デフォルト ドメイン コントローラのグループ ポリシー オブジェクトでユーザー権利をリセットする方法

この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。
概要
デフォルト ドメイン コントローラのグループ ポリシー オブジェクト (GPO) には、多くのデフォルトのユーザー権利設定が含まれています。場合によっては、デフォルトの設定を変更すると、望ましくない結果になることがあります。この結果、ユーザー権利に予想外の制限が設定されてしまうことがあります。変更が予想外の場合、または変更が記録されていないため、加えられた変更内容がわからない場合は、ユーザー権利設定のデフォルトへのリセットが必要になることがあります。

Sysvol フォルダの内容が手動で再構築された場合、または次の「サポート技術情報」 (Microsoft Knowledge Base) の資料に記載されている手順を使用して、 Sysvol フォルダがバックアップから復元された場合も、この状況になることがあります。
253268 [NT] 該当する Sysvol コンテンツがない、グループ ポリシーのエラー メッセージ


ドメイン コントローラのコンソールにログオンしようとする際に、次のエラー メッセージが表示される場合にも、ユーザー権利 SeInteractiveLogonRight および SeDenyInteractiveLogonRight 設定のデフォルトへのリセットが必要になることがあります。
このシステムのローカル ポリシーは、このユーザーが対話的にログオンすることを許可していません。
詳細
GPO でユーザー権利の割り当てをリセットするには、次の 3 つの手順が必要です。
  1. GptTmpl.inf ファイルを編集する。
  2. グループ ポリシーのバージョンを増加させる (この変更は Gpt.ini 内で行われます)。
  3. 新しいグループ ポリシーを適用する。
: これらの手順を実行する場合は、注意してください。GPO テンプレートを誤って設定すると、ドメイン コントローラが機能しなくなることがあります。
  1. GptTmpl.inf ファイルを編集します。GptTmpl.inf ファイルを編集することにより、ユーザー権利の設定がデフォルトにリセットされることがあります。このファイルは、Sysvol フォルダの下の Group Policy フォルダにあります。
    sysvol パス\sysvol\ドメイン名\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit
    : Sysvol フォルダのデフォルトのパスは、%SystemRoot%\Sysvol です。

    ユーザー権利をデフォルトの設定に完全にリセットするには、GptTmpl.inf ファイル内の既存の情報を、デフォルトのユーザー権利情報で置き換えます。次の該当するセクションをコピーして、既存の GptTmpl.inf ファイルに貼り付けることができます。

    各テンプレートに対するアクセス許可の設定に注意してください。希望するユーザー権利設定に基づいて、インストールに対する正しいテンプレートを使用する必要があります。

    : これらの変更を行う前に、GptTmpl.inf ファイルをバックアップすることを強くお勧めします。

    Windows 2000 以前のユーザーと互換性があるアクセス許可

       [Unicode]   Unicode=yes   [Event Audit]   AuditSystemEvents = 0   AuditLogonEvents = 0   AuditObjectAccess = 0   AuditPrivilegeUse = 0   AuditPolicyChange = 0   AuditAccountManage = 0   AuditProcessTracking = 0   AuditDSAccess = 0   AuditAccountLogon = 0   [Privilege Rights]   SeAssignPrimaryTokenPrivilege =   SeAuditPrivilege =   SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544   SeBatchLogonRight =    SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0   SeCreatePagefilePrivilege = *S-1-5-32-544   SeCreatePermanentPrivilege =   SeCreateTokenPrivilege =   SeDebugPrivilege = *S-1-5-32-544   SeIncreaseBasePriorityPrivilege = *S-1-5-32-544   SeIncreaseQuotaPrivilege = *S-1-5-32-544   SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544   SeLoadDriverPrivilege = *S-1-5-32-544   SeLockMemoryPrivilege =   SeMachineAccountPrivilege = *S-1-5-11     SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0   SeProfileSingleProcessPrivilege = *S-1-5-32-544   SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544   SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544   SeSecurityPrivilege = *S-1-5-32-544   SeServiceLogonRight =   SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544   SeSystemEnvironmentPrivilege = *S-1-5-32-544   SeSystemProfilePrivilege = *S-1-5-32-544   SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544   SeTakeOwnershipPrivilege = *S-1-5-32-544   SeTcbPrivilege =   SeDenyInteractiveLogonRight =   SeDenyBatchLogonRight =   SeDenyServiceLogonRight =   SeDenyNetworkLogonRight =   SeUndockPrivilege = *S-1-5-32-544   SeSyncAgentPrivilege =   SeEnableDelegationPrivilege = *S-1-5-32-544   [Version]   signature="$CHICAGO$"   Revision=1   [Registry Values]   MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1
    : インターネット インフォメーション サービスがインストールされている場合は、次のユーザー アカウントを、これらの権利に対して既に表示されているユーザー アカウントに追加する必要があります。
       SeBatchLogonRight = IWAM_%servername%,IUSR_%servername%   SeInteractiveLogonRight = IUSR_%servername%   SeNetworkLogonRight = IWAM_%servername%,IUSR_%servername%
    %servername% 変数はプレースホルダで、コンピュータの設定を反映するように編集する必要があります。

