wsecedit.dll.mui セキュリティ構成 UI モジュール 67a6070719a07e914418c3f301369137

File info

File name: wsecedit.dll.mui
Size: 261632 byte
MD5: 67a6070719a07e914418c3f301369137
SHA1: 694bc7c070ebe0f3fc41f59ad8b8d3fab8939304
SHA256: 63bf1a1bdb247165258a2a9d78ae8c677ec04dfb5dff98d53952250438d28c92
Operating systems: Windows 10
Extension: MUI

Translations messages and strings

If an error occurred or the following message in Japanese language and you cannot find a solution, than check answer in English. Table below helps to know how correctly this phrase sounds in English.

id Japanese English
1WSecEdit Extension Class WSecEdit Extension Class
2名前 Name
3説明 Description
4ポリシー Policy
5データベースの設定 Database Setting
6コンピューターの設定 Computer Setting
7セキュリティ テンプレート Security Template
8テンプレート Templates
9前回の構成/分析 Last Configuration/Analysis
10コンピューターを構成または分析するために定義されたセキュリティ テンプレートです。 Security templates defined to configure or analyze a computer.
12セキュリティ ポリシー Security Policy
13ユーザー権利の割り当て User Rights Assignment
14制限されたグループ Restricted Groups
15システム サービス System Services
16レジストリ Registry
17ファイル システム File System
21システム サービスの設定 System service settings
22レジストリ セキュリティの設定 Registry security settings
23ファイル システム セキュリティの設定 File system security settings
25(未保存) (not saved)
26セキュリティの設定 Security Settings
27WSecEdit Security Configuration Class WSecEdit Security Configuration Class
28WSecEdit Security Manager Class WSecEdit Security Manager Class
29%s を削除しますか? Are you sure you want to delete %s?
30選択した項目を削除しますか? Do you want to delete all selected items?
31コンピューターの分析(&A)...
コンピューターの現在の設定と選択されたデータベースに格納されているセキュリティの設定を照合して、比較します。
&Analyze Computer Now...
Compares the current computer settings against the security settings in the database
34テンプレートのエクスポート(&E)...
現在のコンピューターのベース テンプレートをエクスポートします。
&Export Template...
Exports the base template for the current computer
35ファイルの追加(&L)...
このテンプレートに新しいファイルを追加します。
Add Fi&les...
Adds new files to this template
36新しいテンプレートの検索パス(&N)...
セキュリティ テンプレートの検索パスにテンプレートの場所を追加します (.inf - INF 形式)
&New Template Search Path...
Adds a template location to the Security Templates' search path (.inf - INF format)
37新しいテンプレート(&N)...
新しいテンプレートを作成します
&New Template...
Creates a new template
38パスの削除(&R)
検索パスから選択した場所を削除します
&Remove Path
Removes the selected location from the search path
39最新の情報に更新(&F)
表示を更新して新しく追加されたテンプレートを表示します
Re&fresh
Updates this location to display recently added templates
40コンピューターの構成(&F)...
選択したテンプレートに従ってコンピューターを構成します
Con&figure Computer Now...
Configures the computer according to the selected template
42'%s' からテンプレートをインポートできません Windows cannot import the template from %s
43名前を付けて保存(&A)...
テンプレートを新しい名前で保存します
Save &As...
Saves the template with a new name
44コピー(&C)
選択したテンプレート情報をクリップボードにコピーします
&Copy
Copies the selected template information to the Clipboard
45貼り付け(&P)
クリップボード情報をテンプレートに貼り付けます
&Paste
Pastes Clipboard information into the template
46ソース GPO Source GPO
47最新の情報に更新(&R)
データを最新の情報に更新します
&Refresh
Refreshes data
48このオブジェクトを追加するにはセキュリティの保護が必要です Security is required to add this object
49セキュリティ テンプレートをインポートできません Windows cannot import the security template
50パスワードのポリシー Password Policy
51パスワードの有効期間
Maximum password age
days
52パスワードの変更禁止期間
Minimum password age
days
53パスワードの長さ
文字以上
Minimum password length
characters
54パスワードの履歴を記録する
Enforce password history
passwords remembered
55複雑さの要件を満たす必要があるパスワード Password must meet complexity requirements
56ユーザーがパスワードを変更するにはログオンが必要 User must log on to change the password
57アカウント ロックアウトのポリシー Account Lockout Policy
58アカウントのロックアウトのしきい値
回ログオンに失敗
Account lockout threshold
invalid logon attempts
59ロックアウト カウンターのリセット
分後
Reset account lockout counter after
minutes
60ロックアウト期間
Account lockout duration
minutes
61このテンプレートを削除しますか? Do you want to delete this template?
62データベースは読み込まれていません。 The database is not loaded.
63ネットワーク セキュリティ: ログオン時間を経過した場合はユーザーを強制的にログオフさせる Network security: Force logoff when logon hours expire
65アカウント: Administrator アカウント名の変更 Accounts: Rename administrator account
67アカウント: Guest アカウント名の変更 Accounts: Rename guest account
68再読み込み
ポリシー データベースからのローカル、および有効なポリシー テーブルをもう一度読み込みます
Reload
Reloads the local and effective policy tables from the policy database
69グループ名 Group Name
70イベント ログ Event Log
71システム ログの最大サイズ
KB
Maximum system log size
kilobytes
72システム ログの保存方法 Retention method for system log
73システム ログの保存日数
Retain system log
days
74セキュリティ ログの最大サイズ
KB
Maximum security log size
kilobytes
75セキュリティ ログの保存方法 Retention method for security log
76セキュリティ ログの保存日数
Retain security log
days
77アプリケーション ログの最大サイズ
KB
Maximum application log size
kilobytes
78アプリケーション ログの保存方法 Retention method for application log
79アプリケーション ログの保存日数
Retain application log
days
80セキュリティの監査ログがいっぱいになったら、コンピューターをシャットダウンする Shut down the computer when the security audit log is full
81監査ポリシー Audit Policy
82イベント監査モード Event Auditing Mode
83システム イベントの監査 Audit system events
84ログオン イベントの監査 Audit logon events
85オブジェクト アクセスの監査 Audit object access
86特権使用の監査 Audit privilege use
87ポリシーの変更の監査 Audit policy change
88アカウント管理の監査 Audit account management
89プロセス追跡の監査 Audit process tracking
90セキュリティ オプション Security Options
92未定義 Not Defined
95メンバーを追加できません Cannot add members
96セキュリティを表示できません Cannot display security
97ユーザーを追加できません Cannot add users
98ディレクトリ オブジェクトを追加できません Cannot add directory object
99フォルダーを追加できません Cannot add a folder
100-- メンバー -- Members
102このファイル名には現在のシステム言語によって認識されない文字が含まれています。ファイル名を変更してください。 This file name contains some characters that can not be recognized by current system language. Please rename it.
103アクセス許可 Permission
104監査 Audit
106ファイルを追加できません。 Windows cannot add a file.
107テンプレート名が有効ではありません。 The template name is not valid.
108格納されたテンプレートのエクスポート中にエラーが発生しました。 An error occurred while exporting the stored template.
109レジストリ キーを追加できません Windows cannot add a registry key
110フル コントロール Full Control
111変更 Modify
112読み取りと実行 Read and Execute
113フォルダーの内容の一覧表示 List Folder Contents
114読み取り Read
115書き込み Write
116フォルダーのスキャンとファイルの実行 Traverse Folder/Execute File
117削除 Delete
120なし None
124値の照会 Query Value
125値の設定 Set Value
126サブキーの作成 Create Subkey
127サブキーの列挙 Enumerate Subkeys
128通知 Notify
129リンクの作成 Create Link
130実行 Execute
131スレッドを作成できません Cannot create a thread
132次のアカウントは検証できませんでした: %1
The following accounts could not be validated: %1
141ログ ファイル名 Log File Name
143セキュリティの分析の実行 Perform Security Analysis
144セキュリティ ポリシーの設定 Security policy settings
146セキュリティの構成と分析
v1.0
Security Configuration and Analysis
v1.0
147セキュリティの構成と分析は、コンピューターをセキュリティで保護し、セキュリティ面の分析を行うための管理ツールです。これによりセキュリティ テンプレートの作成および編集、セキュリティ テンプレートの適用、テンプレートに基づく分析の実行、分析情報の表示を行うことができます。 Security Configuration and Analysis is an administrative tool used to secure a computer and analyze security aspects. You can create or edit a security template, apply the security template, perform analyses based on a template, and display analysis results.
148前回の分析の場所
Last analysis was performed on
149ベース セキュリティの構成の説明:
Base security configuration description:
150コンピューターは次のテンプレートにより構成されました。
分析は行われていません。
The computer was configured by the following template.
Analysis was not performed.
151このデータベースは、セキュリティの構成と分析を使って構成または分析されていません。 The database has not been configured or analyzed using Security Configuration and Analysis.
152セキュリティの構成と分析のバージョン情報 About Security Configuration and Analysis
153前回の分析情報 About Last Analysis
154セキュリティ テンプレートにテンプレートの場所を追加します Add a Template Location to Security Templates
165オブジェクト名 Object Name
166矛盾している値です。 Inconsistent Values
168テンプレートを開く Open Template
169セキュリティ テンプレート (.inf)|*.inf|| Security Template (.inf)|*.inf||
170inf inf
171エラー ログ ファイルを開く Open Error Log File
172log log
173ログ ファイル (.log)|*.log|| Log files (.log)|*.log||
193Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Template Locations Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Template Locations
194テンプレート ファイルを開けません。 Windows cannot open template file.
195テンプレート情報を読み取ることができません。 Windows cannot read template information.
196指定のデータベースには表示する分析情報がありません。このツールを使用開始するには [分析] メニューのオプションを使ってください。 There is no analysis information in the selected database to display. Use the Analyze menu option to start using this tool.
1970 0
198必要時 As needed
199指定した日数 By days
200手動 Manually
201有効 Enabled
202無効 Disabled
203オン On
204オフ Off
210メンバー Members
211所属するグループ Member Of
214CLASSES_ROOT CLASSES_ROOT
215MACHINE MACHINE
216USERS USERS
217成功 Succeeded
229不明なエラー Unknown error
232\Security\Templates \Security\Templates
233ネットワーク経由でのアクセス Access this computer from the network
234ローカル ログオンを許可 Allow log on locally
235保存に失敗しました Failed to save
236保存(&S)
テンプレートを保存します。
&Save
Save the template
237Software\Microsoft\Windows NT\CurrentVersion\SecEdit Software\Microsoft\Windows NT\CurrentVersion\SecEdit
238フォルダーの追加 Add Folder
239フォルダーの追加(&F)...
このテンプレートに新しいフォルダーを追加します。
Add &Folder...
Adds a new folder to this template
240キーの追加(&K)...
このテンプレートに新しいキーを追加します。
Add &Key...
Adds a new key to this template
241グループの追加(&G)...
このテンプレートに新しいグループを追加します。
Add &Group...
Adds a new group to this template
248サービス名 Service Name
249スタートアップ Startup
250分析済 Analyzed
251構成済み Configured
252自動 Automatic
254OK OK
255調査 Investigate
256データベース セキュリティ - Database Security for
257前回のセキュリティの分析 - Last Analyzed Security for
258セキュリティ - Security for
262グループ メンバーシップ Group Membership
263このグループのメンバー Members of this group
266アカウント ポリシー Account Policies
267パスワードとアカウント ロックアウトのポリシー Password and account lockout policies
268ローカル ポリシー Local Policies
269監査、ユーザー権利およびセキュリティ オプションのポリシー Auditing, user rights and security options policies
271イベント ログの設定とイベント ビューアー Event Log settings and Event Viewer
272ディレクトリ サービスのアクセスの監査 Audit directory service access
273アカウント ログオン イベントの監査 Audit account logon events
275ゲストによるシステム ログへのアクセスを許可しない Prevent local guests group from accessing system log
276ゲストによるセキュリティ ログへのアクセスを許可しない Prevent local guests group from accessing security log
277ゲストによるアプリケーション ログへのアクセスを許可しない Prevent local guests group from accessing application log
278常時 Always
281無視 Ignore
284置換 Replace
286バッチ ジョブとしてログオン Log on as a batch job
287サービスとしてログオン Log on as a service
288Active Directory オブジェクト Active Directory Objects
289Active Directory オブジェクトのセキュリティの管理 Security management of Active Directory objects
290ディレクトリ オブジェクトの追加(&O)
このテンプレートに Active Directory のオブジェクトを追加します
Add Directory &Object
Adds an Active Directory object to this template
293フォルダーの一覧/データの読み取り List folder / Read data
294属性の読み取り Read attributes
295拡張属性の読み取り Read extended attributes
296ファイルの作成/データの書き込み Create files / Write data
297フォルダーの作成/データの追加 Create folders / Append data
298属性の書き込み Write attributes
299拡張属性の書き込み Write extended attributes
300サブフォルダーとファイルの削除 Delete subfolders and files
302アクセス許可の読み取り Read permissions
303アクセス許可の変更 Change permissions
304所有権の取得 Take ownership
305同期 Synchronize
306読み取り、書き込みと実行 Read, Write and Execute
307書き込みと実行 Write and Execute
308スキャンと実行 Traverse / Execute
309このフォルダーのみ This folder only
310このフォルダー、サブフォルダーおよびファイル This folder, subfolders and files
311このフォルダーとサブフォルダー This folder and subfolders
312このフォルダーとファイル This folder and files
313サブフォルダーとファイルのみ Subfolders and files only
314サブフォルダーのみ Subfolders only
315ファイルのみ Files only
316このキーのみ This key only
317このキーとサブキー This key and subkeys
318サブキーのみ Subkeys only
321開始、停止と一時停止 Start, stop and pause
322テンプレートの照会 Query template
323テンプレートの変更 Change template
324状態の照会 Query status
325依存しているサービスの列挙 Enumerate dependents
326開始 Start
327停止 Stop
328一時停止と続行 Pause and continue
329問い合わせ Interrogate
330ユーザー定義コントロール User-defined control
335子オブジェクトの作成 Create children
336子オブジェクトの削除 Delete children
337内容の一覧 List contents
338自身の追加と削除 Add/remove self
339プロパティの読み取り Read properties
340プロパティの書き込み Write properties
341このコンテナーのみ This container only
342このコンテナーとサブコンテナー This container and subcontainers
343サブコンテナーのみ Subcontainers only
344[[ ローカル コンピューター ポリシーの構成 ]] [[Local Computer Policy Configuration ]]
345アカウントはロックアウトされません。 Account will not lock out.
346パスワードを今すぐ変更できます。 Password can be changed immediately.
347パスワードを必要としません。 No password required.
348パスワードの履歴を記録しません。 Do not keep password history.
349パスワードの有効期間: Password will expire in:
350パスワードの変更禁止期間: Password can be changed after:
351パスワードの長さ: Password must be at least:
352パスワードの履歴を記録する回数: Keep password history for:
353アカウントのロックアウト: Account will lock out after:
354ロックアウト期間: Account is locked out for:
355指定した日数を過ぎたらイベントを上書きする: Overwrite events older than:
356パスワードを無期限にします。 Password will not expire.
357管理者がロック解除するまでアカウントをロック アウトにします。 Account is locked out until administrator unlocks it.
359暗号化を元に戻せる状態でパスワードを保存する Store passwords using reversible encryption
360Kerberos ポリシー Kerberos Policy
361ユーザー ログオンの制限を強制する Enforce user logon restrictions
362コンピューターの時計の同期の最長トレランス
Maximum tolerance for computer clock synchronization
minutes
363サービス チケットの最長有効期間
Maximum lifetime for service ticket
minutes
364チケットの最長有効期間
時間
Maximum lifetime for user ticket
hours
365ユーザー チケットを更新できる最長有効期間
Maximum lifetime for user ticket renewal
days
366メンバーを追加します Add Member
368メモリ不足のため、このセクションを表示できません There is not enough memory to display this section
369前回の分析の情報を利用できません No information is available about the last analysis
370変更されたテンプレートを保存できません。 Windows cannot save changed templates.
372セキュリティの構成と分析 Security Configuration and Analysis
374テンプレートのインポート(&I)...
このデータベースにテンプレートをインポートします。
&Import Template...
Import a template into this database
376'%s' を作成できないか、または開くことができません Windows cannot create or open %s
377エラー ログ ファイルの場所の指定 Locate error log file
378sdb sdb
379セキュリティ データベース ファイル (*.sdb)|*.sdb|すべてのファイル (*.*)|*.*|| Security Database Files (*.sdb)|*.sdb|All Files (*.*)|*.*||
380テンプレートをコンピューターに適用 Apply Template to Computer
381コンピューターの構成の進行状態を記録するためのエラー ログ ファイルのパス Error log file path to record the progress of configuring the computer
382セキュリティ(&S)... &Security...
383このアイテムのセキュリティを編集します。 Edit security for this item
384Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Configuration Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Configuration
385セキュリティ(&S)...
このアイテムのセキュリティを編集します。
&Security...
Edit security for this item
386EnvironmentVariables EnvironmentVariables
387%AppData%|%UserProfile%|%AllUsersProfile%|%ProgramFiles%|%SystemRoot%|%SystemDrive%|%Temp%|%Tmp%| %AppData%|%UserProfile%|%AllUsersProfile%|%ProgramFiles%|%SystemRoot%|%SystemDrive%|%Temp%|%Tmp%|
388データベースを開く(&P)...
既存の、または新しいデータベースを開きます。
O&pen Database...
Open an existing or new database
389新しいデータベース(&N)...
新しいデータベースを作成して開きます。
&New Database...
Create and open a new database
390説明の設定(&P)...
このディレクトリにあるテンプレートの説明を作成します
Set Descri&ption...
Create a description for the templates in this directory
392\help\sce.chm \help\sce.chm
395すべてのファイル (*.*)|*.*|| All files (*.*)|*.*||
396データベース: %s Database: %s
397データベースを開こうとしたときに不明なエラーが発生しました。 An unknown error occurred when attempting to open the database.
398データベースを使用する前に分析する必要があります。データベースのメニューから分析を実行するオプションを選択してください。 Before you can use the database, you must analyze it. On the Database menu, select the option to run an analysis.
399開こうとしているデータベースは存在しません。データベース メニューの [テンプレートのインポート] をクリックしてください。 The database you are attempting to open does not exist. On the Database menu, click Import Template.
400データベースは壊れています。データベースの修復については、オンライン ヘルプを参照してください。 The database is corrupt. For information about fixing the database, see online Help.
401データベースを読み込むためのメモリが不足しています。いくつかのプログラムを閉じて再実行してください。 There is not enough memory available to load the database. Close some programs and then try again.
402データベースへのアクセスは拒否されています。データベースのアクセス許可が変更されていない限り、データベースを利用するには管理者の権限が必要です。 Access to the database is denied. Unless the permissions on the database have been changed, you must have administrative rights to use it.
403\Security\Database \Security\Database
404%s に変更を保存しますか? Do you want to save changes to %s?
405保留中の既存のインポートされたテンプレートがあります。保存するにはほかのテンプレートをインポートする前に、[キャンセル] をクリックして分析または構成を実行してください。以前にインポートされたテンプレートを無視するには [OK] をクリックしてください。
There is an existing imported template pending. To save, click Cancel, and then run an analysis or configuration before importing another template. To ignore the previous imported template, click OK.
406すべての選択されたファイル All Selected Files
407ローカル ログオンを拒否 Deny log on locally
408ネットワーク経由のアクセスを拒否 Deny access to this computer from the network
409サービスとしてのログオンを拒否 Deny log on as a service
410バッチ ジョブとしてのログオンを拒否 Deny log on as a batch job
411グループの追加 Add Group
412グループ(&G): &Group:
413未分析 Not Analyzed
414分析エラー Error Analyzing
416提案された設定 Suggested Setting
417ローカル ポリシー...
ローカル ポリシーの設定からテンプレート ファイルを作成します
Local Policy ...
Create template file from the local policy settings
418有効なポリシー...
有効なポリシーの設定からテンプレート ファイルを作成します
Effective Policy ...
Create template file from the effective policy settings
419セキュリティの構成と分析 既存のデータベースを開くには [セキュリティの構成と分析] を右クリックします。[データベースを開く] をクリックします。 データベースを選択してから、[開く] をクリックします。 新しいデータベースを作成するには [セキュリティの構成と分析] を右クリックします。 [データベースを開く] をクリックします。 新しいデータベース名を入力して、[開く] をクリックします。 インポートするセキュリティ テンプレートを選択して、[開く] をクリックします。 Security Configuration and Analysis To Open an Existing Database Right-click the Security Configuration and Analysis scope item Click Open Database Select a database, and then click Open To Create a New Database Right-click the Security Configuration and Analysis scope item Click Open Database Type a new database name, and then click Open Select a security template to import, and then click Open
420
422開こうとしているデータベースは存在しません。 The database you are attempting to open does not exist.
423[セキュリティの設定] メニュー コマンドから[ポリシーのインポート]を選択して、新しいローカル ポリシー データベースを作成できます。 You can create a new local policy database by choosing Import Policy from the Security Settings menu commands.
424データベースへのアクセスは拒否されました。 Access to database has been denied.
425ログ ファイルの表示(&G)
セキュリティ構成と分析のノードが選択されているときにログ ファイルとフォルダー ツリーの表示を切り替えます。
View Lo&g File
Toggle display of the log file or folder tree when Security Configuration and Analysis node is selected
426このデータベースのセキュリティの設定を使って、コンピューターの構成と分析ができます。 コンピューターを構成するには[セキュリティの構成と分析] を右クリックします。[コンピューターの構成] を選択します。表示するログ ファイル名をダイアログで入力して、[OK] をクリックします。注意: 構成を完了した後データベースの情報を表示するには、分析を実行する必要があります。コンピューター セキュリティの設定を分析するには [セキュリティの構成と分析] を右クリックします。[コンピューターの分析] を選択します。ダイアログでログ ファイル パスを入力し、[OK] をクリックします。注意: 構成中または分析中に作成されたログ ファイルを表示するには [セキュリティの構成と分析] コンテキスト メニューで [ログ ファイルの表示] を選択します。 You can now configure or analyze your computer by using the security settings in this database. To Configure Your ComputerRight-click the Security Configuration and Analysis scope itemSelect Configure Computer NowIn the dialog, type the name of the log file you wish to view, and then click OKNOTE: After configuration is complete, you must perform an analysis to view the information in your databaseTo Analyze Your Computer Security Settings Right-click the Security Configuration and Analysis scope itemSelect Analyze Computer NowIn the dialog, type the log file path, and then click OKNOTE: To view the log file created during a configuration or analysis, select View Log File on the Security Configuration and Analysis context menu.
427 場所の読み取りエラー Error Reading Location
429ポリシー設定 Policy Setting
430セキュリティ ウィザード(&W)...
サーバーの役割のセキュリティ ウィザード
Secure &Wizard...
Secure Server Role Wizard
431テンプレート %s が無効であるためインポートできません Windows cannot import invalid template %s
432アカウント: Administrator アカウントの状態 Accounts: Administrator account status
433アカウント: Guest アカウントの状態 Accounts: Guest account status
434プロパティ Properties
435ユーザー名が無効です。名前が空か、以下の文字のどれも含んでいない可能性があります:
%1
The username is not valid. It is empty or it may not contain any of the following characters:
%1
436最小なし No minimum
437ユーザー名とグループ名には次の文字を含めることはできません:
%1
User and group names may not contain any of the following characters:
%1
438指定されたパスが見つかりません:
%1
The system can not find the path specified:
%1
439ファイル名に次の文字を含めることはできません:
%1
File name may not contain any of the following characters:
%1
440スタートアップ モードを選択してください A startup mode must be selected.
441開いているウィンドウでプロパティが表示されているために、このオブジェクト "%1" を削除できません。
このオブジェクトを削除するには、ウィンドウを閉じて再度 [削除] をクリックしてください。
Object "%1" cannot be deleted because an open window is displaying its properties.
To delete this object, close that window and select "Delete" again.
442%.17s のメンバーシップの構成... Configure Membership for %.17s...
443ロックアウト カウンターのリセット Reset account lockout counter after
444説明の設定(&P)...
このテンプレートの説明を作成します
Set Descri&ption...
Create a description for this template
445説明に以下の文字を使うことはできません:
%1
Description may not contain any of the following characters:
%1
446テンプレート設定 Template Setting
449このオブジェクトに対する正しいアクセス許可を持っていることを確認してください。 Make sure that you have the right permissions to this object.
450このオブジェクトが存在することを確認してください。 Make sure that this object exists.
451%1 フォルダーは使用できません。ほかのフォルダーを選択してください。 The folder %1 cannot be used. Choose another folder.
452My Computer My Computer
453ファイル名が長すぎます。 The file name is too long.
552spolsconcepts.chm::/html/2ff43721-e5fb-4e0c-b1a1-4ee3f414a3b7.htm spolsconcepts.chm::/html/2ff43721-e5fb-4e0c-b1a1-4ee3f414a3b7.htm
697ファイル名に次の文字だけを使用することはできません:
%1
File name may not only contain any of the following characters:
%1
698%1
このファイル名は予約済みのデバイス名です。
別の名前を選択してください。
%1
This file name is a reserved device name.
Choose another name.
699ファイルの種類が正しくありません。 The file type is not correct.
700要求された操作を実行するには、Administrators グループのメンバーである必要があります。 You must be a member of the Administrators group to perform the requested operation.
701ファイル名 %1 は無効です。
ファイル名を正しい形式で入力し直してください (例: c:\location\file.%2)。
The file name %1 is not valid.
Reenter the file name in the correct format, such as c:\location\file.%2.
702アカウント名とセキュリティ ID のマッピングが 1 つもされていません。 No mapping between account names and security IDs was done
709この設定をドメインのアカウントに適用するためには、既定のドメイン ポリシーで設定を定義しなければなりません。 To affect domain accounts, this setting must be defined in default domain policy.
718ローカル セキュリティ ポリシー Local Security Policy
740%1%2 %1%2
741%1%2
%3
%1%2
%3
745特殊 Special
753SAM へのリモート アクセスのセキュリティ設定 Security Settings for Remote Access to SAM
754リモート アクセス Remote Access
762集約型アクセス ポリシー Central Access Policy
763集約型アクセス ポリシーがファイル システムに適用されました Central Access Policies applied to the file system
764!!不明なポリシー!!: !!Unknown policy!!:
765%1 %2 %1 %2
1900パスワードの履歴を記録する

