Dcgpofix ツールは、既定のドメイン コントローラー ポリシーのセキュリティ設定を元の状態に復元しません
この記事では、Dcgpofix ツールが既定のドメイン コントローラー ポリシーのセキュリティ設定を Dcpromo を正常に完了した後と同じ状態に復元せず、ディザスター リカバリーシナリオでのみこのツールを使用することをお勧めします。
適用対象: Windows Server 2012 R2
元の KB 番号: 833783
現象
Dcgpofix.exe ツールのドキュメントは、Dcgpofix ツールが既定のドメイン コントローラー ポリシーのセキュリティ設定を、Dcpromo が正常に完了した直後と同じ状態に復元することを誤って示しています。 これは当てはめられません。
ディザスター リカバリーシナリオでのみ Dcgpofix ツールを使用することをお勧めします。 Dcpromo 操作は、そのサーバー上の既存のセキュリティ設定に基づいて、増分的にドメインのセキュリティを変更します。 したがって、Dcpromo を実行した後、既定のドメイン コントローラー ポリシーのセキュリティ設定の最終的なセットは、Dcpromo を実行する前に存在していたシステムの Dcpromo 操作とセキュリティ状態の両方によって異なります。 Dcpromo を実行する前に、システムのセキュリティ状態をさまざまなメカニズムで変更できます。 たとえば、一部のサーバー アプリケーションをインストールすると、SUPPORT_388945a0 アカウントなどのローカル ユーザー アカウントに付与されるユーザー権限が変更される場合があります。
原因
Dcgpofix ツールは、Dcpromo を実行する前にセキュリティ設定がどのような状態であったのかを把握できません。 したがって、Dcgpofix ツールは、セキュリティ設定を元の状態に正確に返すことはできません。 代わりに、Dcgpofix ツールは、2 つの既定のグループ ポリシー オブジェクト (GPO) を再作成し、Dcpromo 中にのみ実行される操作に基づいて設定を作成します。
Dcpromo を実行する前に Windows Server を新しくインストールし、オペレーティング システムにセキュリティ変更を加えたことがない場合、Dcgpofix によって作成された再作成された既定のドメイン コントローラー ポリシーは、Dcpromo を実行した直後の既定のドメイン コントローラー ポリシーとほぼ同じになります。 ただし、この場合、既定のドメイン コントローラー ポリシーの設定に若干の違いがあります。
解決方法
既定のドメイン ポリシーと既定のドメイン コントローラー ポリシーの一般的なバックアップと復元、および他の GPO の場合は、グループ ポリシー管理コンソール (GPMC) を使用して、これらの GPO の定期的なバックアップを作成することをお勧めします。 その後、これらのバックアップと組み合わせて GPMC を使用して、これらの GPO に含まれている正確なセキュリティ設定を復元できます。
ディザスター リカバリー のシナリオで、既定のドメイン ポリシーまたは既定のドメイン コントローラー ポリシーのバックアップ バージョンがない場合は、Dcgpofix ツールの使用を検討できます。 Dcgpofix ツールを使用する場合は、実行するとすぐに、これらの GPO のセキュリティ設定を確認し、要件に合わせてセキュリティ設定を手動で調整することをお勧めします。 Microsoft では GPMC を使用して環境内のすべての GPO のバックアップと復元を行うことをお勧めしているため、修正プログラムのリリースはスケジュールされていません。 Dcgpofix ツールは、環境を機能状態にのみ復元するディザスター リカバリー ツールです。 GPMC を使用したバックアップ戦略の代わりに使用しないことをお勧めします。 既定のドメイン ポリシーと既定のドメイン コントローラー ポリシーの GPO バックアップが存在しない場合にのみ、Dcgpofix ツールを使用することをお勧めします。
詳細
次の表に、Dcgpofix ツールを実行した後の既定のドメイン コントローラー ポリシーのセキュリティ設定と、Dcpromo を実行した後の Windows Server の新しいインストールでの設定の違いを示します。 Dcgpofix ツールを実行した後、環境内の要件に合わせてこれらのセキュリティ設定を調整することをお勧めします。
| 既定のドメイン コントローラー ポリシーでの設定 | クリーンにインストールされた Windows Server で DCPromo を実行した後の値 | DCGPOFIX の実行後の値 |
|---|---|---|
| 監査設定 | ||
| アカウント管理の監査 | 成功 | 監査なし |
| ディレクトリ サービス アクセスの監査 | 成功 | 監査なし |
| 監査ポリシーの変更 | 成功 | 監査なし |
| システム イベントの監査 | 成功 | 監査なし |
| ユーザー権限 | ||
| グローバル オブジェクトを作成する | 未定義 | SERVICE、管理者 |
| ネットワークからのコンピューターへのアクセスを拒否する | SUPPORT_388945a0 | (空) |
| ローカルでのログオンを拒否する | SUPPORT_388945a0 | (空) |
| 認証後にクライアントを偽装 | 未定義 | SERVICE、管理者 |
| デバイス ドライバーの読み込みとアンロード | 管理者、印刷演算子 | 管理者 |
| バッチ ジョブとしてログオン | ローカル サービス、SUPPORT_388945a0 | (空) |
| サービスとしてログオン | NETWORK SERVICE | (空) |
| システムをシャットダウンする | 管理者、バックアップ演算子、サーバー演算子、印刷演算子 | アカウントオペレーター、管理者、バックアップ演算子、サーバーオペレーター、印刷演算子 |
Dcgpofix ツールを実行すると、次の設定が変更されます。
- AuditAccountManage
- AuditDSAccess
- AuditPolicyChange
- AuditSystemEvents
- SeCreateGlobalPrivilege
- SeImpersonatePrivilege
- SeLoadDriverPrivilege
- SeShutdownPrivilege
構成オプションに基づいて、次の設定も次のように変更される場合があります。
- SeBatchLogonRight (SUPPORT_388945a0 アカウントではなく LOCAL SERVICE のみ)
- SeServiceLogonRight
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示