デフォルト ドメイン コントローラのグループ ポリシー オブジェクトでユーザー権利をリセットする方法

概要

デフォルト ドメイン コントローラのグループ ポリシー オブジェクト (GPO) には、多くのデフォルトのユーザー権利設定が含まれています。場合によっては、デフォルトの設定を変更すると、望ましくない結果になることがあります。この結果、ユーザー権利に予想外の制限が設定されてしまうことがあります。変更が予想外の場合、または変更が記録されていないため、加えられた変更内容がわからない場合は、ユーザー権利設定のデフォルトへのリセットが必要になることがあります。


Sysvol フォルダの内容が手動で再構築された場合、または次の「サポート技術情報」 (Microsoft Knowledge Base) の資料に記載されている手順を使用して、 Sysvol フォルダがバックアップから復元された場合も、この状況になることがあります。
253268 [NT] 該当する Sysvol コンテンツがない、グループ ポリシーのエラー メッセージ


ドメイン コントローラのコンソールにログオンしようとする際に、次のエラー メッセージが表示される場合にも、ユーザー権利 SeInteractiveLogonRight および SeDenyInteractiveLogonRight 設定のデフォルトへのリセットが必要になることがあります。
このシステムのローカル ポリシーは、このユーザーが対話的にログオンすることを許可していません。

詳細

GPO でユーザー権利の割り当てをリセットするには、次の 3 つの手順が必要です。
  1. GptTmpl.inf ファイルを編集する。
  2. グループ ポリシーのバージョンを増加させる (この変更は Gpt.ini 内で行われます)。
  3. 新しいグループ ポリシーを適用する。
: これらの手順を実行する場合は、注意してください。GPO テンプレートを誤って設定すると、ドメイン コントローラが機能しなくなることがあります。
  1. GptTmpl.inf ファイルを編集します。GptTmpl.inf ファイルを編集することにより、ユーザー権利の設定がデフォルトにリセットされることがあります。このファイルは、Sysvol フォルダの下の Group Policy フォルダにあります。
    sysvol パス\sysvol\ドメイン名\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit
    : Sysvol フォルダのデフォルトのパスは、%SystemRoot%\Sysvol です。


    ユーザー権利をデフォルトの設定に完全にリセットするには、GptTmpl.inf ファイル内の既存の情報を、デフォルトのユーザー権利情報で置き換えます。次の該当するセクションをコピーして、既存の GptTmpl.inf ファイルに貼り付けることができます。


    各テンプレートに対するアクセス許可の設定に注意してください。希望するユーザー権利設定に基づいて、インストールに対する正しいテンプレートを使用する必要があります。


    : これらの変更を行う前に、GptTmpl.inf ファイルをバックアップすることを強くお勧めします。


    Windows 2000 以前のユーザーと互換性があるアクセス許可


    [Unicode]
    Unicode=yes
    [Event Audit]
    AuditSystemEvents = 0
    AuditLogonEvents = 0
    AuditObjectAccess = 0
    AuditPrivilegeUse = 0
    AuditPolicyChange = 0
    AuditAccountManage = 0
    AuditProcessTracking = 0
    AuditDSAccess = 0
    AuditAccountLogon = 0
    [Privilege Rights]
    SeAssignPrimaryTokenPrivilege =
    SeAuditPrivilege =
    SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
    SeBatchLogonRight =
    SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
    SeCreatePagefilePrivilege = *S-1-5-32-544
    SeCreatePermanentPrivilege =
    SeCreateTokenPrivilege =
    SeDebugPrivilege = *S-1-5-32-544
    SeIncreaseBasePriorityPrivilege = *S-1-5-32-544
    SeIncreaseQuotaPrivilege = *S-1-5-32-544
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
    SeLoadDriverPrivilege = *S-1-5-32-544
    SeLockMemoryPrivilege =
    SeMachineAccountPrivilege = *S-1-5-11
    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
    SeProfileSingleProcessPrivilege = *S-1-5-32-544
    SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544
    SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
    SeSecurityPrivilege = *S-1-5-32-544
    SeServiceLogonRight =
    SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
    SeSystemEnvironmentPrivilege = *S-1-5-32-544
    SeSystemProfilePrivilege = *S-1-5-32-544
    SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544
    SeTakeOwnershipPrivilege = *S-1-5-32-544
    SeTcbPrivilege =
    SeDenyInteractiveLogonRight =
    SeDenyBatchLogonRight =
    SeDenyServiceLogonRight =
    SeDenyNetworkLogonRight =
    SeUndockPrivilege = *S-1-5-32-544
    SeSyncAgentPrivilege =
    SeEnableDelegationPrivilege = *S-1-5-32-544
    [Version]
    signature="$CHICAGO$"
    Revision=1
    [Registry Values]
    MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1
    : インターネット インフォメーション サービスがインストールされている場合は、次のユーザー アカウントを、これらの権利に対して既に表示されているユーザー アカウントに追加する必要があります。