このセキュリティ設定は、以前使ったことがあるパスワードをもう一度使用できるようになるまでに、ユーザー アカウントに関連付ける必要がある異なる新しいパスワードの数を決定します。0 から 24 までの値を指定してください。

このポリシーを使用すると、管理者は古いパスワードの継続使用を防ぐことによってセキュリティを強化できます。

既定値:

24 (ドメイン コントローラーの場合)
0 (スタンドアロン サーバーの場合)

注意: 既定では、メンバー コンピューターはそのドメイン コントローラーの構成に従います。
パスワードの履歴の有効性を保つために、パスワードの変更禁止期間セキュリティ ポリシーも有効にして、パスワードを変更した直後にはパスワードを変更できないようにしてください。パスワードの変更禁止期間セキュリティ ポリシーの詳細については、「パスワードの変更禁止期間」を参照してください。
Enforce password history

This security setting determines the number of unique new passwords that have to be associated with a user account before an old password can be reused. The value must be between 0 and 24 passwords.

This policy enables administrators to enhance security by ensuring that old passwords are not reused continually.

Default:

24 on domain controllers.
0 on stand-alone servers.

Note: By default, member computers follow the configuration of their domain controllers.
To maintain the effectiveness of the password history, do not allow passwords to be changed immediately after they were just changed by also enabling the Minimum password age security policy setting. For information about the minimum password age security policy setting, see Minimum password age.
1901パスワードの有効期間

このセキュリティ設定は、1 つのパスワードを使用できる期間 (日数) を決定します。この期間を過ぎると、システムから変更するよう要求されます。有効期間として 1 から 999 までの日数を指定するか、日数を 0 に設定してパスワードの有効期限が切れないように指定します。パスワードの有効期間が 1 から 999 日の場合、パスワードの変更禁止期間にはこの有効期間よりも短い日数を指定してください。パスワードの有効期間が 0 に設定されている場合は、パスワードの変更禁止期間として 0 から 998 までの日数を指定できます。

注意: ご使用の環境に応じて、パスワードの有効期間を 30 から 90 日間に設定しておくとセキュリティ上最も効果的です。これにより、攻撃者がユーザー パスワードの解読とネットワーク リソースへのアクセスに使用できる時間が制限されます。

既定値: 42
Maximum password age

This security setting determines the period of time (in days) that a password can be used before the system requires the user to change it. You can set passwords to expire after a number of days between 1 and 999, or you can specify that passwords never expire by setting the number of days to 0. If the maximum password age is between 1 and 999 days, the Minimum password age must be less than the maximum password age. If the maximum password age is set to 0, the minimum password age can be any value between 0 and 998 days.

Note: It is a security best practice to have passwords expire every 30 to 90 days, depending on your environment. This way, an attacker has a limited amount of time in which to crack a user's password and have access to your network resources.

Default: 42.
1902パスワードの変更禁止期間

このセキュリティ設定は、パスワードが変更可能になるまでの期間 (日数) を決定します。この期間内は、同じパスワードを使わなければなりません。1 から 998 までの日数を指定するか、または日数を 0 に設定してすぐに変更できるようにします。

パスワード有効期間が 0 (有効期限が無期限) に設定されている場合を除き、パスワードの変更禁止期間には、パスワード有効期間よりも短い値を設定してください。パスワードの有効期間が 0 に設定されている場合は、パスワード変更禁止期間として 0 から 998 までの日数を指定できます。

[パスワードの履歴を記録する] を有効にする場合は、パスワードの変更禁止期間を 1 以上に設定してください。パスワードの変更禁止期間を指定しない場合、ユーザーはパスワードを繰り返し変更して、以前のパスワードを再度利用することができます。既定の設定はこの推奨事項に従っていません。これは、管理者がユーザーのパスワードを設定しておき、管理者指定のパスワードをログオン時に変更するようユーザーに要求できるようにするためです。パスワードの履歴が 0 の場合、ユーザーは新しいパスワードを設定する必要がありません。このため、[パスワードの履歴を記録する] の既定値は 1 に設定されています。

既定値:

1 (ドメイン コントローラーの場合)
0 (スタンドアロン サーバーの場合)

注意: 既定では、メンバー コンピューターはそのドメイン コントローラーの構成に従います。
Minimum password age

This security setting determines the period of time (in days) that a password must be used before the user can change it. You can set a value between 1 and 998 days, or you can allow changes immediately by setting the number of days to 0.

The minimum password age must be less than the Maximum password age, unless the maximum password age is set to 0, indicating that passwords will never expire. If the maximum password age is set to 0, the minimum password age can be set to any value between 0 and 998.

Configure the minimum password age to be more than 0 if you want Enforce password history to be effective. Without a minimum password age, users can cycle through passwords repeatedly until they get to an old favorite. The default setting does not follow this recommendation, so that an administrator can specify a password for a user and then require the user to change the administrator-defined password when the user logs on. If the password history is set to 0, the user does not have to choose a new password. For this reason, Enforce password history is set to 1 by default.

Default:

1 on domain controllers.
0 on stand-alone servers.

Note: By default, member computers follow the configuration of their domain controllers.
1903パスワードの長さ

このセキュリティ設定は、ユーザー アカウントのパスワードに使用できる最少文字数を決定します。1 から 14 文字に設定するか、文字数を 0 に設定してパスワードを不要にします。

既定値:

7 (ドメイン コントローラーの場合)
0 (スタンドアロン サーバーの場合)

注意: 既定では、メンバー コンピューターはそのドメイン コントローラーの構成に従います。
Minimum password length

This security setting determines the least number of characters that a password for a user account may contain. You can set a value of between 1 and 14 characters, or you can establish that no password is required by setting the number of characters to 0.

Default:

7 on domain controllers.
0 on stand-alone servers.

Note: By default, member computers follow the configuration of their domain controllers.
1904複雑さの要件を満たす必要があるパスワード

このセキュリティ設定は、パスワードが複雑さの要件を満たす必要があるかどうかを決定します。

このポリシーが有効な場合、パスワードは次の最小要件を満たす必要があります。

ユーザーのアカウント名またはフル ネームに含まれる 3 文字以上連続する文字列を使用しない。
長さは 6 文字以上にする。
次の 4 つのカテゴリのうち 3 つから文字を使う。
英大文字 (A から Z)
英小文字 (a から z)
10 進数の数字 (0 から 9)
アルファベット以外の文字 (!、$、#、% など)
複雑さの要件は、パスワードの変更時または作成時に強制的に適用されます。



既定値:

有効 (ドメイン コントローラーの場合)
無効 (スタンドアロン サーバーの場合)

注意: 既定では、メンバー コンピューターはそのドメイン コントローラーの構成に従います。
Password must meet complexity requirements

This security setting determines whether passwords must meet complexity requirements.

If this policy is enabled, passwords must meet the following minimum requirements:

Not contain the user's account name or parts of the user's full name that exceed two consecutive characters
Be at least six characters in length
Contain characters from three of the following four categories:
English uppercase characters (A through Z)
English lowercase characters (a through z)
Base 10 digits (0 through 9)
Non-alphabetic characters (for example, !, $, #, %)
Complexity requirements are enforced when passwords are changed or created.



Default:

Enabled on domain controllers.
Disabled on stand-alone servers.

Note: By default, member computers follow the configuration of their domain controllers.
1905暗号化を元に戻せる状態でパスワードを保存する

このセキュリティ設定は、オペレーティング システムが暗号化を元に戻せる状態でパスワードを保存するかどうかを決定します。

このポリシーは、認証用にユーザーのパスワード情報が必要なプロトコルを使用するアプリケーションをサポートします。暗号化を元に戻せる状態でパスワードを保存するということは、実質的にパスワードをプレーンテキストで保存するのと同じことです。このため、パスワード情報の保護よりもアプリケーションの要件が優先される場合以外は、このポリシーを有効にしないでください。

このポリシーは、リモート アクセスまたはインターネット認証サービス (IAS) でチャレンジ ハンドシェイク認証プロトコル (CHAP) 認証を使用する場合に必要です。また、インターネット インフォメーション サービス (IIS) でダイジェスト認証を使用する場合にも必要です。

既定値: 無効
Store passwords using reversible encryption

This security setting determines whether the operating system stores passwords using reversible encryption.

This policy provides support for applications that use protocols that require knowledge of the user's password for authentication purposes. Storing passwords using reversible encryption is essentially the same as storing plaintext versions of the passwords. For this reason, this policy should never be enabled unless application requirements outweigh the need to protect password information.

This policy is required when using Challenge-Handshake Authentication Protocol (CHAP) authentication through remote access or Internet Authentication Services (IAS). It is also required when using Digest Authentication in Internet Information Services (IIS).

Default: Disabled.
1906ロックアウト期間

このセキュリティ設定は、ロックアウトされたアカウントが自動的にロック解除されるまでのロックアウト期間を分単位で指定します。設定できる時間は、0 から 99,999 分です。ロックアウト期間を 0 に設定すると、管理者が明示的にロックを解除するまでアカウントはロックアウトされます。

アカウント ロックアウトのしきい値が定義されている場合は、アカウント ロックアウト期間をリセット時間と同じかそれ以上にしてください。

既定値: なし。このポリシーの設定は、[アカウントのロックアウトのしきい値] が設定されている場合のみ有効です。
Account lockout duration

This security setting determines the number of minutes a locked-out account remains locked out before automatically becoming unlocked. The available range is from 0 minutes through 99,999 minutes. If you set the account lockout duration to 0, the account will be locked out until an administrator explicitly unlocks it.

If an account lockout threshold is defined, the account lockout duration must be greater than or equal to the reset time.

Default: None, because this policy setting only has meaning when an Account lockout threshold is specified.
1907アカウントのロックアウトのしきい値

このセキュリティ設定は、ユーザー アカウントがロックアウトされる原因となるログオン失敗回数を決定します。ロックアウトされたアカウントは、管理者がリセットするか、そのアカウントのロックアウト期間が過ぎるまで使用できません。ログオン失敗回数として 0 から 999 までの値を設定できます。この値を 0 に設定すると、アカウントがロックアウトされることはありません。

Ctrl + Alt + Del キーまたはパスワード保護されたスクリーン セーバーを使ってロックされているワークステーションまたはメンバー サーバーの場合、パスワードの失敗はログオンの失敗としてカウントされます。

既定値: 0
Account lockout threshold

This security setting determines the number of failed logon attempts that causes a user account to be locked out. A locked-out account cannot be used until it is reset by an administrator or until the lockout duration for the account has expired. You can set a value between 0 and 999 failed logon attempts. If you set the value to 0, the account will never be locked out.

Failed password attempts against workstations or member servers that have been locked using either CTRL+ALT+DELETE or password-protected screen savers count as failed logon attempts.

Default: 0.
1908ロックアウト カウントのリセット

このセキュリティ設定は、ログオン失敗後、ログオン失敗のカウンターが 0 (不良ログオン試行) にリセットされるまでに必要な時間を分単位で指定します。設定できる時間は、1 から 99,999 分です。

アカウント ロックアウトのしきい値が定義されている場合は、このリセット時間をロックアウト期間と同じかそれ以下にしてください。

既定値: なし。このポリシーの設定は、アカウントのロックアウトのしきい値が指定されている場合のみ有効です。
Reset account lockout counter after

This security setting determines the number of minutes that must elapse after a failed logon attempt before the failed logon attempt counter is reset to 0 bad logon attempts. The available range is 1 minute to 99,999 minutes.

If an account lockout threshold is defined, this reset time must be less than or equal to the Account lockout duration.

