文書番号: 823659 - 最終更新日: 2011年5月16日 - リビジョン: 20.0 セキュリティ設定およびユーザー権利の割り当てを変更すると、クライアント、サービス、およびプログラムの互換性がなくなる
目次概要 この資料では、Windows NT 4.0 ドメイン、Windows 2000 ドメイン、および Windows Server 2003 ドメインで特定のセキュリティ設定およびユーザー権利の割り当てを変更した場合に、Microsoft Windows 95、Microsoft Windows 98、Microsoft Windows NT 4.0、Microsoft Windows 2000、Microsoft Windows XP Professional、または Microsoft Windows Server 2003 を実行しているクライアント コンピューター上で発生することがある互換性の問題について説明します。 ローカル ポリシーおよびグループ ポリシーで、セキュリティ設定およびユーザー権利の割り当てを構成することにより、ドメイン コントローラーおよびメンバー コンピューターのセキュリティを強化できます。セキュリティ強化のマイナス面は、クライアント、サービス、およびプログラムの互換性が損なわれることです。 セキュリティ設定を誤って構成した場合にわかりやすいように、セキュリティ設定を変更するにはグループ ポリシー オブジェクト エディター ツールを使用します。グループ ポリシー オブジェクト エディターを使用した場合、以下のオペレーティング システムではユーザー権利の割り当て機能が強化されています。
この資料には、特定のセキュリティ設定またはユーザー権利の割り当ての影響を受けるクライアント、プログラム、および操作の例が記載されています。ただし、これらの例は、マイクロソフト オペレーティング システム、サードパーティ製オペレーティング システム、または影響を受けるプログラム バージョンのすべてに当てはまるものではありません。セキュリティ設定およびユーザー権利の割り当てには、この資料に記載されていないものもあります。 実稼働環境にセキュリティ関連の設定変更を導入する前に、テスト用のフォレストで互換性を検証することを推奨します。テスト用のフォレストは、以下の点について、実稼働環境と同じにする必要があります。
Windows Server 2003 SP1Gpedit.msc で生成される警告ネットワーク上で悪影響を及ぼす可能性があるユーザー権利やセキュリティ オプションを、ユーザーが変更しようとしていることを認識しやすくするために、2 つの警告メカニズムが gpedit.msc に追加されています。管理者がエンタープライズ全体に悪影響を及ぼすユーザー権利を変更すると、徐行を表す標識に似た、新しいアイコンが表示されます。「サポート技術情報」 (Microsoft Knowledge Base) の資料 823659 へのリンクを含む警告メッセージも表示されます。このメッセージのテキストは、次のとおりです。 GPEDIT.MSC のリンクをクリックしてこの「サポート技術情報」が表示された場合は、説明をよく読んで、この設定を変更した場合に受ける可能性のある影響を理解してください。新しい警告テキストが表示されるユーザー権利を以下に示します。
詳細ここでは、Windows NT 4.0 ドメイン、Windows 2000 ドメイン、および Windows Server 2003 ドメインにおいて特定の設定を変更した場合に発生する可能性のある互換性の問題について説明します。 ユーザー権利
時刻の同期時刻の同期に失敗しました。同期されなかったコンピューターでは、日時に 30 分以上の差異があります。クライアントのコンピューターの時計がドメイン コントローラーの時計と同期されていることを確認してください。SMB 署名の回避方法Windows NT 4.0 の各クライアントには、Windows Server 2003 ベースのドメインと互換性のある Service Pack 6a (SP6a) をインストールすることを推奨します。Windows 98 Second Edition、Windows 98、および Windows 95 ベースの各クライアントで NTLMv2 認証を行うには、ディレクトリ サービス クライアントを実行する必要があります。Windows NT 4.0 ベースのクライアントに Windows NT 4.0 SP6 がインストールされていない場合、または Windows 95、Windows 98、または Windows 98 SE ベースのクライアントにディレクトリ サービス クライアントがインストールされていない場合は、ドメイン コントローラーの OU 上の既定のドメイン コントローラー ポリシーの設定で SMB 署名を無効にし、ドメイン コントローラーをホストしているすべての OU へのリンクをこのポリシーに作成できます。Windows 98 Second Edition、Windows 98、および Windows 95 用ディレクトリ サービス クライアントは、NTLM 認証を実行する Windows Server 2003 のサーバーで SMB 署名を実行しますが、NTLMv2 認証を実行するサーバーでは SMB 署名を実行しません。また、Windows 2000 のサーバーは、これらのクライアントからの SMB 署名要求には応答しません。 ドメイン内にある、Windows Server 2003 を実行しているすべてのドメイン コントローラーで SMB 署名が要求されないようにすることもできます。ただし、マイクロソフトではこの構成を推奨していません。このセキュリティ設定を構成するには、以下の手順を実行します。
322756?
(http://support.microsoft.com/kb/322756/
)
Windows XP でレジストリをバックアップおよび復元する方法 または、レジストリを変更してサーバー上で SMB 署名を無効にします。これを実行するには、以下の手順を実行します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\Parameters エラー 5 ERROR_ACCESS_DENIED アクセスが拒否されました。 エラー 1326
ERROR_LOGON_FAILURE ログオン失敗:ユーザー名を認識できないか、またはパスワードが間違っています。 エラー 1788
ERROR_TRUSTED_DOMAIN_FAILURE プライマリ ドメインと信頼される側のドメインとの信頼関係に失敗しました。 エラー 1789
ERROR_TRUSTED_RELATIONSHIP_FAILURE このワークステーションとプライマリ ドメインとの信頼関係に失敗しました。 324802?
(http://support.microsoft.com/kb/324802/
)
Windows Server 2003 でグループ ポリシーを構成してシステム サービスのセキュリティを設定する方法
306771?
(http://support.microsoft.com/kb/306771/
)
Windows Server 2003 クラスタを構成した後 "アクセスは拒否されました。" というエラー メッセージが表示される 101747?
(http://support.microsoft.com/kb/101747/
)
Macintosh コンピューターに Microsoft 認証をインストールする方法 161372?
(http://support.microsoft.com/kb/161372/
)
Windows NT で SMB 署名を有効にする方法
236414?
(http://support.microsoft.com/kb/236414/
)
Windows NT 4.0 で LMCompatibilityLevel が NTLM 2 認証のとき共有にアクセスできない
241338?
(http://support.microsoft.com/kb/241338/
)
Windows NT 4.0 で LAN Manager 3 によりほかのログオン機能が動作しなくなる 262890?
(http://support.microsoft.com/kb/262890/
)
混在環境でホーム ディレクトリ ドライブに接続できない 308580?
(http://support.microsoft.com/kb/308580/
)
ログオン時に、ホーム フォルダがダウンレベル サーバーへマッピングされない 285901?
(http://support.microsoft.com/kb/285901/
)
リモート アクセス、VPN および RIS クライアントで NTLM Version 2 の認証のみを受け付けるように構成されたサーバーとセッションを確立できない 816585?
(http://support.microsoft.com/kb/816585/
)
Windows Server 2003 の定義済みのセキュリティ テンプレートを適用する方法
820281?
(http://support.microsoft.com/kb/820281/
)
Outlook 2003 の RPC over HTTP 機能を利用して Exchange Server 2003 に接続するときに、Windows アカウントの資格情報の入力が求められる
この資料は以下の製品について記述したものです。
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。" | サポート情報 その他のサポートサイトコミュニティ技術サポート窓口サポート技術情報の翻訳
|





















先頭へ戻る