコンピュータを再起動すると、コンピュータが応答を停止する

関連情報

最新の Windows 2000 Service Pack の入手方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
260910 最新の Windows 2000 Service Pack の入手方法

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 821546 (最終更新日 2004-03-05) を基に作成したものです。

プロパティ

文書番号: 821546 - 最終更新日: 2007年1月30日 - リビジョン: 7.0
この資料は以下の製品について記述したものです。
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional
  • Microsoft Windows 2000 Service Pack 4
キーワード:?
kbfix kbbug KB821546
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com