Default: None, because this policy setting only has meaning when an Account lockout threshold is specified.
1909ユーザー ログオンの制限を強制する

このセキュリティ設定は、Kerberos V5 キー配布センター (KDC) で、セッション チケットの各要求をユーザー アカウントのユーザー権利のポリシーに対して検証するかどうかを決定します。セッション チケットの各要求の検証はオプションです。この追加の手順には時間がかかるので、サービスへのネットワーク アクセスが遅くなる場合があるからです。

既定値: 有効
Enforce user logon restrictions

This security setting determines whether the Kerberos V5 Key Distribution Center (KDC) validates every request for a session ticket against the user rights policy of the user account. Validation of each request for a session ticket is optional, because the extra step takes time and it may slow network access to services.

Default: Enabled.
1910サービス チケットの最長有効期間

このセキュリティ設定は、与えられたセッション チケットを使用して特定のサービスにアクセスできる最長時間 (分単位) を決定します。設定は、10 分より大きい値で、ユーザーチケットの最長有効期間の設定値以下にしてください。

クライアントがサーバーへの接続要求時に期限の切れたチケットを提示すると、サーバーはエラー メッセージを返します。クライアントは、Kerberos V5 キー配布センター (KDC) に新しいセッション チケットを要求する必要があります。ただし、一度接続が認証されてしまえば、セッション チケットが有効かどうかは問題になりません。セッション チケットは、サーバーとの新しい接続を認証する場合のみ使用されます。接続の認証に使用されているセッション チケットの期限が接続中に切れた場合、進行中の操作は中断されません。

既定値: 600 分 (10 時間)
Maximum lifetime for service ticket

This security setting determines the maximum amount of time (in minutes) that a granted session ticket can be used to access a particular service. The setting must be greater than 10 minutes and less than or equal to the setting for Maximum lifetime for user ticket.

If a client presents an expired session ticket when it requests a connection to a server, the server returns an error message. The client must request a new session ticket from the Kerberos V5 Key Distribution Center (KDC). Once a connection is authenticated, however, it no longer matters whether the session ticket remains valid. Session tickets are used only to authenticate new connections with servers. Ongoing operations are not interrupted if the session ticket that is used to authenticate the connection expires during the connection.

Default: 600 minutes (10 hours).
1911チケットの最長有効期間

このセキュリティ設定は、ユーザーのチケット保証チケット (TGT) を使用できる最長時間 (時間単位) を決定します。

既定値: 10 時間
Maximum lifetime for user ticket

This security setting determines the maximum amount of time (in hours) that a user's ticket-granting ticket (TGT) may be used.

Default: 10 hours.
1912ユーザー チケットを更新できる最長有効期間

このセキュリティ設定は、ユーザーのチケット保証チケット (TGT) を更新できる期間 (日数) を決定します。

既定値: 7 日
Maximum lifetime for user ticket renewal

This security setting determines the period of time (in days) during which a user's ticket-granting ticket (TGT) may be renewed.

Default: 7 days.
1913コンピューターの時計の同期の最長トレランス

このセキュリティ設定は、Kerberos V5 で許容する、Windows Server 2003 を実行し Kerberos 認証を行うドメイン コントローラーの時刻とクライアントの時刻との最大時間差 (分単位) を指定します。

"再現による攻撃" を防ぐために、Kerberos V5 ではプロトコル定義の一部としてタイム スタンプを使用しています。タイム スタンプに基づく処理を正しく機能させるには、クライアントとドメイン コントローラーの時刻が可能な限り同期している必要があります。つまり、両方のコンピューターに同じ時刻と日付が設定されていなければなりません。2 つのコンピューターの時刻の同期がとれなくなることはよくあるので、管理者はこのポリシーを使用して Kerberos V5 で許容するクライアントとドメイン コントローラーの時刻の最大時間差を設定できます。クライアントの時刻とドメイン コントローラーの時刻の差が、このポリシーで指定する最大時間差より小さい場合は、この 2 つのコンピューター間のセッションで使用されるタイム スタンプはすべて正規のものと見なされます。

重要

Vista 以前のプラットフォームでは、この設定は固定的なものではありません。この設定を構成した後でコンピューターを再起動した場合は、設定は既定値に戻ります。

既定値: 5 分
Maximum tolerance for computer clock synchronization

This security setting determines the maximum time difference (in minutes) that Kerberos V5 tolerates between the time on the client clock and the time on the domain controller running Windows Server 2003 that provides Kerberos authentication.

To prevent "replay attacks," Kerberos V5 uses time stamps as part of its protocol definition. For time stamps to work properly, the clocks of the client and the domain controller need to be in sync as much as possible. In other words, both computers must be set to the same time and date. Because the clocks of two computers are often out of sync, administrators can use this policy to establish the maximum acceptable difference to Kerberos V5 between a client clock and domain controller clock. If the difference between a client clock and the domain controller clock is less than the maximum time difference that is specified in this policy, any time stamp that is used in a session between the two computers is considered to be authentic.

Important

This setting is not persistent on pre Vista platforms. If you configure this setting and then restart the computer, this setting reverts to the default value.

Default: 5 minutes.
1914アカウント ログオン イベントの監査

このセキュリティ設定は、このコンピューターでアカウントの資格情報が検証されるたびに OS による監査を実行するかどうかを決定します。

アカウント ログオン イベントは、あるアカウントについて権限を持つコンピューターにおいて、そのアカウントの資格情報が検証されるたびに生成されます。ドメインのメンバーおよびドメインに参加していないコンピューターは、それぞれのローカル アカウントについて権限を持ちます。ドメイン コントローラーはすべて、当該ドメインのアカウントについて権限を持ちます。資格情報の検証は、ローカル ログオンの裏付けとなるか、ドメイン コントローラー上の Active Directory ドメイン アカウントについては別のコンピューターに対するログオンの裏付けとなることがあります。資格情報の検証はステートレス (状態非依存) であるため、アカウント ログオン イベントに対応するログオフ イベントはありません。

このポリシーの設定が定義されている場合、管理者は、成功のみ監査するか、失敗のみ監査するか、成功と失敗の両方を監査するか、この種類のイベントを (成功も失敗も) まったく監査しないかを指定できます。

クライアント エディションの既定値:

資格情報の確認: 監査しない
Kerberos サービス チケット操作: 監査しない
その他のアカウント ログオン イベント: 監査しない
Kerberos 認証サービス: 監査しない

サーバー エディションの既定値:

資格情報の確認: 成功
Kerberos サービス チケット操作: 成功
その他のアカウント ログオン イベント: 監査しない
Kerberos 認証サービス: 成功

重要: 監査ポリシー全体を詳細に制御するには、[監査ポリシーの詳細な構成] ノードの設定を使用します。監査ポリシーの詳細な構成の詳細については、https://go.microsoft.com/fwlink/?LinkId=140969 (英語の可能性あり) を参照してください。
Audit account logon events

This security setting determines whether the OS audits each time this computer validates an account’s credentials.

Account logon events are generated whenever a computer validates the credentials of an account for which it is authoritative. Domain members and non-domain-joined machines are authoritative for their local accounts; domain controllers are all authoritative for accounts in the domain. Credential validation may be in support of a local logon, or, in the case of an Active Directory domain account on a domain controller, may be in support of a logon to another computer. Credential validation is stateless so there is no corresponding logoff event for account logon events.

If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures).

Default values on Client editions:

Credential Validation: No Auditing
Kerberos Service Ticket Operations: No Auditing
Other Account Logon Events: No Auditing
Kerberos Authentication Service: No Auditing

Default values on Server editions:

Credential Validation: Success
Kerberos Service Ticket Operations: Success
Other Account Logon Events: No Auditing
Kerberos Authentication Service: Success

Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1915アカウント管理の監査

このセキュリティ設定は、コンピューターでのアカウント管理の各イベントを監査するかどうかを決定します。アカウント管理イベントには次のものがあります。

ユーザー アカウント、またはユーザー グループが作成、変更、削除された。
ユーザー アカウントの名前が変更された。ユーザー アカウントが無効、または有効になった。
パスワードが設定、または変更された。
このポリシーの設定を定義すると、成功を監査するか、失敗を監査するか、この種類のイベントをまったく監査しないかを指定できます。成功の監査では、アカウントの管理イベントが成功した場合に監査エントリが生成されます。失敗の監査では、アカウントの管理イベントが失敗した場合に監査エントリが生成されます。この値を [監査しない] に設定するには、このポリシーを設定する [プロパティ] ダイアログ ボックスで、[これらのポリシーの設定を定義する] チェック ボックスをオンにし、[成功] と [失敗] のチェック ボックスをオフにします。

クライアント エディションの既定値:

ユーザー アカウントの管理: 成功
コンピューター アカウントの管理: 監査しない
セキュリティ グループの管理: 成功
配布グループの管理: 監査しない
アプリケーション グループの管理: 監査しない
その他のアカウント管理イベント: 監査しない

サーバー エディションの既定値:

ユーザー アカウントの管理: 成功
コンピューター アカウントの管理: 成功
セキュリティ グループの管理: 成功
配布グループの管理: 監査しない
アプリケーション グループの管理: 監査しない
その他のアカウント管理イベント: 監査しない

重要: 監査ポリシー全体を詳細に制御するには、[監査ポリシーの詳細な構成] ノードの設定を使用します。監査ポリシーの詳細な構成の詳細については、https://go.microsoft.com/fwlink/?LinkId=140969 (英語の可能性あり) を参照してください。
Audit account management

This security setting determines whether to audit each event of account management on a computer. Examples of account management events include:

A user account or group is created, changed, or deleted.
A user account is renamed, disabled, or enabled.
A password is set or changed.
If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit the event type at all. Success audits generate an audit entry when any account management event succeeds. Failure audits generate an audit entry when any account management event fails. To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes.

Default values on Client editions:

User Account Management: Success
Computer Account Management: No Auditing
Security Group Management: Success
Distribution Group Management: No Auditing
Application Group Management: No Auditing
Other Account Management Events: No Auditing

Default values on Server editions:

User Account Management: Success
Computer Account Management: Success
Security Group Management: Success
Distribution Group Management: No Auditing
Application Group Management: No Auditing
Other Account Management Events: No Auditing

Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1916ディレクトリ サービスのアクセスの監査

このセキュリティ設定は、ユーザーによる Active Directory オブジェクトへのアクセス試行について OS による監査を実行するかどうかを決定します。監査はシステム アクセス制御リスト (SACL) が指定されているオブジェクトに対してのみ、かつ、要求されたアクセスの種類 (書き込み、読み取り、変更など) およびその要求を発行したアカウントが SACL の設定に一致した場合にのみ生成されます。

管理者は、成功のみ監査するか、失敗のみ監査するか、成功と失敗の両方を監査するか、この種類のイベントを (成功も失敗も) まったく監査しないかを指定できます。

成功の監査が有効になっている場合は、SACL の指定に一致する Directory オブジェクトに対して何らかのアカウントがアクセスに成功するたびに、監査エントリが生成されます。

失敗の監査が有効になっている場合は、SACL の指定に一致する Directory オブジェクトに対して何らかのユーザーがアクセスに失敗するたびに、監査エントリが生成されます。

クライアント エディションの既定値:

ディレクトリ サービスのアクセス: 監査しない
ディレクトリ サービスの変更: 監査しない
ディレクトリ サービスのレプリケーション: 監査しない
詳細なディレクトリ サービス レプリケーション: 監査しない

サーバー エディションの既定値:

ディレクトリ サービスのアクセス: 成功
ディレクトリ サービスの変更: 監査しない
ディレクトリ サービスのレプリケーション: 監査しない
詳細なディレクトリ サービス レプリケーション: 監査しない

重要: 監査ポリシー全体を詳細に制御するには、[監査ポリシーの詳細な構成] ノードの設定を使用します。監査ポリシーの詳細な構成の詳細については、https://go.microsoft.com/fwlink/?LinkId=140969 (英語の可能性あり) を参照してください。
Audit directory service access

This security setting determines whether the OS audits user attempts to access Active Directory objects. Audit is only generated for objects that have system access control lists (SACL) specified, and only if the type of access requested (such as Write, Read, or Modify) and the account making the request match the settings in the SACL.

The administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures).

If Success auditing is enabled, an audit entry is generated each time any account successfully accesses a Directory object that has a matching SACL specified.

If Failure auditing is enabled, an audit entry is generated each time any user unsuccessfully attempts to access a Directory object that has a matching SACL specified.

Default values on Client editions:

Directory Service Access: No Auditing
Directory Service Changes: No Auditing
Directory Service Replication: No Auditing
Detailed Directory Service Replication: No Auditing

Default values on Server editions:

Directory Service Access: Success
Directory Service Changes: No Auditing Directory
Service Replication: No Auditing
Detailed Directory Service Replication: No Auditing

Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1917ログオン イベントの監査

このセキュリティ設定は、このコンピューターに対してユーザーのログオンまたはログオフが試行されるたびに OS による監査を実行するかどうかを決定します。

ログオフ イベントは、ログオンしているユーザー アカウントのログオン セッションが終了するたびに生成されます。このポリシーの設定が定義されている場合、管理者は、成功のみ監査するか、失敗のみ監査するか、成功と失敗の両方を監査するか、この種類のイベントを (成功も失敗も) まったく監査しないかを指定できます。

クライアント エディションの既定値:

ログオン: 成功
ログオフ: 成功
アカウント ロックアウト: 成功
IPsec メイン モード: 監査しない
IPsec クイック モード: 監査しない
IPsec 拡張モード: 監査しない
特殊なログオン: 成功
その他のログオン/ログオフ イベント: 監査しない
ネットワーク ポリシー サーバー: 成功、失敗

サーバー エディションの既定値:
ログオン: 成功、失敗
ログオフ: 成功
アカウント ロックアウト: 成功
IPsec メイン モード: 監査しない
IPsec クイック モード: 監査しない
IPsec 拡張モード: 監査しない
特殊なログオン: 成功
その他のログオン/ログオフ イベント: 監査しない
ネットワーク ポリシー サーバー: 成功、失敗

重要: 監査ポリシー全体を詳細に制御するには、[監査ポリシーの詳細な構成] ノードの設定を使用します。監査ポリシーの詳細な構成の詳細については、https://go.microsoft.com/fwlink/?LinkId=140969 (英語の可能性あり) を参照してください。
Audit logon events

This security setting determines whether the OS audits each instance of a user attempting to log on to or to log off to this computer.

Log off events are generated whenever a logged on user account's logon session is terminated. If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures).

Default values on Client editions:

Logon: Success
Logoff: Success
Account Lockout: Success
IPsec Main Mode: No Auditing
IPsec Quick Mode: No Auditing
IPsec Extended Mode: No Auditing
Special Logon: Success
Other Logon/Logoff Events: No Auditing
Network Policy Server: Success, Failure

Default values on Server editions:
Logon: Success, Failure
Logoff: Success
Account Lockout: Success
IPsec Main Mode: No Auditing
IPsec Quick Mode: No Auditing
IPsec Extended Mode: No Auditing
Special Logon: Success
Other Logon/Logoff Events: No Auditing
Network Policy Server: Success, Failure

Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1918オブジェクト アクセスの監査

このセキュリティ設定は、ユーザーによる非 Active Directory オブジェクトへのアクセス試行について OS による監査を実行するかどうかを決定します。監査はシステム アクセス制御リスト (SACL) が指定されているオブジェクトに対してのみ、かつ、要求されたアクセスの種類 (書き込み、読み取り、変更など) およびその要求を発行したアカウントが SACL の設定に一致した場合にのみ生成されます。

管理者は、成功のみ監査するか、失敗のみ監査するか、成功と失敗の両方を監査するか、この種類のイベントを (成功も失敗も) まったく監査しないかを指定できます。

成功の監査が有効になっている場合は、SACL の指定に一致する非 Directory オブジェクトに対して何らかのアカウントがアクセスに成功するたびに、監査エントリが生成されます。

失敗の監査が有効になっている場合は、SACL の指定に一致する非 Directory オブジェクトに対して何らかのユーザーがアクセスに失敗するたびに、監査エントリが生成されます。

ファイル システム オブジェクトに対する SACL は、該当オブジェクトの [プロパティ] ダイアログ ボックスの [セキュリティ] タブを使用して設定できます。

既定値: 監査しない

重要: 監査ポリシー全体を詳細に制御するには、[監査ポリシーの詳細な構成] ノードの設定を使用します。監査ポリシーの詳細な構成の詳細については、https://go.microsoft.com/fwlink/?LinkId=140969 (英語の可能性あり) を参照してください。
Audit object access

This security setting determines whether the OS audits user attempts to access non-Active Directory objects. Audit is only generated for objects that have system access control lists (SACL) specified, and only if the type of access requested (such as Write, Read, or Modify) and the account making the request match the settings in the SACL.

The administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures).

If Success auditing is enabled, an audit entry is generated each time any account successfully accesses a non-Directory object that has a matching SACL specified.

If Failure auditing is enabled, an audit entry is generated each time any user unsuccessfully attempts to access a non-Directory object that has a matching SACL specified.

Note that you can set a SACL on a file system object using the Security tab in that object's Properties dialog box.

Default: No auditing.

Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1919ポリシーの変更の監査

このセキュリティ設定は、ユーザー権利の割り当てポリシー、監査ポリシー、アカウント ポリシー、または信頼ポリシーに対する変更の試行について OS による監査を実行するかどうかを決定します。

管理者は、成功のみ監査するか、失敗のみ監査するか、成功と失敗の両方を監査するか、この種類のイベントを (成功も失敗も) まったく監査しないかを指定できます。

成功の監査が有効になっている場合は、ユーザー権利の割り当てポリシー、監査ポリシー、または信頼ポリシーに対して試行された変更が成功するたびに、監査エントリが生成されます。

失敗の監査が有効になっている場合は、ユーザー権利の割り当てポリシー、監査ポリシー、または信頼ポリシーに対する変更が、そのポリシー変更を認められていない何らかのアカウントによって試行されるたびに、監査エントリが生成されます。

既定値:

監査ポリシーの変更: 成功
認証ポリシーの変更: 成功
承認ポリシーの変更: 監査しない
MPSSVC ルールレベル ポリシーの変更: 監査しない
フィルタリング プラットフォームのポリシーの変更: 監査しない
その他のポリシー変更イベント: 監査しない

重要: 監査ポリシー全体を詳細に制御するには、[監査ポリシーの詳細な構成] ノードの設定を使用します。監査ポリシーの詳細な構成の詳細については、https://go.microsoft.com/fwlink/?LinkId=140969 (英語の可能性あり) を参照してください。
Audit policy change

This security setting determines whether the OS audits each instance of attempts to change user rights assignment policy, audit policy, account policy, or trust policy.

The administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures).

If Success auditing is enabled, an audit entry is generated when an attempted change to user rights assignment policy, audit policy, or trust policy is successful.

If Failure auditing is enabled, an audit entry is generated when an attempted change to user rights assignment policy, audit policy, or trust policy is attempted by an account that is not authorized to make the requested policy change.

