認証後にクライアントを偽装し、グローバル オブジェクトを作成するセキュリティ設定の概要

  • [アーティクル]

この記事では、 認証後のクライアントの偽装グローバル オブジェクトの作成 のユーザー権限について説明します。

適用対象: Windows Server 2012 R2
元の KB 番号: 821546

概要

この記事では、"認証後にクライアントを偽装する" と "グローバル オブジェクトの作成" ユーザー権限について説明します。 これらの新しいセキュリティ設定は、Windows 2000 Service Pack 4 (SP4) で初めて導入され、Windows 2000 のセキュリティを強化するのに役立ちました。 この記事では、新しいセキュリティ設定について説明し、発生する可能性がある既知の問題とそのトラブルシューティング方法に関する情報も含まれています。

重要

既定のドメイン ポリシーまたはグループ ポリシーを使用して、"認証後にクライアントを偽装する" ユーザー権限と "グローバル オブジェクトの作成" ユーザー権限を適用する場合は、次の問題を考慮してください。

  • "認証後にクライアントを偽装する" および "グローバル オブジェクトの作成" ユーザー権限は、Windows 2000 SP4 以降を実行しているコンピューターにのみ適用されます。

  • 既定のドメイン ポリシーまたはグループ ポリシーを使用して、コンピューターが Windows 2000 Service Pack 2 (SP2) 以降を実行している場合は、環境内のコンピューターに "認証後にクライアントを偽装する" および "グローバル オブジェクトの作成" セキュリティ設定を適用できます。 セキュリティ設定は、Windows 2000 SP2 および Windows 2000 Service Pack 3 (SP3) ベースのコンピューターを含む環境に展開できますが、セキュリティ設定は Windows 2000 SP4 ベースのコンピューター にのみ 適用されることに注意してください。 この設定は、Windows 2000 SP2 または Windows 2000 SP3 を実行しているコンピューターには適用されません。

  • 既定のドメイン ポリシーまたは別のグループ ポリシーを使用して、Windows 2000 または Windows 2000 Service Pack 1 (SP1) を実行しているコンピューターにこれらの新しいユーザー権限の一方または両方を適用しないでください。 既定のドメイン ポリシーまたは別のグループ ポリシーを使用して、Windows 2000 または Windows 2000 Service Pack 1 (SP1) を実行しているコンピューターにこれらのユーザー権限を適用すると、ポリシーのセキュリティ設定の伝達が失敗します。 つまり、ポリシーは Windows 2000 または Windows 2000 SP1 コンピューターに反映されず、ユーザー権限は [ローカル セキュリティ設定] スナップインに表示されません。 既定のドメイン ポリシーまたは別のグループ ポリシーを使用して、Windows 2000 または Windows 2000 Service Pack 1 (SP1) を実行しているコンピューターにこれらの新しいユーザー権限の一方または両方を適用すると、次のシナリオが発生する可能性があります。

    • 同じ グループ ポリシー オブジェクトにあり、Windows 2000 または Windows 2000 Service Pack 1 (SP1) デバイスを対象とする追加のセキュリティ ポリシー設定は、移行先のデバイスには反映されません。

    • 伝達される Windows 2000 または Windows 2000 Service Pack 1 (SP1) デバイスへの SDOU (サイト、ドメイン、組織単位) パスに沿って他のグループ ポリシーを使用して適用される追加のセキュリティ ポリシー設定。

    • これらの新しいセキュリティ設定のいずれかまたは両方が Windows 2000 または Windows 2000 Service Pack 1 (SP1) デバイスを対象としている場合、それらのデバイスのローカル MMC セキュリティ スナップインでセキュリティ設定を正しく表示できません。 ただし、他のドメイン側のグループ ポリシー オブジェクト (新しい設定を含まない) から対象デバイスに適用されるすべてのセキュリティ設定は、それらのターゲット デバイスにも適用されます。

  • 同様に、既定のドメイン コントローラー セキュリティ ポリシーを使用して、ドメイン コントローラーが Windows 2000 SP2 以降を実行している場合は、環境内のドメイン コントローラーに "認証後にクライアントを偽装する" および "グローバル オブジェクトの作成" セキュリティ設定を適用できます。 セキュリティ設定は、Windows 2000 SP2 と Windows 2000 SP3 ベースのドメイン コントローラーを含む環境に展開できますが、セキュリティ設定は Windows 2000 SP4 ベースのドメイン コントローラー にのみ 適用されることに注意してください。 この設定は、Windows 2000 SP2 または Windows 2000 SP3 を実行しているドメイン コントローラーには適用されません。

問題 1: "認証後にクライアントを偽装する" ユーザー権利 (SeImpersonatePrivilege)

"認証後にクライアントを偽装する" ユーザー権利 (SeImpersonatePrivilege) は、Windows 2000 SP4 で最初に導入された Windows 2000 セキュリティ設定です。 既定では、デバイスのローカル Administrators グループとデバイスのローカル サービス アカウントのメンバーには、"認証後にクライアントを偽装する" ユーザー権利が割り当てられます。 次のコンポーネントにも、このユーザー権限があります。

  • Service Control Manager によって開始されるサービス
  • COM インフラストラクチャによって開始され、特定のアカウントで実行するように構成されているコンポーネント オブジェクト モデル (COM) サーバー

"認証後にクライアントを偽装する" ユーザー権限をユーザーに割り当てると、そのユーザーに代わって実行されるプログラムがクライアントの偽装を許可されます。 このセキュリティ設定は、リモート プロシージャ コール (RPC) や名前付きパイプなどのメソッドを使用して、未承認のサーバーがクライアントに接続するクライアントの偽装を防ぐのに役立ちます。 SeImpersonatePrivilege 関数の詳細については、次の Microsoft Web サイトを参照してください。
認証後にクライアントを偽装

