Windows Server の既定のドメイン グループ ポリシーでユーザー権限をリセットする方法

  • [アーティクル]

この記事では、Windows Server の既定のドメイン グループ ポリシー オブジェクト (GPO) でユーザー権限をリセットする方法について説明します。

適用対象: サポートされているバージョンの Windows Server
元の KB 番号: 324800

概要

既定のドメイン GPO には、多くの既定のユーザー権限設定が含まれています。 既定の設定を変更すると、予期しない制限がユーザー権限に適用される場合があります。 変更が予期しない場合、または変更が記録されていない場合は、どの変更が行われたかわからない場合は、ユーザー権限の設定を既定値にリセットする必要があります。

既定のドメイン GPO のユーザー権限をリセットする

既定のドメイン GPO の既定の設定を使用するユーザー権限を復元するには、このセクションで説明されている手順に従って、表示される順序に従います。

警告

次の手順を実行するときは、注意が必要です。 GPO テンプレートを正しく構成しないと、ドメイン コントローラーが動作しなくなる可能性があります。

Gpttmpl.inf ファイルを編集する

Gpttmpl.inf ファイルを編集するには、次の手順に従います。

重要

この手順を実行する前に 、Gpttmpl.inf ファイルをバックアップします。

  1. Windows エクスプローラーを起動し、次のフォルダーを開きます。ここで<、Sysvol_path>は Sysvol フォルダーのパスです。

    <>Sysvol_path\Sysvol\<DomainName>\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\Microsoft\Windows NT\SecEdit

    注:

    Sysvol フォルダーの既定のパスは %SystemRoot%\Sysvol です

  2. [Gpttmpl.inf] を右クリックし、[開く] を選択します。

  3. ユーザー権限を既定の設定に完全にリセットするには、 Gpttmpl.inf ファイル内の既存の情報を次の既定のユーザー権限情報に置き換えます。 これを行うには、現在の Gpttmpl.inf ファイルの適切なセクションに次のテキストを貼り付けます。

    [Unicode]
Unicode=yes  
[System Access]  
MinimumPasswordAge = 1  
MaximumPasswordAge = 42  
MinimumPasswordLength = 7  
PasswordComplexity = 1  
PasswordHistorySize = 24  
LockoutBadCount = 0  
RequireLogonToChangePassword = 0  
ForceLogoffWhenHourExpire = 0  
ClearTextPassword = 0
LSAAnonymousNameLookup = 0  
[Kerberos Policy]  
MaxTicketAge = 10  
MaxRenewAge = 7  
MaxServiceAge = 600  
MaxClockSkew = 5  
TicketValidateClient = 1
[Registry Values]
MACHINE\System\CurrentControlSet\Control\Lsa\NoLMHash=4,1  
[Version]  
signature="$CHICAGO$"  
Revision=1

  4. [ ファイル ] メニューの [ 保存] を選択し、[終了] を選択 します

Gpt.ini ファイルを編集する

Gpt.ini ファイルは、GPO テンプレートのバージョン番号を制御します。 GPO テンプレートのバージョン番号を増やすには、 Gpt.ini ファイルを編集する必要があります。 そのためには、次を実行します。

  1. Windows エクスプローラーを起動し、次のフォルダーを開きます。ここで<、Sysvol_path> は Sysvol フォルダーのパスです。 <Sysvol_path>\Sysvol\Domain\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}

    注:

    Sysvol フォルダーの既定のパスは %SystemRoot%\Sysvol です

  2. Gpt.iniを右クリックし、[開く] を選択します。

  3. ポリシーがリセットされる前に、一般的なレプリケーションで新しいバージョン番号が期限切れにならないことを保証するのに十分な数にバージョン番号を増やします。 バージョン番号の末尾に数値 "0" を追加するか、バージョン番号の先頭に番号 "1" を追加して数値をインクリメントします。

  4. [ ファイル ] メニューの [ 保存] を選択し、[終了] を選択 します

GPUpdate を使用してグループ ポリシーを更新する

GPUpdate ツールを使用して新しい GPO を適用し、すべてのポリシー設定を手動で再適用します。 そのためには、次を実行します。

  1. [スタート]、[ファイル名を指定して実行] の順に選択します。
  2. [ 開く ] ボックスに 「cmd」と入力し、[ OK] を選択します
  3. コマンド プロンプトで、「 GPUpdate /Force」と入力し、 Enter キーを押します。
  4. 「exit」と入力し、Enter キーを押してコマンド プロンプトを終了します。

注:

ポリシー処理でエラーを検索するには、イベント ログを確認します。

イベント ビューアーを使用して、GPO が正常に適用されたことを確認します。 そのためには、次を実行します。

  1. [スタート] を選択し、[管理ツール] をポイントし、[イベント ビューアー] を選択します。
  2. [ アプリケーション] を選択します

イベント ID 1704 を探して、GPO が正常に適用されたことを確認します。