Default:

Audit Policy Change: Success
Authentication Policy Change: Success
Authorization Policy Change: No Auditing
MPSSVC Rule-Level Policy Change: No Auditing
Filtering Platform Policy Change: No Auditing
Other Policy Change Events: No Auditing

Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1920特権使用の監査

このセキュリティ設定は、ユーザー権利を使用するユーザーの各インスタンスを監査するかどうかを決定します。

このポリシーの設定を定義すると、成功を監査するか、失敗を監査するか、この種類のイベントをまったく監査しないかを指定できます。成功の監査では、ユーザー権利の使用に成功した場合に監査エントリが生成されます。失敗の監査では、ユーザー権利の使用に失敗した場合に監査エントリが生成されます。

この値を [監査しない] に設定するには、このポリシーを設定する [プロパティ] ダイアログ ボックスで、[これらのポリシーの設定を定義する] チェック ボックスをオンにし、[成功] と [失敗] のチェック ボックスをオフにします。

既定値: 監査しない

次のユーザー権利を使用する場合は、[特権使用の監査] に成功の監査または失敗の監査が指定されている場合でも監査は生成されません。これらのユーザー権利の監査を有効にすると、セキュリティ ログに多数のイベントが生成されるようになり、コンピューターのパフォーマンスが低下することがあります。次のユーザー権利を監査するには、FullPrivilegeAuditing レジストリ キーを有効にします。

スキャン チェックのバイパス
プログラムのデバッグ
トークン オブジェクトの作成
プロセス レベル トークンの置き換え
セキュリティ監査の生成
ファイルとディレクトリのバックアップ
ファイルとディレクトリの復元

注意

レジストリを正しく編集しないと、システムが正常に動作しなくなる場合があります。レジストリを変更する前に、コンピューター上の重要なデータのバックアップを作成する必要があります。

重要: 監査ポリシー全体を詳細に制御するには、[監査ポリシーの詳細な構成] ノードの設定を使用します。監査ポリシーの詳細な構成の詳細については、https://go.microsoft.com/fwlink/?LinkId=140969 (英語の可能性あり) を参照してください。
Audit privilege use

This security setting determines whether to audit each instance of a user exercising a user right.

If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit this type of event at all. Success audits generate an audit entry when the exercise of a user right succeeds. Failure audits generate an audit entry when the exercise of a user right fails.

To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes.

Default: No auditing.

Audits are not generated for use of the following user rights, even if success audits or failure audits are specified for Audit privilege use. Enabling auditing of these user rights tend to generate many events in the security log which may impede your computer's performance. To audit the following user rights, enable the FullPrivilegeAuditing registry key.

Bypass traverse checking
Debug programs
Create a token object
Replace process level token
Generate security audits
Back up files and directories
Restore files and directories

Caution

Incorrectly editing the registry may severely damage your system. Before making changes to the registry, you should back up any valued data on the computer.

Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1921プロセス追跡の監査

このセキュリティ設定は、プロセスの作成、プロセスの終了、ハンドルの複製、間接的なオブジェクト アクセスなど、プロセス関連のイベントについて OS による監査を実行するかどうかを決定します。

このポリシーの設定が定義されている場合、管理者は、成功のみ監査するか、失敗のみ監査するか、成功と失敗の両方を監査するか、この種類のイベントを (成功も失敗も) まったく監査しないかを指定できます。

成功の監査が有効になっている場合は、こうした何らかのプロセス関連活動が OS によって実行されるたびに、監査エントリが生成されます。

失敗の監査が有効になっている場合は、OS による何らかのプロセス関連活動が失敗するたびに、監査エントリが生成されます。

既定値: 監査しない

重要: 監査ポリシー全体を詳細に制御するには、[監査ポリシーの詳細な構成] ノードの設定を使用します。監査ポリシーの詳細な構成の詳細については、https://go.microsoft.com/fwlink/?LinkId=140969 (英語の可能性あり) を参照してください。
Audit process tracking

This security setting determines whether the OS audits process-related events such as process creation, process termination, handle duplication, and indirect object access.

If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures).

If Success auditing is enabled, an audit entry is generated each time the OS performs one of these process-related activities.

If Failure auditing is enabled, an audit entry is generated each time the OS fails to perform one of these activities.

Default: No auditing\r

Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1922システム イベントの監査

このセキュリティ設定は、次のイベントについて OS による監査を実行するかどうかを決定します。

• システム時刻変更の試行
• セキュリティ システムの開始またはシャットダウンの試行
• 拡張可能な認証コンポーネントの読み込み試行
• 監査システムのエラーによる監査イベントの消失
• セキュリティ ログ サイズの構成可能な警告しきい値レベルの超過

このポリシーの設定が定義されている場合、管理者は、成功のみ監査するか、失敗のみ監査するか、成功と失敗の両方を監査するか、この種類のイベントを (成功も失敗も) まったく監査しないかを指定できます。

成功の監査が有効になっている場合は、OS によるこれらの活動の実行が成功するたびに、監査エントリが生成されます。

失敗の監査が有効になっている場合は、OS でこれらの活動の実行が試行されて失敗するたびに、監査エントリが生成されます。

既定値:
セキュリティ状態の変更: 成功
セキュリティ システムの拡張: 監査しない
システムの整合性: 成功、失敗
IPsec ドライバー: 監査しない
その他のシステム イベント: 成功、失敗

重要: 監査ポリシー全体を詳細に制御するには、[監査ポリシーの詳細な構成] ノードの設定を使用します。監査ポリシーの詳細な構成の詳細については、https://go.microsoft.com/fwlink/?LinkId=140969 (英語の可能性あり) を参照してください。
Audit system events

This security setting determines whether the OS audits any of the following events:

• Attempted system time change
• Attempted security system startup or shutdown
• Attempt to load extensible authentication components
• Loss of audited events due to auditing system failure
• Security log size exceeding a configurable warning threshold level.

If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures).

If Success auditing is enabled, an audit entry is generated each time the OS performs one of these activities successfully.

If Failure auditing is enabled, an audit entry is generated each time the OS attempts and fails to perform one of these activities.

Default:
Security State Change Success
Security System Extension No Auditing
System Integrity Success, Failure
IPsec Driver No Auditing
Other System Events Success, Failure

Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1923ネットワーク経由でのアクセス

このユーザーの権利は、ネットワーク経由でコンピューターに接続できるユーザーおよびグループを決定します。リモート デスクトップ サービスはこのユーザーの権利には影響されません。

注意: リモート デスクトップ サービスは、以前のバージョンの Windows Server でターミナル サービスと呼ばれていました。

ワークステーションとサーバーの既定値:
Administrators
Backup Operators
Users
Everyone

ドメイン コントローラーの既定値:
Administrators
Authenticated Users
Enterprise Domain Controllers
Everyone
Pre-Windows 2000 Compatible Access
Access this computer from the network

This user right determines which users and groups are allowed to connect to the computer over the network. Remote Desktop Services are not affected by this user right.

Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server.

Default on workstations and servers:
Administrators
Backup Operators
Users
Everyone

Default on domain controllers:
Administrators
Authenticated Users
Enterprise Domain Controllers
Everyone
Pre-Windows 2000 Compatible Access
1924オペレーティング システムの一部として機能

このユーザーの権利を使用すると、プロセスは認証なしでどのユーザーを偽装することもできます。したがって、プロセスはそのユーザーと同じローカル リソースにアクセスできるようになります。

この特権を必要とするプロセスでは、この特権を特別に割り当てられたユーザー アカウントを使用するのではなく、この特権が最初から含まれている LocalSystem アカウントを使用してください。組織内で Windows Server 2003 ファミリのメンバーのサーバーしか使用しない場合、この特権をユーザーに割り当てる必要はありません。ただし、組織内で Windows 2000 または Windows NT 4.0 を実行するサーバーを使用する場合は、この特権を割り当てて、プレーンテキストのパスワードを交換するアプリケーションを使用する必要が生じる場合があります。

注意

このユーザーの権利を割り当てると、セキュリティ上の問題が生じる可能性があります。このユーザーの権利は、信頼できるユーザーのみに割り当ててください。

既定値: なし
Act as part of the operating system

This user right allows a process to impersonate any user without authentication. The process can therefore gain access to the same local resources as that user.

Processes that require this privilege should use the LocalSystem account, which already includes this privilege, rather than using a separate user account with this privilege specially assigned. If your organization only uses servers that are members of the Windows Server 2003 family, you do not need to assign this privilege to your users. However, if your organization uses servers running Windows 2000 or Windows NT 4.0, you might need to assign this privilege to use applications that exchange passwords in plaintext.

Caution

Assigning this user right can be a security risk. Only assign this user right to trusted users.

Default: None.
1925ドメインにワークステーションを追加

このセキュリティ設定は、ドメインにワークステーションを追加できるグループまたはユーザーを決定します。

このセキュリティ設定は、ドメイン コントローラーでのみ有効です。既定では、認証済みのすべてのユーザーにこの権利があり、最大 10 個のコンピューター アカウントをドメインに作成できます。

ドメインにコンピューター アカウントを追加すると、そのコンピューターは Active Directory ベースのネットワークに参加できます。たとえば、ワークステーションをドメインに追加すると、そのワークステーションは Active Directory にあるアカウントとグループを認識できるようになります。

既定値: Authenticated Users (ドメイン コントローラー)

注意: Active Directory コンピューター コンテナーで "コンピューター オブジェクト作成" アクセス許可を持つユーザーは、ドメインにコンピューター アカウントを作成することもできます。コンテナーでのアクセス許可を持つユーザーは、作成できるコンピューター アカウントの数が 10 個に制限されません。また、"ドメインにワークステーションを追加" を使用して作成したコンピューター アカウントの所有者は Domain Administrators になります。一方、コンピューター コンテナーでのアクセス許可を使用して作成したコンピューター アカウントの所有者は、コンピューター アカウントの作成者になります。コンテナーでのアクセス許可を持つユーザーが、"ドメインにワークステーションを追加" ユーザー権利も持っている場合、ユーザー権利ではなくコンピューター コンテナーのアクセス許可に基づいてコンピューターが追加されます。

Add workstations to domain

This security setting determines which groups or users can add workstations to a domain.

This security setting is valid only on domain controllers. By default, any authenticated user has this right and can create up to 10 computer accounts in the domain.

Adding a computer account to the domain allows the computer to participate in Active Directory-based networking. For example, adding a workstation to a domain enables that workstation to recognize accounts and groups that exist in Active Directory.

Default: Authenticated Users on domain controllers.

Note: Users who have the Create Computer Objects permission on the Active Directory computers container can also create computer accounts in the domain. The distinction is that users with permissions on the container are not restricted to the creation of only 10 computer accounts. In addition, computer accounts that are created by means of Add workstations to domain have Domain Administrators as the owner of the computer account, while computer accounts that are created by means of permissions on the computers container have the creator as the owner of the computer account. If a user has permissions on the container and also has the Add workstations to domain user right, the computer is added, based on the computer container permissions rather than on the user right.

1926プロセスのメモリ クォータの増加

この権限は、プロセスが消費できる最大メモリを変更できるユーザーを決定します。

このユーザー権利は、既定のドメイン コントローラーのグループ ポリシー オブジェクト (GPO) およびワークステーションとサーバーのローカル セキュリティ ポリシーで定義されます。

注意 : この特権はシステムのチューニングに便利ですが、サービス拒否 (Denial-Of-Service) 攻撃などに悪用される可能性もあります。

既定値: Administrators
Local Service
Network Service

Adjust memory quotas for a process

This privilege determines who can change the maximum memory that can be consumed by a process.

This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers.

Note: This privilege is useful for system tuning, but it can be misused, for example, in a denial-of-service attack.

Default: Administrators
Local Service
Network Service.

1927ローカル ログオン

このコンピューターにログオンできるユーザーを決定します。

重要

この設定を変更すると、クライアント、サーバー、およびアプリケーションとの互換性に影響が生じることがあります。この設定の互換性については、Microsoft の Web サイト (https://go.microsoft.com/fwlink/?LinkId=24268) の「ローカル ログオンを許可」の項を参照してください。

既定値:

• ワークステーションおよびサーバーの場合: Administrators、Backup Operators、Power Users、Users、Guest
• ドメイン コントローラーの場合: Account Operators、Administrators、Backup Operators、Print Operators
Log on locally

Determines which users can log on to the computer.

Important

Modifying this setting may affect compatibility with clients, services, and applications. For compatibility information about this setting, see Allow log on locally (https://go.microsoft.com/fwlink/?LinkId=24268 ) at the Microsoft website.

Default:

• On workstations and servers: Administrators, Backup Operators, Power Users, Users, and Guest.
• On domain controllers: Account Operators, Administrators, Backup Operators, and Print Operators.
1928リモート デスクトップ サービスを使ったログオンを許可

このセキュリティ設定は、リモート デスクトップ サービス クライアントとしてログオンするためのアクセス許可が付与されるユーザーまたはグループを決定します。

既定値:

ワークステーションとサーバー: Administrators、Remote Desktop Users
ドメイン コントローラー: Administrators

重要

この設定は、Service Pack 2 への更新が済んでいない Windows 2000 コンピューターには影響を及ぼしません。

Allow log on through Remote Desktop Services

This security setting determines which users or groups have permission to log on as a Remote Desktop Services client.

Default:

On workstation and servers: Administrators, Remote Desktop Users.
On domain controllers: Administrators.

Important

This setting does not have any effect on Windows 2000 computers that have not been updated to Service Pack 2.

1929ファイルとディレクトリのバックアップ

このユーザーの権利は、システムをバックアップするために、ファイルやディレクトリ、レジストリ、およびその他の固定オブジェクトのアクセス許可をバイパスできるユーザーを決定します。

具体的には、このユーザーの権利はシステムのすべてのファイルおよびフォルダーに対する次のアクセス許可を、特定のユーザーまたはグループに与えることに似ています。

フォルダーのスキャンとファイルの実行
フォルダーの一覧/データの読み取り
属性の読み取り
拡張属性の読み取り
アクセス許可の読み取り

注意

このユーザーの権利を割り当てると、セキュリティ上の問題が生じる可能性があります。ユーザーがデータをバックアップしているのか、データを盗み出しているのか、あるいは配布用にデータをコピーしているのかを判断する方法がないため、信頼されているユーザーのみにこのユーザーの権利を割り当ててください。

ワークステーションとサーバーの既定値: Administrators
Backup Operators

ドメイン コントローラーの既定値: Administrators
Backup Operators
Server Operators

Back up files and directories

This user right determines which users can bypass file and directory, registry, and other persistent object permissions for the purposes of backing up the system.

Specifically, this user right is similar to granting the following permissions to the user or group in question on all files and folders on the system:

Traverse Folder/Execute File
List Folder/Read Data
Read Attributes
Read Extended Attributes
Read Permissions

Caution

Assigning this user right can be a security risk. Since there is no way to be sure that a user is backing up data, stealing data, or copying data to be distributed, only assign this user right to trusted users.

Default on workstations and servers: Administrators
Backup Operators.

Default on domain controllers:Administrators
Backup Operators
Server Operators

1930スキャン チェックのバイパス

このユーザーの権利は、スキャン対象のディレクトリに対するアクセス許可がなくてもディレクトリ ツリーをスキャンできるユーザーを決定します。この特権は、ディレクトリの内容を表示することをユーザーに許可するものではなく、ディレクトリをスキャンすることだけを許可します。

このユーザー権利は、既定のドメイン コントローラーのグループ ポリシー オブジェクト (GPO) およびワークステーションとサーバーのローカル セキュリティ ポリシーで定義されます。

ワークステーションとサーバーの既定値:
Administrators
Backup Operators
Users
Everyone
Local Service
Network Service

ドメインとコントローラーの既定値:
Administrators
Authenticated Users
Everyone
Local Service
Network Service
Pre-Windows 2000 Compatible Access

Bypass traverse checking

This user right determines which users can traverse directory trees even though the user may not have permissions on the traversed directory. This privilege does not allow the user to list the contents of a directory, only to traverse directories.

This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers.

Default on workstations and servers:
Administrators
Backup Operators
Users
Everyone
Local Service
Network Service

Default on domain controllers:
Administrators
Authenticated Users
Everyone
Local Service
Network Service
Pre-Windows 2000 Compatible Access

1931システム時刻の変更

このユーザーの権利は、コンピューターの内部時計の時刻と日付を変更できるユーザーおよびグループを決定します。このユーザーの権利が割り当てられているユーザーは、イベント ログの表示を変更できます。システムの時刻が変更された場合、ログに記録されるイベントには、イベントが発生した実際の時刻ではなく、この新しい時刻が反映されます。

このユーザーの権利は、既定のドメイン コントローラーのグループ ポリシー オブジェクト (GPO) およびワークステーションとサーバーのローカル セキュリティ ポリシーで定義されます。

ワークステーションとサーバーの既定値:
Administrators
Local Service

ドメイン コントローラーの既定値:
Administrators
Server Operators
Local Service

Change the system time

This user right determines which users and groups can change the time and date on the internal clock of the computer. Users that are assigned this user right can affect the appearance of event logs. If the system time is changed, events that are logged will reflect this new time, not the actual time that the events occurred.

This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers.

Default on workstations and servers:
Administrators
Local Service

Default on domain controllers:
Administrators
Server Operators
Local Service

1932ページ ファイルの作成

このユーザーの権利は、内部のアプリケーション プログラミング インターフェイス (API) を呼び出してページ ファイルの作成とサイズ変更を実行できるユーザーおよびグループを決定します。このユーザーの権利はオペレーティング システムの内部で使用され、通常はユーザーに割り当てる必要はありません。

特定のドライブのページング ファイルのサイズを変更する方法については、仮想メモリのページング ファイルのサイズ変更に関するページを参照してください。

既定値: Administrators

Create a pagefile

This user right determines which users and groups can call an internal application programming interface (API) to create and change the size of a page file. This user right is used internally by the operating system and usually does not need to be assigned to any users.

For information about how to specify a paging file size for a given drive, see To change the size of the virtual memory paging file.

Default: Administrators.

1933トークン オブジェクトの作成

このセキュリティ設定は、プロセスが内部アプリケーション プログラミング インターフェイス (API) でアクセス トークンを作成するときに、ローカル リソースへのアクセス用のトークンを作成するプロセスが使用できるアカウントを決定します。

このユーザーの権利はオペレーティング システムによって内部的に使用されます。必要がない限り、このユーザーの権利を Local System 以外のユーザー、グループ、またはプロセスに割り当てないでください。

注意

このユーザーの権利を割り当てると、セキュリティ上の問題が生じる可能性があります。このユーザーの権利を、システム管理の担当ではないユーザー、グループ、またはプロセスには割り当てないでください。
既定値: なし

Create a token object

This security setting determines which accounts can be used by processes to create a token that can then be used to get access to any local resources when the process uses an internal application programming interface (API) to create an access token.

This user right is used internally by the operating system. Unless it is necessary, do not assign this user right to a user, group, or process other than Local System.

