概要
Microsoft Windows 2000 Service Pack 4 (SP4) より前の Microsoft Windows のバージョンでは、グループ ポリシーで制限されたグループの [所属するグループ] セキュリティ設定を使用して、ドメイン グループをメンバ コンピュータ上のローカル グループに追加することはできません。制限されたグループの動作は、Windows 2000 SP4 および Microsoft Windows Server 2003 ファミリで更新されました。Microsoft Windows XP Service Pack 1 (SP1) では、修正プログラムを適用して、制限されたグループの動作を更新する必要があります。この資料では、制限されたグループ機能に対する変更点について説明します。
詳細
制限されたグループの [所属するグループ] 機能を使用して、ドメイン グループをローカル グループに追加できるようになりました。[所属するメンバ] および [所属するグループ] など、制限されたグループ機能の詳細については、Windows Server 製品のマニュアルで "制限されたグループ" に関する項目を参照してください。
Windows XP
Service Pack の情報
この問題を解決するには、Windows XP の最新の Service Pack を入手します。関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
322389 最新の Windows XP Service Pack を入手する方法
修正プログラムの情報
マイクロソフトでは、この製品のデフォルトの動作を変更する、サポートされた機能を用意していますが、この機能はこの資料に記載された動作のみを修正することを目的としており、この機能を必要とするコンピュータに対してのみ適用することを推奨します。この機能は、今後さらにテストを行う場合があります。したがって、この機能の不足により深刻な影響を受けていない場合は、この機能が含まれる次の Windows XP Service Pack がリリースされるまで待つことを推奨します。
この機能を入手するには、Microsoft Product Support Services にお問い合わせください。Microsoft Product Support Services の電話番号一覧およびサポート料金については、次のマイクロソフト Web サイトを参照してください。
http://support.microsoft.com/contactus/?ws=support この機能 (英語版) のファイル属性は次表のとおりです。ただし、これより新しい機能がリリースされている可能性もあります。各ファイルの日付および時刻は、世界協定時刻 (UTC) で示されています。ファイル情報に表示される時刻は、ローカル時刻に変換されています。UTC とローカル時刻との時差を確認するには、コントロール パネルの [日付と時刻] の [タイム ゾーン] タブを使用してください。
日付 時刻 バージョン サイズ ファイル名 プラットフォーム
----------------------------------------------------------------
31-Jan-2003 02:53 5.1.2600.1163 849,408 Scesrv.dll IA64
31-Jan-2003 02:53 5.1.2600.1163 307,712 Scesrv.dll i386
ドメイン グループをローカル グループに追加する
この機能が適切なすべてのコンピュータにインストールされていることを確認したら、制限されたグループの [所属するグループ] の設定を使用して、ドメイン グループを (ビルトインまたはカスタムの) ローカル グループに追加することができます。[所属するグループ] ポリシーを、任意のサイト、ドメイン、または組織単位 (OU) にリンクされる複数のグループ ポリシー オブジェクト (GPO) の特定のグループに対して定義することができます。これにより、すべてのポリシーが有効になります。たとえば、以下の表で示されているように、Domain Admins をローカルの Administrators グループに追加するポリシーを作成し、My Management Admins グループをローカルの Administrators グループに追加するポリシーを追加することができます。このグループは、ドメイン レベルの GPO にリンクされています。また、My Organizational Unit Regional Admins グループをローカルの Administrators グループに追加するポリシーを作成することもできます。このグループは、OU レベルの GPO にリンクされています。すべてのポリシーが有効になります。
表 1 : ドメイン グループをローカル グループに追加する
制限されたグループのポリシーを定義するドメイン グループ |
"所属するグループ" エントリ : メンバ コンピュータ上のローカル グループ |
制限されたグループのポリシーが定義される GPO レベル |
結果 |
---|---|---|---|
Domain Admins (ドメインのビルトイン) |
Administrators (ローカルのビルトイン) |
ドメイン レベル |
Administrators グループに、Domain Admins、My Management Admins、および My Organizational Unit Admins が含まれます。 |
My Management Admins (ドメインのカスタム) |
Administrators (ローカルのビルトイン) |
ドメイン レベル |
Administrators グループに、Domain Admins、My Management Admins、および My Organizational Unit Admins が含まれます。 |
My Organizational Unit Regional Admins (地域の OU カスタム) |
Administrators (ローカルのビルトイン) |
OU レベル |
Administrators グループに、Domain Admins、My Management Admins、および My Organizational Unit Admins が含まれます。 |
複数の GPO 間で同一のドメイン グループをローカル グループに追加する
