グループ ポリシー設定は、セキュリティ ポリシー設定の一覧では使用できません

  • [アーティクル]

この記事では、セキュリティ ポリシー設定の一覧で [システム オブジェクト: Administrators グループのメンバーによって作成されたオブジェクトの既定の所有者] グループ ポリシー設定が使用できない問題について説明します。

適用対象: Windows Server 2012 R2
元の KB 番号: 947721

現象

Windows Vista 以降を実行しているコンピューターで [システム オブジェクト: Administrators グループのメンバーによって作成されたオブジェクトの既定の所有者] グループ ポリシー設定にアクセスしようとすると、この設定はセキュリティ ポリシー設定の一覧では使用できません。

設定がセキュリティ グループ ポリシーに存在する場合、Windows Vista 以降のドメイン メンバーによって無視されます。

原因

Windows Vista、Windows 7、Windows Server 2008、および Windows Server 2008 R2 では、この設定はサポートされなくなりました。 有効にすると、ユーザー アカウント制御 (UAC) によって、ローカルで作成されたすべてのオブジェクトの所有者としてユーザー アカウントが使用されるようになります。 リモート アクセスの場合、管理者のグループが使用されます。ネットワーク セッションに制限付きトークンはありません。

設定のサポートが削除されたため、システム セキュリティ ポリシー "システム オブジェクト: Administrators グループのメンバーによって作成されたオブジェクトの既定の所有者" 設定は、セキュリティ テンプレート のユーザー インターフェイスでは使用できなくなります。

解決方法

[システム オブジェクト: Administrators グループのメンバーによって作成されたオブジェクトの既定の所有者] グループ ポリシー設定をセキュリティ テンプレート ユーザー インターフェイスに追加できます。

ヒント: この手順では、Windows Vista 以降では、Windows XP と Windows Server 2003 と同様の設定が適用されません。

Windows XP または Windows Server 2003 を実行している一部のコンピューターに対してこのグループ ポリシー設定を作成するには、Windows Server 2008 を実行しているコンピューターで次の手順を実行します。

  1. グループ ポリシー設定を構成するには、ローカル管理者としてにログオンします。

  2. c:\windows\inf\Sceregvl.inf ファイルのバックアップ コピーを作成します。

  3. このファイルの所有権を取得し、Administrators グループにフル アクセス ユーザー権限を付与します。 これを行うには、次の手順を実行します。

    注:

    このファイルは TrustedInstaller グループによって所有されています。 そのため、管理者は読み取り専用アクセス ユーザー権限のみを持ちます。

    1. c:\windows\inf\Sceregvl.inf ファイルを右クリックし、[ プロパティ] をクリックします。
    2. [セキュリティ] タブをクリックします。
    3. [詳細設定] をクリックします。
    4. [ 所有者 ] タブをクリックします。
    5. [編集] をクリックします。
    6. [ 所有者の変更] で、[ 管理者 ] グループをクリックし、[ OK] をクリックします。
    7. [OK] を 3 回クリックします。

  4. Administrators グループにファイルへのフル アクセス ユーザー権限を付与するには、次の手順に従います。

    注:

    Administrators グループにフル アクセス ユーザー権限を付与した後、ファイルの変更を編集して保存できます。

    1. c:\windows\inf\Sceregvl.inf ファイルを右クリックし、[ プロパティ] をクリックします。
    2. [セキュリティ] タブをクリックします。
    3. [編集] をクリックします。
    4. [ グループ名] または [ユーザー名] で、[管理者] グループ クリックします。
    5. [管理者のアクセス許可] で、[フル コントロール] の [チェックを許可する] ボックスをクリックし、[OK] をクリックします。
    6. [ OK] を クリックして、[ Sceregvl.inf のプロパティ ] ダイアログ ボックスを閉じます。

  5. メモ帳を使用して c:\windows\inf\Sceregvl.inf ファイルを開いて編集します。

  6. 次のテキストをすべて 1 行にコピーします。

    MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\nodefaultadminowner,3,"System objects: Administrators グループのメンバーによって作成されたオブジェクトの既定の所有者",3,0|Administrators group,1|オブジェクトの作成者

  7. 次の行の直後にテキストをファイルに貼り付けます:(MACHINE\System\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy,4,%SCENoAp plyLegacyAuditPolicy%,0)

  8. 変更をファイルに保存し、メモ帳を終了します。

  9. c:\windows\inf\Sceregvl.inf ファイルのファイルの所有権とアクセス許可を既定の設定にリセットします。 これを行うには、次の手順を実行します。

    1. c:\windows\inf\Sceregvl.inf ファイルを右クリックし、[ プロパティ] をクリックします。
    2. [セキュリティ] タブをクリックします。
    3. [詳細設定] をクリックします。
    4. [ 所有者 ] タブをクリックします。
    5. [編集] をクリックします。
    6. [ その他のユーザーまたはグループ] をクリックします。
    7. [ 場所] をクリックします。
    8. [ 場所] で、ローカル コンピューター名をクリックし、[ OK] をクリックします。
    9. [ ユーザーまたはグループの選択 ] ウィンドウで、[選択する オブジェクト名を入力します] の下に「NT SERVICE\TrustedInstaller」と入力し、[OK] をクリック します
    10. [Sceregvl.inf のセキュリティ設定の詳細設定] ウィンドウで、[所有者の変更] の下にある TrustedInstaller アカウントをクリックし、[OK] をクリックします
    11. [OK] を 3 回クリックします。

  10. c:\windows\inf\Sceregvl.inf ファイルの Administrators グループアクセス許可を 、読み取り & 実行読み取りのみにリセットします。 これを行うには、次の手順を実行します。

    1. c:\windows\inf\Sceregvl.inf ファイルを右クリックし、[ プロパティ] をクリックします。
    2. [セキュリティ] タブをクリックします。
    3. [編集] をクリックします。
    4. [ グループ名] または [ユーザー名] で、[管理者] グループ クリックします。
    5. [管理者のアクセス許可] で、[読み取り & 実行チェック] ボックスと [読み取りチェック] ボックスを除くすべてのチェック ボックスをオフにして、[OK] をクリックします
    6. [ OK] を クリックして、[ Sceregvl.inf のプロパティ ] ダイアログ ボックスを閉じます。

  11. グループ ポリシー Scecli.dll ファイルのクライアント側拡張機能を再登録します。 これを行うには、管理者特権のコマンド プロンプトを開き、次のコマンドを入力し、Enter:REGSVR32 scecli.dll [ OK] をクリックします

  12. ローカル セキュリティ ポリシー設定の [システム オブジェクト: Administrators グループのメンバーによって作成されたオブジェクトの既定の所有者] グループ ポリシー設定を適用するには、次の手順に従います。

注:

コンピューターがドメイン コントローラーの場合は、"ドメイン コントローラー セキュリティ ポリシー" スナップインを使用します。

  1. [スタート] をクリックし、[コントロール パネル] をクリックし、[管理ツール] をクリックし、[ローカル セキュリティ ポリシー] をクリックします。
  2. セキュリティ設定\ローカル ポリシー\セキュリティ オプションの場所に移動します。
  3. ウィンドウの右側のウィンドウで、[システム オブジェクト: Administrators グループのメンバーによって作成されたオブジェクトの既定の所有者] グループ ポリシー設定を右クリックし、[プロパティ] をクリックします。
  4. ドロップダウン ボックスで、[ オブジェクト作成者] をクリックし、[OK] をクリック します
  5. Windows セキュリティ メッセージ ボックスに警告が表示される場合があります。 警告を読み、[ はい] をクリックします。