Caution

Assigning this user right can be a security risk. Do not assign this user right to any user, group, or process that you do not want to take over the system.
Default: None

1934グローバル オブジェクトの作成

このセキュリティ設定は、すべてのセッションから利用できるグローバル オブジェクトをユーザーが作成できるかどうかを決定します。このユーザー権利がないユーザーも、自分のセッションに特有のオブジェクトは作成できます。グローバル オブジェクトを作成できるユーザーは、他のユーザーのセッション下で実行されているプロセスに影響を及ぼす可能性があり、そのためアプリケーション エラーやデータの破損を引き起こすことがあります。

注意

このユーザー権利を割り当てると、セキュリティ上の問題が生じる可能性があります。このユーザー権利は、信頼できるユーザーのみに割り当ててください。

既定値:

Administrators
Local Service
Network Service
Service
Create global objects

This security setting determines whether users can create global objects that are available to all sessions. Users can still create objects that are specific to their own session if they do not have this user right. Users who can create global objects could affect processes that run under other users' sessions, which could lead to application failure or data corruption.

Caution

Assigning this user right can be a security risk. Assign this user right only to trusted users.

Default:

Administrators
Local Service
Network Service
Service
1935永続的共有オブジェクトの作成

このユーザーの権利は、オブジェクト マネージャーを使ってディレクトリ オブジェクトの作成にプロセスが使用するアカウントを決定します。

このユーザーの権利はオペレーティング システムによって内部的に使用され、オブジェクトの名前空間を拡張するカーネル モードのコンポーネントで使用できます。カーネル モードで実行されているコンポーネントには既にこのユーザーの権利が割り当てられているため、この権利を明示的に割り当てる必要はありません。

既定値: なし
Create permanent shared objects

This user right determines which accounts can be used by processes to create a directory object using the object manager.

This user right is used internally by the operating system and is useful to kernel-mode components that extend the object namespace. Because components that are running in kernel mode already have this user right assigned to them, it is not necessary to specifically assign it.

Default: None.
1936プログラムのデバッグ

このユーザーの権利は、任意のプロセスまたはカーネルにデバッガーをアタッチできるユーザーを決定します。独自のアプリケーションをデバッグする開発者にこのユーザーの権利を割り当てる必要はありません。新しいシステム コンポーネントをデバッグする開発者には、このユーザーの権利が必要です。このユーザーの権利は、重要なオペレーティング システム コンポーネントに完全なアクセスを提供します。

注意

このユーザーの権利を割り当てると、セキュリティ上の問題が生じる可能性があります。このユーザーの権利は、信頼できるユーザーのみに割り当ててください。

既定値: Administrators
Debug programs

This user right determines which users can attach a debugger to any process or to the kernel. Developers who are debugging their own applications do not need to be assigned this user right. Developers who are debugging new system components will need this user right to be able to do so. This user right provides complete access to sensitive and critical operating system components.

Caution

Assigning this user right can be a security risk. Only assign this user right to trusted users.

Default: Administrators
1937ネットワーク経由のアクセスを拒否

このセキュリティ設定は、ネットワーク経由でコンピューターにアクセスできないユーザーを決定します。ユーザー アカウントに [ネットワーク経由でのアクセス] と [ネットワーク経由のアクセスを拒否] の両方のポリシーが適用されている場合、このポリシーの設定は、[ネットワーク経由でのアクセス] ポリシーの設定より優先されます。

既定値: Guest
Deny access to this computer from the network

This security setting determines which users are prevented from accessing a computer over the network. This policy setting supersedes the Access this computer from the network policy setting if a user account is subject to both policies.

Default: Guest
1938バッチ ジョブとしてのログオンを拒否

このセキュリティ設定は、バッチ ジョブとしてログオンできないアカウントを決定します。ユーザー アカウントに [バッチ ジョブとしてログオン] と [バッチ ジョブとしてのログオンを拒否] の両方のポリシーが適用されている場合、このポリシーの設定は、[バッチ ジョブとしてログオン] ポリシーの設定より優先されます。

既定値 : なし

Deny log on as a batch job

This security setting determines which accounts are prevented from being able to log on as a batch job. This policy setting supersedes the Log on as a batch job policy setting if a user account is subject to both policies.

Default: None.

1939サービスとしてのログオンを拒否

このセキュリティ設定は、サービスとしてプロセスを登録できないサービス アカウントを決定します。アカウントに [サービスとしてログオン] と [サービスとしてのログオンを拒否] の両方のポリシーが適用されている場合、このポリシーの設定は、[サービスとしてログオン] ポリシーの設定より優先されます。

注意: このセキュリティ設定は、System、Local Service、または Network Service のアカウントには適用されません。

既定値: なし
Deny log on as a service

This security setting determines which service accounts are prevented from registering a process as a service. This policy setting supersedes the Log on as a service policy setting if an account is subject to both policies.

Note: This security setting does not apply to the System, Local Service, or Network Service accounts.

Default: None.
1940ローカル ログオンを拒否

このセキュリティ設定は、コンピューターでログオンできないユーザーを決定します。アカウントに [ローカル ログオンを許可] と [ローカル ログオンを拒否] の両方のポリシーが適用されている場合、このポリシーの設定は、[ローカル ログオンを許可] ポリシーの設定より優先されます。

重要

このセキュリティ ポリシーを Everyone グループに適用すると、だれもローカルでログオンできなくなります。

既定値: なし
Deny log on locally

This security setting determines which users are prevented from logging on at the computer. This policy setting supersedes the Allow log on locally policy setting if an account is subject to both policies.

Important

If you apply this security policy to the Everyone group, no one will be able to log on locally.

Default: None.
1941リモート デスクトップ サービスを使ったログオンを拒否

このセキュリティ設定は、リモート デスクトップ サービス クライアントとしてログオンしたときに拒否されるユーザーまたはグループを決定します。

既定値: なし

重要

この設定は、Service Pack 2 への更新が済んでいない Windows 2000 コンピューターには影響を及ぼしません。
Deny log on through Remote Desktop Services

This security setting determines which users and groups are prohibited from logging on as a Remote Desktop Services client.

Default: None.

Important

This setting does not have any effect on Windows 2000 computers that have not been updated to Service Pack 2.
1942コンピューターとユーザー アカウントに委任時の信頼を付与

このセキュリティ設定は、ユーザー オブジェクトまたはコンピューター オブジェクトに対する [Trusted for Delegation] 設定を設定できるユーザーを決定します。

この特権を与えられるユーザーまたはオブジェクトは、ユーザー オブジェクトまたはコンピューター オブジェクトのアカウント制御フラグに対する「書き込み」アクセスを与えられている必要があります。クライアントのアカウントに "Account cannot be delegated" アカウント制御フラグ セットがない限り、委任時の信頼を付与されているコンピューター (またはユーザー コンテキスト) で実行されているサーバー プロセスは、クライアントの委任された資格情報を使用して他のコンピューター上のリソースにアクセスできます。

このユーザー権利は、既定のドメイン コントローラーのグループ ポリシー オブジェクト (GPO) およびワークステーションとサーバーのローカル セキュリティ ポリシーで定義されます。

注意

このユーザー権利または [Trusted for Delegation] 設定を誤って使用すると、外部から接続するクライアントを偽装し、その資格情報を使用してネットワーク リソースにアクセスするトロイの木馬プログラムによる高度な攻撃に対して、ネットワークが脆弱になる可能性があります。

既定値: ドメイン コントローラー上の Administrators
Enable computer and user accounts to be trusted for delegation

This security setting determines which users can set the Trusted for Delegation setting on a user or computer object.

The user or object that is granted this privilege must have write access to the account control flags on the user or computer object. A server process running on a computer (or under a user context) that is trusted for delegation can access resources on another computer using delegated credentials of a client, as long as the client account does not have the Account cannot be delegated account control flag set.

This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers.

Caution

Misuse of this user right, or of the Trusted for Delegation setting, could make the network vulnerable to sophisticated attacks using Trojan horse programs that impersonate incoming clients and use their credentials to gain access to network resources.

Default: Administrators on domain controllers.
1943リモート コンピューターからの強制シャットダウン

このセキュリティ設定は、ネットワーク上のリモート ロケーションからコンピューターをシャットダウンできるユーザーを決定します。このユーザーの権利を誤用すると、サービス拒否 (Denial-Of-Service) を引き起こす可能性があります。

このユーザー権利は、既定のドメイン コントローラーのグループ ポリシー オブジェクト (GPO) およびワークステーションとサーバーのローカル セキュリティ ポリシーで定義されます。

既定値:

ワークステーションとサービス: Administrators
ドメイン コントローラー: Administrators、Server Operators
Force shutdown from a remote system

This security setting determines which users are allowed to shut down a computer from a remote location on the network. Misuse of this user right can result in a denial of service.

This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers.

Default:

On workstations and servers: Administrators.
On domain controllers: Administrators, Server Operators.
1944セキュリティ監査の生成

このセキュリティ設定は、セキュリティ ログにエントリを追加するためにプロセスが使用できるアカウントを決定します。セキュリティ ログは、システムへの権限のないアクセスの追跡に使用されます。このユーザーの権利を誤用すると、多くの監査イベントが生成され、[監査: セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする] セキュリティ ポリシー設定が有効になっている場合には、攻撃の証拠が隠されたり、サービス拒否 (Denial-Of-Service) を引き起こす可能性があります。詳細については、「監査: セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする」を参照してください。

既定値: Local Service
Network Service
Generate security audits

This security setting determines which accounts can be used by a process to add entries to the security log. The security log is used to trace unauthorized system access. Misuse of this user right can result in the generation of many auditing events, potentially hiding evidence of an attack or causing a denial of service if the Audit: Shut down system immediately if unable to log security audits security policy setting is enabled. For more information see Audit: Shut down system immediately if unable to log security audits

Default: Local Service
Network Service.
1945認証後にクライアントを偽装

ユーザーにこの特権を割り当てると、そのユーザーに代わって実行されるプログラムがクライアントを偽装できるようになります。この種の偽装にこのユーザー権利が必要となるのは、権限のないユーザーが作成したサービスに (リモート プロシージャ コール (RPC) や名前付きパイプなどを使用して) クライアントを接続させ、次にそのクライアントを偽装することによって、管理者レベルまたはシステム レベルなど上位のアクセス許可を得ることを防ぐためです。

注意

このユーザー権利を割り当てると、セキュリティ上の問題が生じる可能性があります。このユーザー権利は、信頼できるユーザーのみに割り当ててください。

既定値:

Administrators
Local Service
Network Service
Service

注意: 既定では、サービス コントロール マネージャーによって開始されるサービスのアクセス トークンにビルトインの Service グループが追加されます。コンポーネント オブジェクト モデル (COM) サーバーが COM インフラストラクチャによって起動され、特定のアカウントで実行するよう構成されている場合も、サーバーのアクセス トークンに Service グループが追加されます。その結果、これらのサービスが開始するときにこのユーザー権利が与えられます。

また、次の条件のいずれかに該当するときは、ユーザーがアクセス トークンを偽装できます。

偽装しようとしているアクセス トークンがそのユーザー用のものである。
このログオン セッションで、明示的な資格情報を使用してネットワークにログオンすることにより、ユーザーがアクセス トークンを作成した。
要求されるレベルが "匿名" や "識別" など、"偽装" より下である。
このような要因があるため、通常はユーザーがこのユーザー権利を必要とすることはありません。

詳細については、Microsoft プラットフォーム ソフトウェア開発キット (SDK) で "SeImpersonatePrivilege" を検索してください。

警告

この設定を有効にすると、以前に偽装の特権があったプログラムはこの特権を失い、実行しなくなる可能性があります。
Impersonate a client after authentication

Assigning this privilege to a user allows programs running on behalf of that user to impersonate a client. Requiring this user right for this kind of impersonation prevents an unauthorized user from convincing a client to connect (for example, by remote procedure call (RPC) or named pipes) to a service that they have created and then impersonating that client, which can elevate the unauthorized user's permissions to administrative or system levels.

Caution

Assigning this user right can be a security risk. Only assign this user right to trusted users.

Default:

Administrators
Local Service
Network Service
Service

Note: By default, services that are started by the Service Control Manager have the built-in Service group added to their access tokens. Component Object Model (COM) servers that are started by the COM infrastructure and that are configured to run under a specific account also have the Service group added to their access tokens. As a result, these services get this user right when they are started.

In addition, a user can also impersonate an access token if any of the following conditions exist.

The access token that is being impersonated is for this user.
The user, in this logon session, created the access token by logging on to the network with explicit credentials.
The requested level is less than Impersonate, such as Anonymous or Identify.
Because of these factors, users do not usually need this user right.

For more information, search for "SeImpersonatePrivilege" in the Microsoft Platform SDK.

Warning

If you enable this setting, programs that previously had the Impersonate privilege may lose it, and they may not run.
1946スケジューリング優先順位の繰り上げ

このセキュリティ設定は、他のプロセスに対するプロパティの書き込みアクセスを持つプロセスを使用して、そのプロセスに割り当てられている実行の優先順位を上げることができるアカウントを決定します。この特権を与えられているユーザーは、タスク マネージャー ユーザー インターフェイスを使ってプロセスのスケジュールの優先順位を変更できます。

既定値: Administrator
Increase scheduling priority

This security setting determines which accounts can use a process with Write Property access to another process to increase the execution priority assigned to the other process. A user with this privilege can change the scheduling priority of a process through the Task Manager user interface.

Default: Administrators.
1947デバイス ドライバーのロードとアンロード

このユーザーの権利は、デバイス ドライバーまたは他のコードをカーネル モードで動的にロードおよびアンロードできるユーザーを決定します。このユーザーの権利は、プラグ アンド プレイ デバイス ドライバーには適用されません。この特権は、他のユーザーに割り当てないことをお勧めします。

注意

このユーザーの権利を割り当てると、セキュリティ上の問題が生じる可能性があります。このユーザーの権利は、システム管理の担当ではないユーザー、グループ、またはプロセスには割り当てないでください。

ワークステーションとサーバーの既定値: Administrators

ドメイン コントローラーの既定値:
Administrators
Print Operators
Load and unload device drivers

This user right determines which users can dynamically load and unload device drivers or other code in to kernel mode. This user right does not apply to Plug and Play device drivers. It is recommended that you do not assign this privilege to other users.

Caution

Assigning this user right can be a security risk. Do not assign this user right to any user, group, or process that you do not want to take over the system.

Default on workstations and servers: Administrators.

Default on domain controllers:
Administrators
Print Operators
1948メモリ内のページのロック

このセキュリティ設定は、プロセスを使用して物理メモリにデータを保持できるアカウントを決定します。これによって、システムはディスク上の仮想メモリにデータをページングできなくなります。この特権を使用すると、使用できるランダム アクセス メモリ (RAM) の量が減るため、システムのパフォーマンスに重大な影響を与える可能性があります。

既定値: なし
Lock pages in memory

This security setting determines which accounts can use a process to keep data in physical memory, which prevents the system from paging the data to virtual memory on disk. Exercising this privilege could significantly affect system performance by decreasing the amount of available random access memory (RAM).

Default: None.
1949バッチ ジョブとしてログオン

このセキュリティ設定は、ユーザーがバッチ キュー機能を使ってログオンすることを許可し、古いバージョンの Windows との互換性に対してのみ提供されます。

たとえば、ユーザーがタスク スケジューラを使用してジョブを送信する場合、タスク スケジューラはそのユーザーを対話ユーザーとしてではなくバッチ ユーザーとしてログオンさせます。


既定値: Administrators
Backup Operators
Log on as a batch job

This security setting allows a user to be logged on by means of a batch-queue facility and is provided only for compatibility with older versions of Windows.

For example, when a user submits a job by means of the task scheduler, the task scheduler logs that user on as a batch user rather than as an interactive user.


Default: Administrators
Backup Operators.
1950サービスとしてログオン

このセキュリティ設定は、セキュリティ プリンシパルがサービスとしてログオンすることを可能にします。Local System、Local Service、Network Service の各アカウントは、サービスとしてログオンするための権利が組み込まれているため、サービスをこれらのアカウントで実行するように構成できます。その他のユーザー アカウントで実行するサービスには適切な権利を割り当てる必要があります。

既定値: なし
Log on as a service

This security setting allows a security principal to log on as a service. Services can be configured to run under the Local System, Local Service, or Network Service accounts, which have a built in right to log on as a service. Any service that runs under a separate user account must be assigned the right.

Default setting: None.
1951監査とセキュリティ ログの管理

このセキュリティ設定は、ファイル、Active Directory オブジェクト、レジストリ キーなど個別のリソースに対してオブジェクト アクセスの監査オプションを指定できるユーザーを決定します。

通常このセキュリティ設定は、ファイルとオブジェクトへのアクセスの監査を有効にすることをユーザーに許可しません。このような監査を有効にするには、コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\監査ポリシーで [オブジェクト アクセスの監査] 設定を構成する必要があります。

監査されたイベントは、イベント ビューアーのセキュリティ ログに表示できます。この特権を与えられているユーザーは、セキュリティ ログを表示および消去することもできます。

既定値: Administrators
Manage auditing and security log

This security setting determines which users can specify object access auditing options for individual resources, such as files, Active Directory objects, and registry keys.

This security setting does not allow a user to enable file and object access auditing in general. For such auditing to be enabled, the Audit object access setting in Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policies must be configured.

You can view audited events in the security log of the Event Viewer. A user with this privilege can also view and clear the security log.

Default: Administrators.
1952ファームウェアの環境値の修正

このセキュリティ設定は、ファームウェアの環境値を変更できるユーザーを決定します。ファームウェア環境変数は、非 x86 ベースのコンピューターの不揮発性 RAM に格納される設定です。設定の影響は、プロセッサによって異なります。

x86 ベースのコンピューターでは、このユーザーの権利を割り当てることで変更できる唯一のファームウェア環境値は、前回正常起動時の構成です。これは、システムによってのみ変更する構成です。
Itanium ベースのコンピューターでは、起動情報が不揮発性 RAM に格納されます。bootcfg.exe を実行し、[システムのプロパティ] の [起動と回復] にある [既定のオペレーティング システム] 設定を変更するには、ユーザーにこのユーザーの権利を割り当てる必要があります。
すべてのコンピューターにおいて、Windows をインストールまたはアップグレードするにはこのユーザーの権利が必要です。

注意: [システムのプロパティ] の [詳細設定] タブに表示されるシステム環境変数とユーザー環境変数を変更できるユーザーに対しては、このセキュリティ設定は影響を及ぼしません。これらの値の変更方法の詳細については、「環境変数の値を追加または変更する」を参照してください。

既定値: Administrators
Modify firmware environment values

This security setting determines who can modify firmware environment values. Firmware environment variables are settings stored in the nonvolatile RAM of non-x86-based computers. The effect of the setting depends on the processor.

On x86-based computers, the only firmware environment value that can be modified by assigning this user right is the Last Known Good Configuration setting, which should only be modified by the system.
On Itanium-based computers, boot information is stored in nonvolatile RAM. Users must be assigned this user right to run bootcfg.exe and to change the Default Operating System setting on Startup and Recovery in System Properties.
On all computers, this user right is required to install or upgrade Windows.

Note: This security setting does not affect who can modify the system environment variables and user environment variables that are displayed on the Advanced tab of System Properties. For information about how to modify these variables, see To add or change the values of environment variables.