    たとえば、次のようになります。
    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0, IWAM_testserver1, IUSR_testserver1
    : ターミナル サービスがインストールされている場合は、次のユーザー アカウントを、これらの権利に対して既に表示されているユーザー アカウントに追加する必要があります。
       SeInteractiveLogonRight = TsInternetUser
    たとえば、次のようになります。
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544, TsInternetUser
    または次のようになります。
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544,IWAM_testserver1, IUSR_testserver1,TsInternetUser

    Windows 2000 ユーザーだけと互換性があるアクセス許可

       [Unicode]   Unicode=yes    [Event Audit]   AuditSystemEvents = 0   AuditLogonEvents = 0   AuditObjectAccess = 0   AuditPrivilegeUse = 0   AuditPolicyChange = 0   AuditAccountManage = 0   AuditProcessTracking = 0   AuditDSAccess = 0     AuditAccountLogon = 0   [Privilege Rights]   SeAssignPrimaryTokenPrivilege =   SeAuditPrivilege =   SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544   SeBatchLogonRight =    SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0   SeCreatePagefilePrivilege = *S-1-5-32-544   SeCreatePermanentPrivilege =   SeCreateTokenPrivilege =   SeDebugPrivilege = *S-1-5-32-544   SeIncreaseBasePriorityPrivilege = *S-1-5-32-544   SeIncreaseQuotaPrivilege = *S-1-5-32-544   SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544   SeLoadDriverPrivilege = *S-1-5-32-544   SeLockMemoryPrivilege =   SeMachineAccountPrivilege = *S-1-5-11   SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0   SeProfileSingleProcessPrivilege = *S-1-5-32-544   SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544   SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544   SeSecurityPrivilege = *S-1-5-32-544   SeServiceLogonRight =   SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544   SeSystemEnvironmentPrivilege = *S-1-5-32-544   SeSystemProfilePrivilege = *S-1-5-32-544   SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544   SeTakeOwnershipPrivilege = *S-1-5-32-544   SeTcbPrivilege =   SeDenyInteractiveLogonRight =   SeDenyBatchLogonRight =   SeDenyServiceLogonRight =   SeDenyNetworkLogonRight =   SeUndockPrivilege = *S-1-5-32-544   SeSyncAgentPrivilege =   SeEnableDelegationPrivilege = *S-1-5-32-544   [Version]   signature="$CHICAGO$"   Revision=1   [Registry Values]   MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1
    : インターネット インフォメーション サービスがインストールされている場合は、次のユーザー アカウントを、これらの権利に対して既に表示されているユーザー アカウントに追加する必要があります。servername 変数はプレースホルダで、コンピュータの設定を反映するように編集する必要があります。
       SeBatchLogonRight = IWAM_servername,IUSR_servername   SeInteractiveLogonRight = IUSR_servername   SeNetworkLogonRight = IUSR_servername
    新しい GptTmpl.inf ファイルを保存して閉じます。


  2. グループ ポリシーのバージョンを増加させます。ポリシーの変更が確実に保持されるようにするためには、グループ ポリシーのバージョンを増加させる必要があります。グループ ポリシー テンプレートのバージョン番号は、Gpt.ini ファイルにより制御されます。
    1. 次の場所から Gpt.ini ファイルを開きます。
      sysvol パス\sysvol\ドメイン名\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}
    2. グループ ポリシーがリセットされる前に、通常の複製によって新しいバージョン番号が古くなるようなことのないように、バージョン番号を十分に大きな番号に変更します。バージョン番号を増加させる好ましい方法は、バージョン番号の末尾に "0" を追加するか、バージョン番号の先頭に "1" を追加することです。
    3. Gpt.ini ファイルを保存して閉じます。
  3. 新しいグループ ポリシーを適用します。Secedit を使用して、グループ ポリシーを手動で更新します。これは、コマンド プロンプトで次の行を入力することにより実行できます。
    secedit /refreshpolicy machine_policy /enforce
    イベント ビューアで、イベント番号 "1704" のアプリケーション ログをチェックして、ポリシーの伝達が成功していることを確認します。グループ ポリシーの更新の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    227448 Secedit.exe を用いてグループ ポリシーを再適用する
関連情報
この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 267553 (最終更新日 2003-09-22) を基に作成したものです。
プロパティ

文書番号:267553 - 最終更新日: 12/05/2015 20:55:04 - リビジョン: 4.0

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

  • kbnosurvey kbarchive kbhowto kbgpo KB267553
フィードバック