    SeBatchLogonRight = IWAM_%servername%,IUSR_%servername%
    SeInteractiveLogonRight = IUSR_%servername%
    SeNetworkLogonRight = IWAM_%servername%,IUSR_%servername%
    %servername% 変数はプレースホルダで、コンピュータの設定を反映するように編集する必要があります。


    たとえば、次のようになります。

    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0, IWAM_testserver1, IUSR_testserver1
    : ターミナル サービスがインストールされている場合は、次のユーザー アカウントを、これらの権利に対して既に表示されているユーザー アカウントに追加する必要があります。

    SeInteractiveLogonRight = TsInternetUser
    たとえば、次のようになります。

    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544, TsInternetUser
    または次のようになります。

    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544,IWAM_testserver1, IUSR_testserver1,TsInternetUser

    Windows 2000 ユーザーだけと互換性があるアクセス許可


    [Unicode]
    Unicode=yes
    [Event Audit]
    AuditSystemEvents = 0
    AuditLogonEvents = 0
    AuditObjectAccess = 0
    AuditPrivilegeUse = 0
    AuditPolicyChange = 0
    AuditAccountManage = 0
    AuditProcessTracking = 0
    AuditDSAccess = 0
    AuditAccountLogon = 0
    [Privilege Rights]
    SeAssignPrimaryTokenPrivilege =
    SeAuditPrivilege =
    SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
    SeBatchLogonRight =
    SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
    SeCreatePagefilePrivilege = *S-1-5-32-544
    SeCreatePermanentPrivilege =
    SeCreateTokenPrivilege =
    SeDebugPrivilege = *S-1-5-32-544
    SeIncreaseBasePriorityPrivilege = *S-1-5-32-544
    SeIncreaseQuotaPrivilege = *S-1-5-32-544
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
    SeLoadDriverPrivilege = *S-1-5-32-544
    SeLockMemoryPrivilege =
    SeMachineAccountPrivilege = *S-1-5-11
    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
    SeProfileSingleProcessPrivilege = *S-1-5-32-544
    SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544
    SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
    SeSecurityPrivilege = *S-1-5-32-544
    SeServiceLogonRight =
    SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
    SeSystemEnvironmentPrivilege = *S-1-5-32-544
    SeSystemProfilePrivilege = *S-1-5-32-544
    SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544
    SeTakeOwnershipPrivilege = *S-1-5-32-544
    SeTcbPrivilege =
    SeDenyInteractiveLogonRight =
    SeDenyBatchLogonRight =
    SeDenyServiceLogonRight =
    SeDenyNetworkLogonRight =
    SeUndockPrivilege = *S-1-5-32-544
    SeSyncAgentPrivilege =
    SeEnableDelegationPrivilege = *S-1-5-32-544
    [Version]
    signature="$CHICAGO$"
    Revision=1
    [Registry Values]
    MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1
    : インターネット インフォメーション サービスがインストールされている場合は、次のユーザー アカウントを、これらの権利に対して既に表示されているユーザー アカウントに追加する必要があります。servername 変数はプレースホルダで、コンピュータの設定を反映するように編集する必要があります。

    SeBatchLogonRight = IWAM_servername,IUSR_servername
    SeInteractiveLogonRight = IUSR_servername
    SeNetworkLogonRight = IUSR_servername
    新しい GptTmpl.inf ファイルを保存して閉じます。



  2. グループ ポリシーのバージョンを増加させます。ポリシーの変更が確実に保持されるようにするためには、グループ ポリシーのバージョンを増加させる必要があります。グループ ポリシー テンプレートのバージョン番号は、Gpt.ini ファイルにより制御されます。
    1. 次の場所から Gpt.ini ファイルを開きます。
      sysvol パス\sysvol\ドメイン名\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}
    2. グループ ポリシーがリセットされる前に、通常の複製によって新しいバージョン番号が古くなるようなことのないように、バージョン番号を十分に大きな番号に変更します。バージョン番号を増加させる好ましい方法は、バージョン番号の末尾に "0" を追加するか、バージョン番号の先頭に "1" を追加することです。
    3. Gpt.ini ファイルを保存して閉じます。
  3. 新しいグループ ポリシーを適用します。Secedit を使用して、グループ ポリシーを手動で更新します。これは、コマンド プロンプトで次の行を入力することにより実行できます。
    secedit /refreshpolicy machine_policy /enforce
    イベント ビューアで、イベント番号 "1704" のアプリケーション ログをチェックして、ポリシーの伝達が成功していることを確認します。
    グループ ポリシーの更新の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    227448 Secedit.exe を用いてグループ ポリシーを再適用する

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 267553 (最終更新日 2003-09-22) を基に作成したものです。
プロパティ

文書番号:267553 - 最終更新日: 2004/06/15 - リビジョン: 1

フィードバック