Default: Administrators.
1953ボリュームの保守タスクを実行

このセキュリティ設定は、リモート最適化などのボリュームの保守タスクを実行できるユーザーおよびグループを決定します。

このユーザーの権利を割り当てるときは、注意が必要です。このユーザー権利が割り当てられたユーザーは、ディスクを参照したり、他のデータが含まれているメモリにファイルを拡張することができます。拡張されたファイルが開かれると、取得したデータをユーザーが参照して変更できる可能性があります。

既定値: Administrators
Perform volume maintenance tasks

This security setting determines which users and groups can run maintenance tasks on a volume, such as remote defragmentation.

Use caution when assigning this user right. Users with this user right can explore disks and extend files in to memory that contains other data. When the extended files are opened, the user might be able to read and modify the acquired data.

Default: Administrators
1954単一プロセスのプロファイル

このセキュリティ設定は、パフォーマンス監視ツールを使用して、システム外のプロセスのパフォーマンスを監視できるユーザーを決定します。

既定値: Administrators、Power Users
Profile single process

This security setting determines which users can use performance monitoring tools to monitor the performance of non system processes.

Default: Administrators, Power users.
1955システム パフォーマンスのプロファイル

このセキュリティ設定は、パフォーマンス監視ツールを使用して、システム プロセスのパフォーマンスを監視できるユーザーを決定します。

既定値: Administrators

Profile system performance

This security setting determines which users can use performance monitoring tools to monitor the performance of system processes.

Default: Administrators.

1956ドッキング ステーションからのコンピューターの取り外し

このセキュリティ設定は、ユーザーがドッキング ステーションからポータブル コンピューターを装着解除するときに、ログオンする必要があるかどうかを決定します。

このポリシーが有効な場合、ユーザーは、ドッキング ステーションからポータブル コンピューターを取り外す前にログオンする必要があります。このポリシーが無効な場合、ユーザーは、ログオンしなくてもドッキング ステーションからポータブル コンピューターを取り外せます。

既定値: Administrators、Power Users、Users
Remove computer from docking station

This security setting determines whether a user can undock a portable computer from its docking station without logging on.

If this policy is enabled, the user must log on before removing the portable computer from its docking station. If this policy is disabled, the user may remove the portable computer from its docking station without logging on.

Default: Administrators, Power Users, Users
1957プロセス レベル トークンの置き換え

このセキュリティ設定は、あるサービスから別のサービスを開始するために、CreateProcessAsUser() アプリケーション プログラミング インターフェイス (API) を呼び出すことができるユーザー アカウントを決定します。このユーザー権利を使用するプロセスの 1 つがタスク スケジューラです。タスク スケジューラの詳細については、「タスク スケジューラの概要」を参照してください。

既定値: Network Service、Local Service
Replace a process level token

This security setting determines which user accounts can call the CreateProcessAsUser() application programming interface (API) so that one service can start another. An example of a process that uses this user right is Task Scheduler. For information about Task Scheduler, see Task Scheduler overview.

Default: Network Service, Local Service.
1958ファイルとディレクトリの復元

このセキュリティ設定は、バックアップしたファイルやディレクトリを復元するときにファイル、ディレクトリ、レジストリ、およびその他の持続的なオブジェクトのアクセス許可をバイパスできるユーザーと、任意の有効なセキュリティ プリンシパルをオブジェクトの所有者に設定できるユーザーを決定します。

具体的には、このユーザーの権利はシステムのすべてのファイルおよびフォルダーに対する次のアクセス許可を、特定のユーザーまたはグループに与えることに似ています。

フォルダーのスキャンとファイルの実行
書き込み

注意

このユーザーの権利を割り当てると、セキュリティ上の問題が生じる可能性があります。このユーザー権利が割り当てられているユーザーは、レジストリ設定を上書きしたり、データを非表示にしたり、システム オブジェクトを所有することができるため、信頼されているユーザーのみにこの権利を割り当ててください。

既定値:

ワークステーションとサーバー: Administrators、Backup Operators
ドメイン コントローラー: Administrators、Backup Operators、Server Operators
Restore files and directories

This security setting determines which users can bypass file, directory, registry, and other persistent objects permissions when restoring backed up files and directories, and determines which users can set any valid security principal as the owner of an object.

Specifically, this user right is similar to granting the following permissions to the user or group in question on all files and folders on the system:

Traverse Folder/Execute File
Write

Caution

Assigning this user right can be a security risk. Since users with this user right can overwrite registry settings, hide data, and gain ownership of system objects, only assign this user right to trusted users.

Default:

Workstations and servers: Administrators, Backup Operators.
Domain controllers: Administrators, Backup Operators, Server Operators.
1959システムのシャットダウン

このセキュリティ設定は、ローカルでコンピューターにログオンし、[シャットダウン] コマンドを使用してオペレーティング システムをシャットダウンできるユーザーを決定します。このユーザーの権利を誤用すると、サービス拒否 (Denial-Of-Service) を引き起こす可能性があります。

ワークステーションの既定値: Administrators、Backup Operators、Users

サーバーの既定値: Administrators、Backup Operators

ドメイン コントローラーの既定値: Administrators、Backup Operators、Server Operators、Print Operators
Shut down the system

This security setting determines which users who are logged on locally to the computer can shut down the operating system using the Shut Down command. Misuse of this user right can result in a denial of service.

Default on Workstations: Administrators, Backup Operators, Users.

Default on Servers: Administrators, Backup Operators.

Default on Domain controllers: Administrators, Backup Operators, Server Operators, Print Operators.
1960ディレクトリ サービス データの同期

このセキュリティ設定は、すべてのディレクトリ サービスのデータを同期する権利を持つユーザーおよびグループを決定します。これは、Active Directory 同期とも言います。

既定値: なし
Synchronize directory service data

This security setting determines which users and groups have the authority to synchronize all directory service data. This is also known as Active Directory synchronization.

Defaults: None.
1961ファイルとその他のオブジェクトの所有権の取得

このセキュリティ設定は、Active Directory オブジェクト、ファイルとフォルダー、プリンター、レジストリ キー、プロセス、スレッドなど、セキュリティが設定可能な任意のオブジェクトの所有権を取得できるユーザーを決定します。

注意

このユーザーの権利を割り当てると、セキュリティ上の問題が生じる可能性があります。オブジェクトの所有者はオブジェクトを完全に制御できるので、信頼されているユーザーのみにこのユーザーの権利を割り当ててください。

既定値: Administrators
Take ownership of files or other objects

This security setting determines which users can take ownership of any securable object in the system, including Active Directory objects, files and folders, printers, registry keys, processes, and threads.

Caution

Assigning this user right can be a security risk. Since owners of objects have full control of them, only assign this user right to trusted users.

Default: Administrators.
1962アカウント: Administrator アカウントの状態

このセキュリティ設定は、ローカル Administrator アカウントを有効にするか無効にするかを決定します。

注意

無効になっている Administrator アカウントを再度有効にする場合、既存の Administrator パスワードがパスワード要件に一致しないと、アカウントを有効にできません。このような場合、Administrators グループの別のメンバーが、Administrator アカウントのパスワードをリセットする必要があります。パスワードのリセット方法の詳細については、「パスワードをリセットする」を参照してください。
Administrator アカウントを無効にすると、特定の環境下では管理上の問題につながります。

セーフ モードで起動した場合、無効になっている Administrator アカウントは、そのコンピューターがドメインに参加しておらず、しかもローカルでアクティブな管理者アカウントが他にない場合に限り有効になります。コンピューターがドメインに参加している場合、無効になっている管理者は有効化されません。

既定値: 無効
Accounts: Administrator account status

This security setting determines whether the local Administrator account is enabled or disabled.

Notes

If you try to reenable the Administrator account after it has been disabled, and if the current Administrator password does not meet the password requirements, you cannot reenable the account. In this case, an alternative member of the Administrators group must reset the password on the Administrator account. For information about how to reset a password, see To reset a password.
Disabling the Administrator account can become a maintenance issue under certain circumstances.

Under Safe Mode boot, the disabled Administrator account will only be enabled if the machine is non-domain joined and there are no other local active administrator accounts. If the computer is domain joined the disabled administrator will not be enabled.

Default: Disabled.
1963アカウント: Guest アカウントの状態

このセキュリティ設定は、Guest アカウントを有効にするか無効にするかを決定します。

既定値: 無効

注意: Guest アカウントが無効でセキュリティ オプション [ネットワーク アクセス: ローカル アカウントの共有とセキュリティ モデル] に [Guest のみ] が設定されている場合、Microsoft ネットワーク サーバー (SMB サービス) などで実行されるネットワーク ログオンが失敗します。
Accounts: Guest account status

This security setting determines if the Guest account is enabled or disabled.

Default: Disabled.

Note: If the Guest account is disabled and the security option Network Access: Sharing and Security Model for local accounts is set to Guest Only, network logons, such as those performed by the Microsoft Network Server (SMB Service), will fail.
1964アカウント: ローカル アカウントの空のパスワードの使用をコンソール ログオンのみに制限する

このセキュリティ設定は、パスワードで保護されていないローカル アカウントを、そのコンピューター コンソール以外の場所から使用できるかどうかを決定します。この設定が有効な場合、パスワードで保護されていないローカル アカウントへログオンするには、そのコンピューターのキーボードを使用する必要があります。

既定値: 有効


警告

物理的に安全でない場所にあるコンピューターでは、すべてのローカル ユーザー アカウントに対して常に強力なパスワード ポリシーを設定してください。そのようにしておかないと、コンピューターに物理的にアクセスできるユーザーが、パスワードが設定されていないユーザー アカウントを使用してログオンできるようになります。これは、ポータブル コンピューターを使用する場合は特に重要です。
このセキュリティ ポリシーを Everyone グループに適用すると、リモート デスクトップ サービスを使用したログオンができなくなります。

注意

この設定は、ドメイン アカウントを使用するログオンには影響しません。
リモートの対話型ログオンを使うアプリケーションでは、この設定を無効にすることができます。

注意: リモート デスクトップ サービスは、以前のバージョンの Windows Server でターミナル サービスと呼ばれていました。
Accounts: Limit local account use of blank passwords to console logon only

This security setting determines whether local accounts that are not password protected can be used to log on from locations other than the physical computer console. If enabled, local accounts that are not password protected will only be able to log on at the computer's keyboard.

Default: Enabled.


Warning:

Computers that are not in physically secure locations should always enforce strong password policies for all local user accounts. Otherwise, anyone with physical access to the computer can log on by using a user account that does not have a password. This is especially important for portable computers.
If you apply this security policy to the Everyone group, no one will be able to log on through Remote Desktop Services.

Notes

This setting does not affect logons that use domain accounts.
It is possible for applications that use remote interactive logons to bypass this setting.

Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server.
1965アカウント: Administrator アカウント名の変更

このセキュリティ設定は、Administrator アカウントのセキュリティ識別子 (SID) に異なるアカウント名を関連付けるかどうかを決定します。既知の Administrator アカウント名を変更すると、承認されていないユーザーが、この特権のユーザー名とパスワードの組み合わせを推測しづらくなります。

既定値: Administrator
Accounts: Rename administrator account

This security setting determines whether a different account name is associated with the security identifier (SID) for the account Administrator. Renaming the well-known Administrator account makes it slightly more difficult for unauthorized persons to guess this privileged user name and password combination.

Default: Administrator.
1966アカウント : Guest アカウント名の変更

このセキュリティ設定は、"Guest" アカウントのセキュリティ識別子 (SID) に異なるアカウント名を関連付けるかどうかを決定します。既知の Guest アカウント名を変更すると、認証されていないユーザーが、このユーザー名とパスワードの組み合わせを推測しづらくなります。

既定値: Guest

Accounts: Rename guest account

This security setting determines whether a different account name is associated with the security identifier (SID) for the account "Guest." Renaming the well-known Guest account makes it slightly more difficult for unauthorized persons to guess this user name and password combination.

Default: Guest.

1967監査: グローバル システム オブジェクトへのアクセスを監査する

このセキュリティ設定は、グローバル システム オブジェクトへのアクセスを監査するかどうかを決定します。

このポリシーが有効な場合、ミューテックス、イベント、セマフォ、DOS デバイスなどのシステム オブジェクトは、既定のシステム アクセス制御リスト (SACL) を設定して作成されます。SACL は名前付きオブジェクトに対してのみ設定され、名前のないオブジェクトに SACL はありません。[オブジェクト アクセスの監査] 監査ポリシーも有効になっている場合、これらのシステム オブジェクトへのアクセスが監査されます。

注意: このセキュリティ設定を構成したときの変更は、Windows を再起動するまで有効になりません。

既定値: 無効
Audit: Audit the access of global system objects

This security setting determines whether to audit the access of global system objects.

If this policy is enabled, it causes system objects, such as mutexes, events, semaphores and DOS devices, to be created with a default system access control list (SACL). Only named objects are given a SACL; SACLs are not given to objects without names. If the Audit object access audit policy is also enabled, access to these system objects is audited.

Note: When configuring this security setting, changes will not take effect until you restart Windows.

Default: Disabled.
1968監査: バックアップと復元の特権の使用を監査する

このセキュリティ設定を使用して、特権使用の監査ポリシーが有効になっているときに、"バックアップと復元" を含むすべてのユーザー権限の使用状況を監査するかどうかを決定します。特権使用の監査ポリシーが有効になっているときにこのオプションを有効にすると、バックアップまたは復元されるすべてのファイルについて監査イベントが生成されます。

このポリシーを無効にすると、特権使用の監査が有効になっていても、"バックアップと復元" の特権は監査されません。

注意: Windows Vista 以前のバージョンの Windows では、このセキュリティ設定を構成した後、Windows を再起動するまで変更が有効になりません。この設定を有効にすると、バックアップ操作中のイベント数が極端に増える可能性があります (場合によっては 1 秒あたり数百件にもなります)。

既定値: 無効

Audit: Audit the use of Backup and Restore privilege

This security setting determines whether to audit the use of all user privileges, including Backup and Restore, when the Audit privilege use policy is in effect. Enabling this option when the Audit privilege use policy is also enabled generates an audit event for every file that is backed up or restored.

If you disable this policy, then use of the Backup or Restore privilege is not audited even when Audit privilege use is enabled.

Note: On Windows versions prior to Windows Vista configuring this security setting, changes will not take effect until you restart Windows. Enabling this setting can cause a LOT of events, sometimes hundreds per second, during a backup operation.

Default: Disabled.

1969監査: セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする

このセキュリティ設定を使用して、セキュリティ イベントを記録できない場合にシステムをシャットダウンするかどうかを決定します。

このセキュリティ設定が有効になっていると、何らかの理由でセキュリティ監査が記録できない場合にシステムが停止します。一般に、イベントの記録が失敗するのは、セキュリティ監査ログがいっぱいの場合で、セキュリティ ログの保存方法として [イベントを上書きしない] または [指定した日数を過ぎたら上書きする] が指定されている場合です。

セキュリティ ログがいっぱいで既存のエントリが上書きできず、このセキュリティ オプションが有効になっている場合は、次の Stop エラーが表示されます。

STOP: C0000244 {監査の失敗}
セキュリティ監査の生成に失敗しました。
回復するためには、管理者がログオンし、ログをアーカイブして (オプション)、ログを消去し、必要に応じてこのオプションをリセットする必要があります。このセキュリティ設定をリセットするまで、セキュリティ ログがいっぱいでなくても、Administrators グループのメンバー以外のユーザーはシステムにログオンできません。

注意: Windows Vista 以前のバージョンの Windows では、このセキュリティ設定を構成した後、Windows を再起動するまで変更が有効になりません。

既定値: 無効

Audit: Shut down system immediately if unable to log security audits

This security setting determines whether the system shuts down if it is unable to log security events.

If this security setting is enabled, it causes the system to stop if a security audit cannot be logged for any reason. Typically, an event fails to be logged when the security audit log is full and the retention method that is specified for the security log is either Do Not Overwrite Events or Overwrite Events by Days.

If the security log is full and an existing entry cannot be overwritten, and this security option is enabled, the following Stop error appears:

STOP: C0000244 {Audit Failed}
An attempt to generate a security audit failed.
To recover, an administrator must log on, archive the log (optional), clear the log, and reset this option as desired. Until this security setting is reset, no users, other than a member of the Administrators group will be able to log on to the system, even if the security log is not full.

Note: On Windows versions prior to Windows Vista configuring this security setting, changes will not take effect until you restart Windows.

Default: Disabled.

1970デバイス: ログオンなしの装着解除を許可する

このセキュリティ設定を使用して、ログオンしなくてもポータブル コンピューターを装着解除できるかどうかを決定します。このポリシーを有効にすると、ログオンの必要なく、外部ハードウェアの取り出しボタンを使用してコンピューターを装着解除できます。無効にした場合、ユーザーがコンピューターを装着解除するには、"ドッキング ステーションからのコンピューターの取り外し" の特権を持っている必要があり、事前にログオンしなければなりません。

既定値: 有効。

警告

このポリシーを無効にした場合、ユーザーが、外部ハードウェアの取り出しボタン以外の方法を使ってドッキング ステーションからノート PC を物理的に取り外そうとすることがあります。これはハードウェアの損傷の原因となりますので、この設定は一般に、物理的に安全が確保されたラップトップでのみ無効にすることをお勧めします。

Devices: Allow undock without having to log on

This security setting determines whether a portable computer can be undocked without having to log on. If this policy is enabled, logon is not required and an external hardware eject button can be used to undock the computer. If disabled, a user must log on and have the Remove computer from docking station privilege to undock the computer.

Default: Enabled.

Caution

Disabling this policy may tempt users to try and physically remove the laptop from its docking station using methods other than the external hardware eject button. Since this may cause damage to the hardware, this setting, in general, should only be disabled on laptop configurations that are physically securable.

1971デバイス: リムーバブル メディアを取り出すのを許可する

このセキュリティ設定を使用して、リムーバブル NTFS メディアのフォーマットと取り出しの実行が許可されるユーザーを決定します。次のユーザーに対して許可することができます。

Administrators
Administrators と Interactive Users

既定値: このポリシーは定義されていません。Administrators のみが許可されます。

Devices: Allowed to format and eject removable media

This security setting determines who is allowed to format and eject removable NTFS media. This capability can be given to:

Administrators
Administrators and Interactive Users

Default: This policy is not defined and only Administrators have this ability.

1972デバイス: 共有プリンターへの接続時にユーザーがプリンター ドライバーをインストールできないようにする

コンピューターから共有プリンターに印刷を行うには、その共有プリンターのドライバーがローカル コンピューターにインストールされている必要があります。このセキュリティ設定は、共有プリンターへの接続作業の一環としてプリンター ドライバーをインストールできるユーザーを決定します。この設定を有効にした場合、Administrators のみが、共有プリンターへの接続作業の一環としてプリンター ドライバーをインストールできます。この設定を無効にした場合、すべてのユーザーが、共有プリンターへの接続作業の一環としてプリンター ドライバーをインストールできます。

サーバーの既定値: 有効
ワークステーションの既定値: 無効


注意

この設定は、ローカル プリンターを追加できるかどうかには影響しません。
この設定は、Administrators には影響しません。
Devices: Prevent users from installing printer drivers when connecting to shared printers

For a computer to print to a shared printer, the driver for that shared printer must be installed on the local computer. This security setting determines who is allowed to install a printer driver as part of connecting to a shared printer. If this setting is enabled, only Administrators can install a printer driver as part of connecting to a shared printer. If this setting is disabled, any user can install a printer driver as part of connecting to a shared printer.