複数の GPO で、複数の制限されたグループのポリシーを同一のグループに作成した場合、1 つのポリシーのみが有効になります。同一のグループに関する制限されたグループのポリシーは、GPO 間でマージされません。有効なポリシーは、グループ ポリシーの処理順によって決まります。グループ ポリシーの階層および処理順の関連情報については、以下の Microsoft Developer Network (MSDN) Web サイトを参照してください。
http://msdn2.microsoft.com/en-us/library/aa374155.aspx たとえば、以下の表で示されているように、Domain Admins に対して、2 つの制限されたグループのポリシーが定義されているとします。1 つの制限されたグループのポリシーはドメイン レベルで定義されており、Domain Admins をローカルの Administrators グループに追加します。もう 1 つの制限されたグループのポリシーは、OU レベルで定義されており、Domain Admins グループを My Regional Division Admins に追加します。この場合、Domain Admins は、My Regional Division Admins のみに追加されます。これは、OU レベルでリンクされた GPO はデフォルトで、ドメイン レベルで定義された GPO より優先されるためです。
表 2 : 複数の GPO 間で同一のドメイン グループをローカル グループに追加する
制限されたグループのポリシーを定義するドメイン グループ |
"所属するグループ" エントリ : メンバ コンピュータ上のローカル グループ |
制限されたグループのポリシーが定義される GPO レベル |
結果 |
---|---|---|---|
Domain Admins (ドメインのビルトイン) |
Administrators (ローカルのビルトイン) |
ドメイン レベル |
GPO が処理されるしくみのため、Domain Admins は、My Regional Division Admins グループにのみ追加されます。 |
Domain Admins (ドメインのビルトイン) |
My Regional Division Admins (ローカルのカスタム) |
OU |
GPO が処理されるしくみのため、Domain Admins は、My Regional Division Admins グループにのみ追加されます。 |
ドメイン コントローラ
以前のバージョンの Windows では、[所属するメンバ] が空の、制限されたグループをドメイン コントローラで処理する場合、[所属するグループ] の設定にかかわらず、ポリシーが適用されるときに、すべてのメンバがグループから削除されます。たとえば、[所属するメンバ] を空にして、ドメイン レベルで Domain Admins に関する制限されたグループ ポリシーを作成し、[所属するグループ] にローカルの Administrators を指定すると、ポリシーが適用されるときに、Domain Admins グループのすべてのメンバ (ビルトインの Administrator アカウントも含む) が削除され、空の Domain Admins グループがローカルの Administrators グループに追加されます。
この動作は、Windows 2000 SP4、Windows XP Service Pack 2 (SP2) および Windows Server 2003 で修正されています。これらのいずれかのバージョンの Windows を実行するコンピュータに対して、[所属するグループ] が定義済みで、[所属するメンバ] が空の、制限されたグループのポリシーを適用すると、[所属するメンバ] は無視され、グループ メンバシップは削除されません。
この更新プログラムで有効にされる制限されたグループ機能を使用して、ドメイン コントローラ、メンバ サーバーまたはワークステーションを構成する場合、それらすべてで Windows 2000 SP4、Windows XP SP2 または Windows Server 2003 が実行されていることを確認し、ドメイン グループ メンバシップが予期せず変更されることがないようにします。
メンバ サーバーおよびワークステーションでは、この状況での動作は以前と変わりません。
"所属するメンバ" および "所属するグループ" の制限されたグループ ポリシーをローカル グループに適用する
可能であれば、ドメイン グループをローカル グループに追加する、制限されたグループのポリシーを定義してから、そのローカル グループのメンバシップを制限する、もう 1 つの制限されたグループのポリシーを定義します。2 つの制限されたグループのポリシーが処理される順序は定義されていないため、そのローカル グループの最後のグループ メンバシップを予測することはできません。たとえば、以下の表で示されているように、Domain Admins をローカルの Administrators グループに追加する、制限されたグループのポリシーを作成し、そのローカルの Administrators グループのメンバシップを、ビルトインの Administrator アカウントに制限する、制限されたグループのポリシーを作成した場合、有効になるポリシーを予測することはできません。Administrators メンバシップが制限される前に、Domain Admins がローカル Administrators グループに追加されると、Domain Admins がローカル Administrators グループに追加されてから、削除されます。ただし、Domain Admins が Administrators グループに追加される前に、ローカル Administrators グループ メンバシップが制限される場合、Domain Admins は、ローカルの Administrators グループに残ります。
表 3 : 制限されたメンバシップを使用してドメイン グループをローカル グループに追加する
制限されたグループのポリシーを定義するグループ |
"所属するメンバ" エントリ |
"所属するグループ" エントリ |
生成されるグループ メンバシップ |
---|---|---|---|
Domain Admins (ドメインのビルトイン) |
なし |
Administrators (ローカルのビルトイン) |
ローカルの Administrators グループの最後のグループ メンバシップを予測することはできません。 |
Administrators (ローカルのビルトイン) |
Administrator (ローカルのビルトイン) |
