現在オフラインです。再接続するためにインターネットの接続を待っています

Windows 2000 でデフォルトのドメイン GPO のセキュリティ設定をリセットする方法

この記事は、以前は次の ID で公開されていました: JP226243
概要
デフォルトのドメイン グループ ポリシー オブジェクト (GPO) には、デフォルトのセキュリティ設定が数多く含まれています。場合によっては、デフォルトの設定を変更すると、望ましくない影響が発生することがあります。このような影響は、Sysvol フォルダの内容が手動で再構築されたり、バックアップから復元されたりした場合にも発生することがあります。

この資料では、デフォルトのドメイン GPO のセキュリティ設定をリセットする方法について説明します。デフォルトのセキュリティ ポリシー設定をリセットするには、Sysvol フォルダ内の Gpttmpl.inf ファイルを編集します。

この操作は慎重に行う必要があります。Gpttmpl.inf ファイルが破損すると、ドメイン コントローラが動作しなくなる可能性があります。この手順の実行後は、デフォルトのドメイン GPO 内で構成されたすべての設定が失われるため、必要な設定を再度構成および適用する必要があります。
はじめに
この資料では、ドメイン GPO 内のデフォルトのセキュリティ設定をリセットする方法について、順を追って説明します。ドメイン GPO ではテンプレートが使用され、デフォルトではアカウント ポリシーに関連付けられているデフォルトのセキュリティ設定のみが有効になっています。初期状態では、他の設定は有効になっていません。これらのデフォルト設定を変更するには、グループ ポリシー オブジェクト エディタを使用して、[コンピュータの構成] の [Windows の設定] にある [セキュリティの設定] コンテナ内の設定を個別に変更します。

場合によっては、デフォルト設定を変更したり、他の設定を有効または無効にしたりすると、望ましくない影響が発生することがあります。このような影響は、ユーザー アカウントに予期しない制限が存在する場合に発生する可能性があります。予期しない変更が発生した場合や、変更が記録されなかったためにどのような変更が行われたのかわからない場合は、これらのセキュリティ設定をデフォルトに戻す必要がある場合もあります。

Sysvol フォルダの内容を手動で再構築した場合や、「サポート技術情報」 (Microsoft Knowledge Base) の資料 253268 で説明されている手順に従ってバックアップから Sysvol フォルダを復元した場合にも、このような影響が発生することがあります。関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
253268 [NT]該当する Sysvol コンテンツがない、グループ ポリシーのエラー メッセージ
先頭に戻る

Gpttmpl.inf ファイル内のデフォルト設定のリセット

警告 : GPO テンプレートの構成を正しく行わないと、ドメイン コントローラが動作しなくなる可能性があるため、次の手順を実行するときは十分に注意してください。次の手順を実行する前に、Gpttmpl.inf ファイルのバックアップを取っておく必要があります。また、必ず次に示す特定の GUID またはパスにある Gpttmpl.inf ファイルを編集してください。別の GUID には、ドメイン コントローラのグループ ポリシー設定のユーザー設定を制御する同様の Gpttmpl.inf ファイルがあります。
  1. Gpttmpl.inf ファイルをメモ帳などのテキスト エディタで開きます。このファイルが格納されているフォルダは次のとおりです。sysvol path は Sysvol フォルダのパスです。Sysvol フォルダのデフォルトのパスは %SystemRoot@\Sysvol です。
    sysvol path\domain name\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\Microsoft\Windows NT\SecEdit
  2. セキュリティ設定をすべてデフォルト設定に戻すには、Gpttmpl.inf ファイル内の既存の情報を、次のデフォルトの情報に置き換えます。これを行うには、これらの情報をコピーして現在の Gpttmpl.inf ファイルに貼り付けます。
    [Unicode]Unicode=yes[System Access]MinimumPasswordAge = 0MaximumPasswordAge = 42MinimumPasswordLength = 0PasswordComplexity = 0PasswordHistorySize = 1LockoutBadCount = 0RequireLogonToChangePassword = 0ForceLogoffWhenHourExpire = 0ClearTextPassword = 0[Kerberos Policy]MaxTicketAge = 10MaxRenewAge = 7MaxServiceAge = 600MaxClockSkew = 5TicketValidateClient = 1[Version]signature="$CHICAGO$"Revision=1
  3. Gpttmpl.inf ファイルを保存します。
先頭に戻る

GPO バージョンの増加

ポリシー変更が確実に保持されるように、GPO のバージョンを上げます。このためには、次のいずれかの方法を使用します。
  • 方法 1 : グループ ポリシー オブジェクト エディタを使用する
    1. グループ ポリシー オブジェクト エディタを開きます。
    2. 変更を加えます。
    3. グループ ポリシー オブジェクト エディタを閉じます。
  • 方法 2 : Gpt.ini ファイルを手動で編集する

    GPO のバージョンを手動で上げるには、グループ ポリシー テンプレートのバージョン番号を制御する Gpt.ini ファイルを編集します。これを行うには、次の手順を実行します。
    1. Gpt.ini ファイルをメモ帳などのテキスト エディタで開きます。このファイルが格納されているフォルダは次のとおりです。sysvol path は Sysvol フォルダのパスです。Sysvol フォルダのデフォルトのパスは %SystemRoot@\Sysvol です。
      sysvol path\domain name\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}
    2. グループ ポリシーがリセットされる前に、通常の複製によって新しいバージョン番号が古くなるようなことのないように、バージョン番号を十分に大きな番号に変更します。バージョン番号を上げるための好ましい方法は、バージョン番号の末尾に "0" を追加するか、バージョン番号の先頭に "1" を追加することです。
    3. Gpt.ini ファイルを保存して閉じます。
先頭に戻る

新しい GPO の適用


新しい GPO を適用するには、Secedit ツールを使用して GPO を手動で更新します。これを行うには、コマンド プロンプトで secedit /refreshpolicy machine_policy /enforce と入力し、Enter キーを押します。その後、イベント ビューアでアプリケーション ログを参照してイベント 1704 が発生したかどうか調べ、ポリシーが正常に伝達されたことを確認します。

: この手順の実行後は、前に構成されていたグループ ポリシーの設定が削除されます。グループ ポリシー オブジェクト エディタを使用して、これらの設定を再度構成および適用する必要があります。

先頭に戻る
関連情報
グループ ポリシーの設定を更新する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
227448 Secedit.exe を用いてグループ ポリシーを再適用する
デフォルト ドメイン コントローラの GPO でユーザー権利をリセットする方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
267553 デフォルト ドメイン コントローラのグループ ポリシー オブジェクトでユーザー権利をリセットする方法
先頭に戻る
rebuild blank
プロパティ

文書番号:226243 - 最終更新日: 02/06/2006 08:26:03 - リビジョン: 4.1

  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • kbhowtomaster kbnetwork KB226243
フィードバック