Default on servers: Enabled.
Default on workstations: Disabled


Notes

This setting does not affect the ability to add a local printer.
This setting does not affect Administrators.
1973デバイス: CD-ROM へのアクセスを、ローカル ログオン ユーザーだけに制限する

このセキュリティ設定を使用して、CD-ROM をローカルとリモートのユーザーから同時にアクセス可能にするかどうかを決定します。

このポリシーを有効にすると、対話的にログオンしているユーザーのみがリムーバブル CD-ROM メディアへのアクセスを許可されます。このポリシーを有効にしている場合でも、対話的にログオンしているユーザーがいない場合は、ネットワークを介して CD-ROM にアクセスすることが許可されます。

既定値: このポリシーは定義されていません。CD-ROM へのアクセスは、ローカル ログオン ユーザーに制限されていません。

Devices: Restrict CD-ROM access to locally logged-on user only

This security setting determines whether a CD-ROM is accessible to both local and remote users simultaneously.

If this policy is enabled, it allows only the interactively logged-on user to access removable CD-ROM media. If this policy is enabled and no one is logged on interactively, the CD-ROM can be accessed over the network.

Default: This policy is not defined and CD-ROM access is not restricted to the locally logged-on user.

1974デバイス: フロッピーへのアクセスを、ローカル ログオン ユーザーだけに制限する

このセキュリティ設定を使用して、リムーバブル フロッピー メディアをローカルとリモートのユーザーから同時にアクセス可能にするかどうかを決定します。

このポリシーを有効にすると、対話的にログオンしているユーザーのみがリムーバブル フロッピー メディアへのアクセスを許可されます。このポリシーを有効にしている場合でも、対話的にログオンしているユーザーがいない場合は、ネットワークを介してフロッピーにアクセスすることが許可されます。

既定値: このポリシーは定義されていません。フロッピー ディスク ドライブへのアクセスは、ローカル ログオン ユーザーに制限されていません。

Devices: Restrict floppy access to locally logged-on user only

This security setting determines whether removable floppy media are accessible to both local and remote users simultaneously.

If this policy is enabled, it allows only the interactively logged-on user to access removable floppy media. If this policy is enabled and no one is logged on interactively, the floppy can be accessed over the network.

Default: This policy is not defined and floppy disk drive access is not restricted to the locally logged-on user.

1975デバイス: 署名されていないドライバーのインストール時の動作

このセキュリティ設定を使用して、Windows Hardware Quality Lab (WHQL) でテストされていないデバイス ドライバーを Setup API を使ってインストールしようとしたときの動作を決定します。

次のオプションがあります。

警告なしで許可する
警告するがインストールは許可する
インストールを許可しない
既定値: 警告するがインストールは許可する。

Devices: Unsigned driver installation behavior

This security setting determines what happens when an attempt is made to install a device driver (by means of Setup API) that has not been tested by the Windows Hardware Quality Lab (WHQL).

The options are:

Silently succeed
Warn but allow installation
Do not allow installation
Default: Warn but allow installation.

1976ドメイン コントローラー: Server Operators がタスクのスケジュールを割り当てるのを許可する

このセキュリティ設定を使用して、Server Operators に、AT スケジュール機能を使用したジョブの送信を許可するかどうかを決定します。

注意: このセキュリティ設定は、AT スケジュール機能にのみ影響します。タスク スケジューラ機能には影響しません。
既定値: このポリシーは定義されていないため、システムはこの設定が無効に指定されているものとして処理します。

Domain controller: Allow server operators to schedule tasks

This security setting determines if Server Operators are allowed to submit jobs by means of the AT schedule facility.

Note: This security setting only affects the AT schedule facility; it does not affect the Task Scheduler facility.
Default: This policy is not defined, which means that the system treats it as disabled.

1977ドメイン コントローラー: LDAP サーバー署名必須

このセキュリティ設定を使用して、LDAP サーバーが LDAP クライアントとの間で署名のネゴシエートを必要とするかどうかを決定します。次のオプションがあります。

なし: サーバーとバインドするためにデータ署名は必要ありません。クライアントがデータの署名を要求した場合はサーバーから提供されます。
署名属性の要求: TLS\SSL が使用される場合以外は、LDAP データ署名オプションをネゴシエートする必要があります。

既定値: このポリシーは定義されていないため、なしとして処理されます。

警告

サーバーに [署名属性の要求] を設定した場合は、クライアントも設定する必要があります。クライアントを設定しないと、サーバーとの接続が失われます。

注意

この設定は LDAP 簡易結合にも SSL 経由 LDAP 簡易結合にも影響しません。Windows XP Professional と共に出荷される Microsoft LDAP クライアントは、ドメイン コントローラーとの対話に LDAP 簡易結合も SSL 経由 LDAP 簡易結合も使用しません。
署名が必要とされる場合、LDAP 簡易結合と SSL 経由 LDAP 簡易結合の要求は拒否されます。Windows XP Professional または Windows Server 2003 ファミリで動作する Microsoft LDAP クライアントは、ディレクトリ サービスへのバインドに LDAP 簡易結合も SSL 経由 LDAP 簡易結合も使用しません。

Domain controller: LDAP server signing requirements

This security setting determines whether the LDAP server requires signing to be negotiated with LDAP clients, as follows:

None: Data signing is not required in order to bind with the server. If the client requests data signing, the server supports it.
Require signature: Unless TLS\SSL is being used, the LDAP data signing option must be negotiated.

Default: This policy is not defined, which has the same effect as None.

Caution

If you set the server to Require Signature, you must also set the client. Not setting the client results in loss of connection with the server.

Notes

This setting does not have any impact on LDAP simple bind or LDAP simple bind through SSL. No Microsoft LDAP clients that are shipped with Windows XP Professional use LDAP simple bind or LDAP simple bind through SSL to talk to a domain controller.
If signing is required, then LDAP simple bind and LDAP simple bind through SSL requests are rejected. No Microsoft LDAP clients running Windows XP Professional or the Windows Server 2003 family use LDAP simple bind or LDAP simple bind through SSL to bind to directory service.

1978ドメイン コントローラー: コンピューター アカウントのパスワードの変更を拒否する

このセキュリティ設定を使用して、ドメイン コントローラーがメンバー コンピューターからのコンピューター アカウントのパスワード変更の要求を拒否するかどうかを決定します。既定では、メンバー コンピューターは 30 日ごとにコンピューター アカウントのパスワードを変更します。この設定を有効にすると、ドメイン コントローラーは、コンピューター アカウントのパスワードの変更要求を拒否します。

有効にした場合、ドメイン コントローラーは、コンピューター アカウントのパスワードに対するどのような変更も受け付けることができません。

既定値: このポリシーは定義されていないため、システムにより無効として処理されます。

Domain controller: Refuse machine account password changes

This security setting determines whether domain controllers will refuse requests from member computers to change computer account passwords. By default, member computers change their computer account passwords every 30 days. If enabled, the domain controller will refuse computer account password change requests.

If it is enabled, this setting does not allow a domain controller to accept any changes to a computer account's password.

Default: This policy is not defined, which means that the system treats it as Disabled.

1979ドメイン メンバー: 常にセキュリティで保護されたチャネルのデータをデジタル的に暗号化または署名する

このセキュリティ設定を使用して、ドメイン メンバーによって開始された、セキュリティで保護されたチャネルのすべてのトラフィックが署名または暗号化される必要があるかどうかを決定します。

コンピューターがドメインに参加すると、コンピューター アカウントが作成されます。その後システムが開始されると、そのコンピューター アカウントのパスワードを使用して、そのドメインのドメイン コントローラーとの間にセキュリティで保護されたチャネルが作成されます。このセキュリティで保護されたチャネルは、NTLM パス スルー認証、LSA SID/名前参照などの操作に使用されます。

この設定により、ドメイン メンバーによって開始された、セキュリティで保護されたチャネルのすべてのトラフィックが最低限のセキュリティ要件を満たすかどうかが決定されます。具体的には、ドメイン メンバーによって開始された、セキュリティで保護されたチャネルのすべてのトラフィックが署名または暗号化される必要があるかどうかを決定します。このポリシーを有効にした場合、セキュリティで保護されたチャネルのすべてのトラフィックの署名または暗号化がネゴシエートされない限り、セキュリティで保護されたチャネルは確立されません。このポリシーを無効にした場合、署名と暗号化のレベルがドメイン コントローラーのバージョンと以下の 2 つのポリシーの設定に依存する場合に、セキュリティで保護されたチャネルのすべてのトラフィックの暗号化と署名がドメイン コントローラーとの間でネゴシエートされます。

ドメイン メンバー: 可能な場合、セキュリティで保護されたチャネルのデータをデジタル的に暗号化する
ドメイン メンバー: 可能な場合、セキュリティで保護されたチャネルのデータをデジタル的に署名する

既定値: 有効

注意

このポリシーを有効にした場合、"ドメイン メンバー: 可能な場合、セキュリティで保護されたチャネルのデータをデジタル的に署名する" ポリシーは、実際の設定に関係なく、有効にされていると見なされます。これによりドメイン メンバーは、最低限でも、セキュリティで保護されたチャネルのトラフィックの署名をネゴシエートしようと試みます。
このポリシーを有効にした場合、"ドメイン メンバー: 可能な場合、セキュリティで保護されたチャネルのデータをデジタル的に署名する" ポリシーは、実際の設定に関係なく、有効にされていると見なされます。これによりドメイン メンバーは、最低限でも、セキュリティで保護されたチャネルのトラフィックの署名をネゴシエートしようと試みます。
セキュリティで保護されたチャネル上で送信されるログオン情報は、セキュリティで保護されたチャネルの他のすべてのトラフィックの暗号化がネゴシエートされるかどうかに関係なく、常に暗号化されます。

Domain member: Digitally encrypt or sign secure channel data (always)

This security setting determines whether all secure channel traffic initiated by the domain member must be signed or encrypted.

When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller for its domain. This secure channel is used to perform operations such as NTLM pass through authentication, LSA SID/name Lookup etc.

This setting determines whether or not all secure channel traffic initiated by the domain member meets minimum security requirements. Specifically it determines whether all secure channel traffic initiated by the domain member must be signed or encrypted. If this policy is enabled, then the secure channel will not be established unless either signing or encryption of all secure channel traffic is negotiated. If this policy is disabled, then encryption and signing of all secure channel traffic is negotiated with the Domain Controller in which case the level of signing and encryption depends on the version of the Domain Controller and the settings of the following two policies:

Domain member: Digitally encrypt secure channel data (when possible)
Domain member: Digitally sign secure channel data (when possible)

Default: Enabled.

Notes:

If this policy is enabled, the policy Domain member: Digitally sign secure channel data (when possible) is assumed to be enabled regardless of its current setting. This ensures that the domain member attempts to negotiate at least signing of the secure channel traffic.
If this policy is enabled, the policy Domain member: Digitally sign secure channel data (when possible) is assumed to be enabled regardless of its current setting. This ensures that the domain member attempts to negotiate at least signing of the secure channel traffic.
Logon information transmitted over the secure channel is always encrypted regardless of whether encryption of ALL other secure channel traffic is negotiated or not.

1980ドメイン メンバー: 可能な場合、セキュリティで保護されたチャネルのデータをデジタル的に暗号化する

このセキュリティ設定を使用して、ドメイン メンバーが、自身が開始した、セキュリティで保護されたチャネルのすべてのトラフィックの暗号化をネゴシエートするよう試みるかどうかを決定します。

コンピューターがドメインに参加すると、コンピューター アカウントが作成されます。その後システムが開始されると、そのコンピューター アカウントのパスワードを使用して、そのドメインのドメイン コントローラーとの間にセキュリティで保護されたチャネルが作成されます。このセキュリティで保護されたチャネルは、NTLM パススルー認証、LSA SID/名前参照などの操作に使用されます。

この設定により、ドメイン メンバーが、自身が開始したセキュリティで保護されたチャネルのすべてのトラフィックの暗号化をネゴシエートするよう試みるするかどうかが決定されます。有効にした場合、ドメイン メンバーは、セキュリティで保護されたチャネルのすべてのトラフィックの暗号化を要求します。ドメイン コントローラーが、セキュリティで保護されたチャネルのすべてのトラフィックの暗号化をサポートする場合は、セキュリティで保護されたチャネルのすべてのトラフィックが暗号化されます。そうでない場合は、セキュリティで保護されたチャネル上で送信されるログオン情報だけが暗号化されます。この設定を無効にすると、ドメイン メンバーは、セキュリティで保護されたチャネルの暗号化をネゴシエートするよう試みません。

既定値: 有効。

重要

現在のところ、この設定を無効にする理由はありません。この設定を無効にすると、セキュリティで保護されたチャネルの潜在的な機密性レベルが不必要に低下するだけでなく、セキュリティで保護されたチャネルのスループットも不必要に低下することがあります。これは、セキュリティで保護されたチャネルを使用する同時 API コールは、セキュリティで保護されたチャネルが署名または暗号化されている場合のみ可能であるためです。

注意: ドメイン コントローラーはドメイン メンバーでもあり、同じドメイン内および信頼されるドメイン内のドメイン コントローラーとの間にセキュリティで保護されたチャネルを確立します。

Domain member: Digitally encrypt secure channel data (when possible)

This security setting determines whether a domain member attempts to negotiate encryption for all secure channel traffic that it initiates.

When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller for its domain. This secure channel is used to perform operations such as NTLM pass-through authentication, LSA SID/name Lookup etc.

This setting determines whether or not the domain member attempts to negotiate encryption for all secure channel traffic that it initiates. If enabled, the domain member will request encryption of all secure channel traffic. If the domain controller supports encryption of all secure channel traffic, then all secure channel traffic will be encrypted. Otherwise only logon information transmitted over the secure channel will be encrypted. If this setting is disabled, then the domain member will not attempt to negotiate secure channel encryption.

Default: Enabled.

Important

There is no known reason for disabling this setting. Besides unnecessarily reducing the potential confidentiality level of the secure channel, disabling this setting may unnecessarily reduce secure channel throughput, because concurrent API calls that use the secure channel are only possible when the secure channel is signed or encrypted.

Note: Domain controllers are also domain members and establish secure channels with other domain controllers in the same domain as well as domain controllers in trusted domains.

1981ドメイン メンバー: 可能な場合、セキュリティで保護されたチャネルのデータをデジタル的に署名する

このセキュリティ設定を使用して、ドメイン メンバーが、自身が開始した、セキュリティで保護されたチャネルのすべてのトラフィックの署名をネゴシエートするよう試みるかどうかを決定します。

コンピューターがドメインに参加すると、コンピューター アカウントが作成されます。その後システムが開始されると、そのコンピューター アカウントのパスワードを使用して、そのドメインのドメイン コントローラーとの間にセキュリティで保護されたチャネルが作成されます。このセキュリティで保護されたチャネルは、NTLM パス スルー認証、LSA SID/名前参照などの操作に使用されます。

この設定により、ドメイン メンバーが、自身が開始したセキュリティで保護されたチャネルのすべてのトラフィックの署名をネゴシエートするよう試みるかどうかが決定されます。有効にした場合、ドメイン メンバーは、セキュリティで保護されたチャネルのすべてのトラフィックの署名を要求します。ドメイン コントローラーが、セキュリティで保護されたチャネルのすべてのトラフィックの署名をサポートする場合は、セキュリティで保護されたチャネルのすべてのトラフィックが署名され、それにより送信中の改ざんを防止できます。

既定値: 有効

注意

"ドメイン メンバー: 常にセキュリティで保護されたチャネルのデータをデジタル的に暗号化または署名する" ポリシーが有効にされている場合、このポリシーは、実際の設定に関係なく、有効にされていると見なされます。
ドメイン コントローラーはドメイン メンバーでもあり、同じドメイン内および信頼されるドメイン内のドメイン コントローラーとの間にセキュリティで保護されたチャネルを確立します。

Domain member: Digitally sign secure channel data (when possible)

This security setting determines whether a domain member attempts to negotiate signing for all secure channel traffic that it initiates.

When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller for its domain. This secure channel is used to perform operations such as NTLM pass through authentication, LSA SID/name Lookup etc.

This setting determines whether or not the domain member attempts to negotiate signing for all secure channel traffic that it initiates. If enabled, the domain member will request signing of all secure channel traffic. If the Domain Controller supports signing of all secure channel traffic, then all secure channel traffic will be signed which ensures that it cannot be tampered with in transit.

Default: Enabled.

Notes:

If the policy Domain member: Digitally encrypt or sign secure channel data (always) is enabled, then this policy is assumed to be enabled regardless of its current setting.
Domain controllers are also domain members and establish secure channels with other domain controllers in the same domain as well as domain controllers in trusted domains.

1982ドメイン メンバー: 最大コンピューター アカウントのパスワードの有効期間

このセキュリティ設定を使用して、ドメイン メンバーがコンピューター アカウントのパスワードの変更を試みる頻度を決定します。

既定値: 30 日間。

重要

この設定は Windows 2000 コンピューターにも適用されますが、それらのコンピューターで使用しているセキュリティの構成マネージャー ツールを通じて使用することはできません。

Domain member: Maximum machine account password age

This security setting determines how often a domain member will attempt to change its computer account password.

Default: 30 days.

Important

This setting applies to Windows 2000 computers, but it is not available through the Security Configuration Manager tools on these computers.

1983ドメイン メンバー: 強力な (Windows 2000 かそれ以降のバージョン) セッション キーを必要とする

このセキュリティ設定を使用して、セキュリティで保護されたチャネル データの暗号化に、128 ビット キーの強度を必要とするかどうかを決定します。

コンピューターがドメインに参加すると、コンピューター アカウントが作成されます。その後システムが開始されると、そのコンピューター アカウントのパスワードを使用して、そのドメインのドメイン コントローラーとの間にセキュリティで保護されたチャネルが作成されます。このセキュリティで保護されたチャネルは、NTLM パススルー認証、LSA SID/名前参照などの操作に使用されます。

ドメイン メンバーの通信相手であるドメイン コントローラーで実行されている Windows のバージョンと、パラメーターの設定に依存します:

ドメイン メンバー: 常にセキュリティで保護されたチャネルのデータをデジタル的に暗号化または署名する
ドメイン メンバー: 可能な場合、セキュリティで保護されたチャネルのデータをデジタル的に暗号化する
セキュリティで保護されたチャネル上で送信される情報の一部またはすべてが暗号化されます。このポリシー設定により、暗号化される、セキュリティで保護されたチャネルの情報に 128 ビット キーの強度が必要とされるかどうかが決定されます。

この設定を有効にすると、128 ビットの暗号化が実行可能でない限りセキュリティで保護されたチャネルは確立されません。この設定を無効にすると、キーの強度はドメイン コントローラーとの間でネゴシエートされます。

既定値: 有効。

重要

メンバーのワークステーションとサーバーでこのポリシーの利点を活用するには、メンバーのドメインを構成するすべてのドメイン コントローラーで Windows 2000 以降を実行している必要があります。
ドメイン コントローラーでこのポリシーの利点を活用するには、同じドメイン内とすべての信頼されるドメイン内のすべてのドメイン コントローラーで Windows 2000 以降を実行している必要があります。

Domain member: Require strong (Windows 2000 or later) session key

This security setting determines whether 128-bit key strength is required for encrypted secure channel data.