Impersonate 関数 (ImpersonateClient、ImpersonateLoggedOnUser、ImpersonateNamedPipeClient など) の詳細については、Microsoft Platform SDK ドキュメントで SeImpersonatePrivilege を検索してください。 このドキュメントを表示するには、次の Microsoft Web サイトを参照してください。
認証後にクライアントを偽装

問題 1 のトラブルシューティング

  • Windows 2000 SP4 をインストールした後、偽装を使用する一部のプログラムが正しく動作しない場合があります。

    コンピューターに Windows 2000 Service Pack 4 (SP4) をインストールした後、偽装を使用する一部のプログラムが正しく動作しない可能性があります。

    この問題は、プログラムの実行に使用されるユーザー アカウントに "認証後にクライアントを偽装する" ユーザー権利がない場合に発生する可能性があります。

    Windows 2000 Service Pack 3 (SP3) 以前を実行しているコンピューターでは、クライアントを偽装するためのユーザー権限は必要ありません。 そのため、Windows 2000 SP4 をインストールした後、偽装を使用する一部のプログラムが正しく動作しない場合があります。

    この問題を解決するには、プログラムの実行に使用されるユーザー アカウントを特定し、そのユーザー アカウントに "認証後にクライアントを偽装する" ユーザー権限を割り当てます。 これを行うには、次の手順を実行します。

    1. [ スタート] をクリックし、[ プログラム] をポイントし、[ 管理ツール] をポイントして、[ ローカル セキュリティ ポリシー] をクリックします。
    2. [ ローカル ポリシー] を展開し、[ ユーザー権利の割り当て] をクリックします。
    3. 右側のウィンドウで、[ 認証後にクライアントを偽装する] をダブルクリックします。
    4. [ ローカル セキュリティ ポリシー設定 ] ダイアログ ボックスで、[ 追加] をクリックします。
    5. [ ユーザーまたはグループの選択 ] ダイアログ ボックスで、追加するユーザー アカウントをクリックし、[ 追加] をクリックし、[ OK] をクリックします。
    6. [OK] をクリックします。

    注:

    プログラムの実行に使用されるユーザー アカウントを特定できず、発生している症状がユーザー権利によって引き起こされていることを確認する状況をトラブルシューティングするには、[認証後にクライアントを偽装する] ユーザー権限を Everyone グループに割り当ててから、プログラムを開始します。 プログラムが正しく動作する場合は、発生している問題が新しいセキュリティ設定によって発生している可能性があります。

  • Visual Studio .NET で Web アプリケーションをデバッグすると、"プロジェクトの実行中にエラー" というエラー メッセージが表示されます。

問題 2: "グローバル オブジェクトの作成" ユーザー権利 (SeCreateGlobalPrivilege)

"グローバル オブジェクトの作成" ユーザー権利 (SeCreateGlobalPrivilege) は、Windows 2000 SP4 で初めて導入された Windows 2000 セキュリティ設定です。 ユーザー アカウントがグローバル ファイル マッピングとシンボリック リンク オブジェクトを作成するには、ユーザー権限が必要です。 ユーザーは、このユーザー権限を割り当てずにセッション固有のオブジェクトを作成できます。 既定では、Service Control Manager によって開始される Administrators グループ、システム アカウント、およびサービスのメンバーには、"グローバル オブジェクトの作成" ユーザー権利が割り当てられます。

問題 2 のトラブルシューティング

  • Windows 2000 SP4 をインストールした後、一部のプログラムが正しく動作しない場合があります。

    コンピューターに Windows 2000 Service Pack 4 (SP4) をインストールした後、一部のプログラムが正しく動作しない可能性があります。 この問題は、プログラムの実行に使用されるユーザー アカウントに "グローバル オブジェクトの作成" ユーザー権限がない場合に発生する可能性があります。

    この問題を解決するには、プログラムの実行に使用されるユーザー アカウントを特定し、そのユーザー アカウントに "グローバル オブジェクトの作成" ユーザー権限を割り当てます。 これを行うには、次の手順を実行します。

    1. [ スタート] をクリックし、[ プログラム] をポイントし、[ 管理ツール] をポイントして、[ ローカル セキュリティ ポリシー] をクリックします。
    2. [ ローカル ポリシー] を展開し、[ ユーザー権利の割り当て] をクリックします。
    3. 右側のウィンドウで、[ グローバル オブジェクトの作成] をダブルクリックします。
    4. [ ローカル セキュリティ ポリシー設定 ] ダイアログ ボックスで、[ 追加] をクリックします。
    5. [ ユーザーまたはグループの選択 ] ダイアログ ボックスで、追加するユーザー アカウントをクリックし、[ 追加] をクリックし、[ OK] をクリックします。
    6. [OK] をクリックします。

    注:

    プログラムの実行に使用されるユーザー アカウントを特定できず、発生している症状がユーザー権利によって発生していることを確認する必要がある状況をトラブルシューティングするには、[すべてのユーザー] グループに "グローバル オブジェクトの作成" ユーザー権限を割り当ててから、プログラムを起動します。 プログラムが正しく動作する場合は、発生している問題が新しいセキュリティ設定によって発生している可能性があります。

  • ターミナル サービス セッションで Office XP ドキュメント内のクリップを検索すると、"メモリ不足" というエラー メッセージが表示されます。

  • McAfee ペアレンタル コントロールをインストールした後に Windows 2000 サーバー ベースのコンピューターを再起動すると、コンピューターの応答が停止 (ハング) します。