なし |
ローカルの Administrators グループの最後のグループ メンバシップを予測することはできません。 |
必要なメンバシップを取得するには、[所属するメンバ] または [所属するグループ] のいずれかの制限されたグループのポリシーを排他的に使用します。表 3 の例では、必要な Administrators グループ メンバシップを取得するために、ローカルの Administrators グループの制限されたグループ ポリシーで、Domain Admins を [所属するメンバ] エントリに追加します。
Windows 2000
Service Pack の情報
この問題を解決するには、Microsoft Windows 2000 の最新の Service Pack を入手します。関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
260910 最新の Windows 2000 Service Pack の入手方法
修正プログラムの情報
マイクロソフトでは、この製品のデフォルトの動作を変更する、サポートされた機能を用意していますが、この機能はこの資料に記載された動作のみを修正することを目的としており、この機能を必要とするコンピュータに対してのみ適用することを推奨します。この機能は、今後さらにテストを行う場合があります。したがって、この機能の不足により深刻な影響を受けていない場合は、この機能が含まれる次の Windows 2000 Service Pack がリリースされるまで待つことを推奨します。
この機能を入手するには、Microsoft Product Support Services にお問い合わせください。Microsoft Product Support Services の電話番号一覧およびサポート料金については、次のマイクロソフト Web サイトを参照してください。
http://support.microsoft.com/contactus/?ws=support 修正プログラム (英語版) のファイル属性は次表のとおりです。ただし、これより新しい修正プログラムがリリースされている可能性もあります。各ファイルの日付および時刻は、世界協定時刻 (UTC) で示されています。ファイル情報に表示される時刻は、ローカル時刻に変換されています。UTC とローカル時刻との時差を確認するには、コントロール パネルの [日付と時刻] の [タイム ゾーン] タブを使用してください。
日付 時刻 バージョン サイズ ファイル名
-------------------------------------------------------------
07-Nov-2002 22:33 5.0.2195.6109 124,688 Adsldp.dll
07-Nov-2002 22:33 5.0.2195.5781 131,344 Adsldpc.dll
07-Nov-2002 22:33 5.0.2195.6109 62,736 Adsmsext.dll
07-Nov-2002 22:33 5.0.2195.6052 358,160 Advapi32.dll
07-Nov-2002 22:33 5.0.2195.6094 49,936 Browser.dll
07-Nov-2002 22:33 5.0.2195.6012 135,952 Dnsapi.dll
07-Nov-2002 22:33 5.0.2195.6076 96,016 Dnsrslvr.dll
15-Nov-2001 23:27 5,149 Empty.cat
07-Nov-2002 22:33 5.0.2195.5722 45,328 Eventlog.dll
07-Nov-2002 22:33 5.0.2195.6059 146,704 Kdcsvc.dll
01-Nov-2002 18:52 5.0.2195.6112 204,048 Kerberos.dll
21-Aug-2002 16:27 5.0.2195.6023 71,248 Ksecdd.sys
07-Nov-2002 02:02 5.0.2195.6118 507,664 Lsasrv.dll
07-Nov-2002 02:02 5.0.2195.6118 33,552 Lsass.exe
27-Aug-2002 22:53 5.0.2195.6034 108,816 Msv1_0.dll
07-Nov-2002 22:33 5.0.2195.5979 307,472 Netapi32.dll
07-Nov-2002 22:33 5.0.2195.6075 360,720 Netlogon.dll
07-Nov-2002 22:33 5.0.2195.6100 920,848 Ntdsa.dll
07-Nov-2002 22:33 5.0.2195.6100 389,392 Samsrv.dll
07-Nov-2002 22:33 5.0.2195.6120 130,320 Scecli.dll
07-Nov-2002 22:33 5.0.2195.6120 303,888 Scesrv.dll
07-Nov-2002 01:56 5.0.2195.6118 139,264 Sp3res.dll
07-Nov-2002 00:05 5.3.9.0 4,096 Spmsg.dll
07-Nov-2002 00:06 5.3.9.0 87,040 Spuninst.exe
07-Nov-2002 22:33 5.0.2195.5859 48,912 W32time.dll
04-Jun-2002 21:32 5.0.2195.5859 57,104 W32tm.exe
07-Nov-2002 22:33 5.0.2195.6100 126,224 Wldap32.dll
07-Nov-2002 02:02 5.0.2195.6118 507,664 Lsasrv.dll -- 56-bit Windows 2000 Datacenter Server 用の修正プログラムの入手方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
265173 Datacenter Program と Windows 2000 Datacenter Server
複数の Windows 更新プログラムまたは修正プログラムのインストールを 1 回の再起動のみで行う方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
296861 複数の Windows 更新プログラムまたは修正プログラムを同時にインストールし、再起動を 1 回で済ませる方法