When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller within the domain. This secure channel is used to perform operations such as NTLM pass-through authentication, LSA SID/name Lookup, and so on.

Depending on what version of Windows is running on the domain controller that the domain member is communicating with and the settings of the parameters:

Domain member: Digitally encrypt or sign secure channel data (always)
Domain member: Digitally encrypt secure channel data (when possible)
Some or all of the information that is transmitted over the secure channel will be encrypted. This policy setting determines whether or not 128-bit key strength is required for the secure channel information that is encrypted.

If this setting is enabled, then the secure channel will not be established unless 128-bit encryption can be performed. If this setting is disabled, then the key strength is negotiated with the domain controller.

Default: Enabled.

Important

In order to take advantage of this policy on member workstations and servers, all domain controllers that constitute the member's domain must be running Windows 2000 or later.
In order to take advantage of this policy on domain controllers, all domain controllers in the same domain as well as all trusted domains must run Windows 2000 or later.

1984ドメイン メンバー: コンピューター アカウント パスワード: 定期的な変更を無効にする

ドメイン メンバーがコンピューター アカウントのパスワードを定期的に変更するかどうかを決定します。この設定を有効にすると、ドメイン メンバーはコンピューター アカウントのパスワードの変更を試みません。この設定を無効にした場合、ドメイン メンバーは、"ドメイン メンバー: 最大コンピューター アカウントのパスワードの有効期間" の設定 (既定は 30 日間) に従って、コンピューター アカウントのパスワードの変更を試みます。

既定値: 無効。

注意

このセキュリティ設定は有効にすべきではありません。コンピューター アカウントのパスワードは、メンバーとドメイン コントローラー間、およびドメイン内ではドメイン コントローラーどうしの間で、セキュリティで保護されたチャネルの通信を確立するために使用されます。セキュリティで保護されたチャネルが確立されると、認証と承認の決定を行うために必要な機密情報の送信に使用されます。
この設定は、同じコンピューター アカウントを使用するデュアルブートのシナリオをサポートするために使用しないでください。同じドメインに参加している 2 つのインストールをデュアルブートする場合は、2 つのインストールに異なるコンピューター名を使用してください。
Domain member: Disable machine account password changes

Determines whether a domain member periodically changes its computer account password. If this setting is enabled, the domain member does not attempt to change its computer account password. If this setting is disabled, the domain member attempts to change its computer account password as specified by the setting for Domain Member: Maximum age for machine account password, which by default is every 30 days.

Default: Disabled.

Notes

This security setting should not be enabled. Computer account passwords are used to establish secure channel communications between members and domain controllers and, within the domain, between the domain controllers themselves. Once it is established, the secure channel is used to transmit sensitive information that is necessary for making authentication and authorization decisions.
This setting should not be used in an attempt to support dual-boot scenarios that use the same computer account. If you want to dual-boot two installations that are joined to the same domain, give the two installations different computer names.
1985対話型ログオン: 最後にサインインしたユーザーを表示しない
このセキュリティ設定は、この PC に最後にサインインしたユーザーのユーザー名を Windows サインイン画面に表示するかどうかを決定します。
このポリシーを有効にした場合、ユーザー名は表示されません。

このポリシーを無効にした場合、ユーザー名が表示されます。

既定値: 無効。


Interactive logon: Don't display last signed-in
This security setting determines whether the Windows sign-in screen will show the username of the last person who signed in on this PC.
If this policy is enabled, the username will not be shown.

If this policy is disabled, the username will be shown.

Default: Disabled.


1986対話型ログオン: Ctrl + Alt + Del を必要としない

このセキュリティ設定を使用して、ユーザーがログオンするために Ctrl + Alt + Del キーを押す必要があるかどうかを決定します。

コンピューター上でこのポリシーを有効にすると、ユーザーはログオンする際に Ctrl + Alt + Del を押す必要がありません。Ctrl + Alt + Del キーを押す必要をなくすと、ユーザーはパスワード傍受攻撃を受けやすくなります。ログオン前に Ctrl + Alt + Del を押さなければならないように設定することで、ユーザーがパスワードを入力する際に、信頼されるパスを使って通信していることが保証されます。

このポリシーを無効にすると、すべてのユーザーは、Windows にログオンする際に Ctrl + Alt + Del を押す必要があります。

ドメイン コンピューターの既定値: 有効: Windows 8 以降/無効: Windows 7 以前。
スタンドアロン コンピューターの既定値: 有効。

Interactive logon: Do not require CTRL+ALT+DEL

This security setting determines whether pressing CTRL+ALT+DEL is required before a user can log on.

If this policy is enabled on a computer, a user is not required to press CTRL+ALT+DEL to log on. Not having to press CTRL+ALT+DEL leaves users susceptible to attacks that attempt to intercept the users' passwords. Requiring CTRL+ALT+DEL before users log on ensures that users are communicating by means of a trusted path when entering their passwords.

If this policy is disabled, any user is required to press CTRL+ALT+DEL before logging on to Windows.

Default on domain-computers: Enabled: At least Windows 8/Disabled: Windows 7 or earlier.
Default on stand-alone computers: Enabled.

1987対話型ログオン: ログオン時のユーザーへのメッセージのテキスト

このセキュリティ設定を使用して、ユーザーがログオンするときに表示されるテキスト メッセージを指定します。

このテキストは多くの場合、エンタープライズ情報を悪用した場合の影響や、ユーザーの操作が監査されていることについて警告するなどの法的な用途に使用されます。

既定値: メッセージなし。

Interactive logon: Message text for users attempting to log on

This security setting specifies a text message that is displayed to users when they log on.

This text is often used for legal reasons, for example, to warn users about the ramifications of misusing company information or to warn them that their actions may be audited.

Default: No message.

1988対話型ログオン: ログオン時のユーザーへのメッセージのタイトル

このセキュリティ設定を使用して、"対話型ログオン: ログオン時のユーザーへのメッセージのテキスト" で指定した内容が表示されたウィンドウのタイトル バーに表示するタイトルを指定することができます。

既定値: メッセージなし。

Interactive logon: Message title for users attempting to log on

This security setting allows the specification of a title to appear in the title bar of the window that contains the Interactive logon: Message text for users attempting to log on.

Default: No message.

1989対話型ログオン: キャッシュする過去のログオン数 (ドメイン コントローラーが使用できない場合)

一意なユーザーのログオン情報をそれぞれローカルにキャッシュし、その後のログオン試行中にドメイン コントローラーが使用できない場合でもログオンできるようにします。キャッシュされるログオン情報は過去のログオン セッションから保存されます。ドメイン コントローラーが使用できない場合、ユーザーのログオン情報がキャッシュされていないと、ユーザーに次のようなメッセージが表示されます。

現在、ログオン要求を処理できるログオン サーバーはありません。

このポリシーに 0 を設定すると、ログオン情報はキャッシュされません。50 より大きな値を設定しても、キャッシュされるログオン試行情報は 50 回までです。Windows では、最大 50 のキャッシュ エントリをサポートし、各ユーザーによって使用されるエントリの数は、資格情報によって異なります。たとえば、Windows システムではユーザーごとに最大 50 の一意のパスワードをキャッシュできますが、スマート カードのユーザー アカウントの場合は、パスワード情報とスマート カード情報の両方が保存されるため、25 のスマート カード ユーザー アカウントしかキャッシュできません。キャッシュされたログオン情報を持つユーザーがもう一度ログオンすると、ユーザーの個々のキャッシュ情報が置き換えられます。

既定値:

Windows Server 2008: 25

他のすべてのバージョン: 10

Interactive logon: Number of previous logons to cache (in case domain controller is not available)

Each unique user's logon information is cached locally so that, in the event that a domain controller is unavailable during subsequent logon attempts, they are able to log on. The cached logon information is stored from the previous logon session. If a domain controller is unavailable and a user's logon information is not cached, the user is prompted with this message:

There are currently no logon servers available to service the logon request.

In this policy setting, a value of 0 disables logon caching. Any value above 50 only caches 50 logon attempts. Windows supports a maximum of 50 cache entries and the number of entries consumed per user depends on the credential. For example, a maximum of 50 unique password user accounts can be cached on a Windows system, but only 25 smart card user accounts can be cached because both the password information and the smart card information are stored. When a user with cached logon information logs on again, the user’s individual cached information is replaced.

Default:

Windows Server 2008: 25

All Other Versions: 10

1990対話型ログオン: パスワードの期限が切れる前にユーザーに通知する

ユーザーに対し、パスワードが期限切れになることを何日前に警告するかを決定します。事前に警告することにより、ユーザーは、強力なパスワードを用意するための時間の余裕を持つことができます。

既定値: 5 日間。

Interactive logon: Prompt user to change password before expiration

Determines how far in advance (in days) users are warned that their password is about to expire. With this advance warning, the user has time to construct a password that is sufficiently strong.

Default: 5 days.

1991対話型ログオン: ロック解除にドメイン コントローラー認証を必要とする

ロックされたコンピューターをロック解除する際にログオン情報を要求します。ドメイン アカウントの場合は、このセキュリティ設定により、コンピューターをロック解除する際にドメイン コントローラーと通信する必要があるかどうかが決定されます。この設定を無効にした場合、ユーザーは、キャッシュされた資格情報を使用してコンピューターをロック解除できます。この設定を有効にした場合、ドメイン コントローラーは、コンピューターのロック解除に使用するドメイン アカウントを認証する必要があります。

既定値: 無効。

重要

この設定は Windows 2000 コンピューターにも適用されますが、それらのコンピューターで使用しているセキュリティの構成マネージャー ツールを通じて使用することはできません。

Interactive logon: Require Domain Controller authentication to unlock

Logon information must be provided to unlock a locked computer. For domain accounts, this security setting determines whether a domain controller must be contacted to unlock a computer. If this setting is disabled, a user can unlock the computer using cached credentials. If this setting is enabled, a domain controller must authenticate the domain account that is being used to unlock the computer.

Default: Disabled.

Important

This setting applies to Windows 2000 computers, but it is not available through the Security Configuration Manager tools on these computers.

1992対話型ログオン: Windows Hello for Business またはスマート カードが必要

このセキュリティ設定では、ユーザーが Windows Hello for Business またはスマート カードを使用してデバイスにサインインすることを要求します。

オプション:

有効: ユーザーは、Windows Hello for Business またはスマート カードを使用する場合にのみ、デバイスにサインインできます。
無効または未構成: ユーザーは任意の方法を使用してデバイスにサインインできます。

重要

この設定は、Windows 2000 を実行しているすべてのコンピューターでレジストリを変更することによって適用されますが、このセキュリティ設定はセキュリティ構成マネージャー ツール セットでは表示できません。

Windows Hello for Business でのサインインの要求は、Windows 10 v1607 またはそれ以前のバージョンではサポートされていません。

Interactive logon: Require Windows Hello for Business or smart card

This security setting requires users to sign-in to a device using Windows Hello for Business or a smart card.

The options are:

Enabled: Users can only sign-in to the device using Windows Hello for Business or a smart card.
Disabled or not configured: Users can sign-in to the device using any method.

Important

This setting applies to any computer running Windows 2000 through changes in the registry, but the security setting is not viewable through the Security Configuration Manager tool set.

Requiring Windows Hello for Business sign-in is not supported on Windows 10 v1607 or earlier.

1993対話型ログオン: スマート カード取り出し時の動作

このセキュリティ設定を使用して、ログオンしているユーザーのスマート カードがスマート カード リーダーから取り外されたときの動作を決定します。

次のオプションがあります。

何もしない
ワークステーションをロックする
ログオフを強制する
リモート デスクトップ サービスのセッションである場合に切断する

このポリシーの [プロパティ] ダイアログ ボックスで [ワークステーションをロックする] をクリックすると、スマート カードが取り外されたときにワークステーションがロックされます。これによりユーザーは、その場を離れるときにスマート カードを取り外して持ち歩くことで、保護されたセッションを維持できます。

このポリシーの [プロパティ] ダイアログ ボックスで [ログオフを強制する] をクリックすると、スマート カードが取り外されたときにユーザーが自動的にログオフされます。

[リモート デスクトップ サービスのセッションである場合に切断する] をクリックすると、スマート カードが取り外されたときに、ユーザーをログオフせずにセッションが切断されます。これにより、ユーザーは後で、または別のスマート カード リーダーが装備されたコンピューターで、再びログオンする必要なくスマート カードを挿入してセッションを再開することができます。セッションがローカルの場合、このポリシーは [ワークステーションをロックする] と同様に機能します。

注意: リモート デスクトップ サービスは、以前のバージョンの Windows Server でターミナル サービスと呼ばれていました。

既定値: このポリシーは定義されておらず、[何もしない] が設定されているものとして扱われます。

Windows Vista 以降: この設定が動作するには、スマート カードの取り出しポリシー サービスが開始されている必要があります。

Interactive logon: Smart card removal behavior

This security setting determines what happens when the smart card for a logged-on user is removed from the smart card reader.

The options are:

No Action
Lock Workstation
Force Logoff
Disconnect if a Remote Desktop Services session

If you click Lock Workstation in the Properties dialog box for this policy, the workstation is locked when the smart card is removed, allowing users to leave the area, take their smart card with them, and still maintain a protected session.

If you click Force Logoff in the Properties dialog box for this policy, the user is automatically logged off when the smart card is removed.

If you click Disconnect if a Remote Desktop Services session, removal of the smart card disconnects the session without logging the user off. This allows the user to insert the smart card and resume the session later, or at another smart card reader-equipped computer, without having to log on again. If the session is local, this policy functions identically to Lock Workstation.

Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server.

Default: This policy is not defined, which means that the system treats it as No action.

On Windows Vista and above: For this setting to work, the Smart Card Removal Policy service must be started.

1994Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う

このセキュリティ設定を使用して、SMB クライアント コンポーネントがパケット署名を必要とするかどうかを決定します。

サーバー メッセージ ブロック (SMB) プロトコルは、Microsoft のファイルとプリンターの共有、およびリモート Windows 管理などの多くのネットワーク操作の基盤を提供します。転送中の SMB パケットを改ざんする man-in-the-middle アタックを防止するため、SMB プロトコルは SMB パケットのデジタル署名をサポートしています。このポリシー設定により、SMB サーバーとの以降の通信を許可するために SMB パケット署名をネゴシエートする必要があるかどうかが決定されます。

この設定を有効にすると、Microsoft ネットワーク クライアントは、SMB パケット署名を実行することに同意しない Microsoft ネットワーク サーバーとは通信しません。このポリシーを無効にすると、クライアントとサーバーとの間で SMB パケット署名がネゴシエートされます。

既定値: 無効。

重要

Windows 2000 を実行しているコンピューター上でこのポリシーを有効にするには、クライアント側のパケット署名も有効にされている必要があります。クライアント側 SMB パケット署名を有効にするには、"Microsoft ネットワーク クライアント: サーバーが同意すれば、通信にデジタル署名を行う" を設定します。

注意

すべての Windows オペレーティング システムにおいて、クライアント サイドの SMB コンポーネントおよびサーバー サイドの SMB コンポーネントの両方がサポートされています。Windows 2000 以降のオペレーティング システムでは、クライアント側およびサーバー側の SMB コンポーネントでのパケット署名の有効化または要求は、次の 4 つのポリシー設定によって制御されます。
Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う - クライアント側 SMB コンポーネントがパケット署名を要求するかどうかを制御します。
Microsoft ネットワーク クライアント: サーバーが同意すれば、通信にデジタル署名を行う - クライアント側 SMB コンポーネントでパケット署名を有効にするかどうかを制御します。
Microsoft ネットワーク サーバー: 常に通信にデジタル署名を行う - サーバー側 SMB コンポーネントがパケット署名を要求するかどうかを制御します。
Microsoft ネットワーク サーバー: クライアントが同意すれば、通信にデジタル署名を行う - サーバー側 SMB コンポーネントでパケット署名を有効にするかどうかを制御します。
SMB パケット署名を行うと、言語バージョン、OS バージョン、ファイル サイズ、プロセッサのオフロード機能、およびアプリケーションの IO 動作によって SMB のパフォーマンスが著しく低下する場合があります。
詳細については、https://go.microsoft.com/fwlink/?LinkID=787136 を参照してください。

Microsoft network client: Digitally sign communications (always)

This security setting determines whether packet signing is required by the SMB client component.

The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent man-in-the-middle attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether SMB packet signing must be negotiated before further communication with an SMB server is permitted.

If this setting is enabled, the Microsoft network client will not communicate with a Microsoft network server unless that server agrees to perform SMB packet signing. If this policy is disabled, SMB packet signing is negotiated between the client and server.

Default: Disabled.

Important

For this policy to take effect on computers running Windows 2000, client-side packet signing must also be enabled. To enable client-side SMB packet signing, set Microsoft network client: Digitally sign communications (if server agrees).

Notes

All Windows operating systems support both a client-side SMB component and a server-side SMB component. On Windows 2000 and later operating systems, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings:
Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing.
Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled.
Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing.
Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled.
SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors.
For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136.

1995Microsoft ネットワーク クライアント: サーバーが同意すれば、通信にデジタル署名を行う

このセキュリティ設定を使用して、SMB クライアントが SMB パケット署名のネゴシエートを試みるかどうかを決定します。

サーバー メッセージ ブロック (SMB) プロトコルは、Microsoft のファイルとプリンターの共有、およびリモート Windows 管理などの多くのネットワーク操作の基盤を提供します。転送中の SMB パケットを改ざんする man-in-the-middle アタックを防止するため、SMB プロトコルは SMB パケットのデジタル署名をサポートしています。このポリシー設定により、SMB クライアント コンポーネントが SMB サーバーに接続する際に、SMB パケット署名のネゴシエートを試みるかどうかが決定されます。

この設定を有効にすると、Microsoft ネットワーク クライアントは、セッション セットアップの際、サーバーに対して SMB パケット署名の実行を要求します。サーバー上でパケット署名が有効にされている場合は、パケット署名がネゴシエートされます。このポリシーを無効にすると、SMB クライアントは SMB パケット署名をネゴシエートしません。

既定値: 有効。

注意

すべての Windows オペレーティング システムにおいて、クライアント サイドの SMB コンポーネントおよびサーバー サイドの SMB コンポーネントの両方がサポートされています。Windows 2000 以降では、クライアント側およびサーバー側の SMB コンポーネントでのパケット署名の有効化または要求は、次の 4 つのポリシー設定によって制御されます。
Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う - クライアント側 SMB コンポーネントがパケット署名を要求するかどうかを制御します。
Microsoft ネットワーク クライアント: サーバーが同意すれば、通信にデジタル署名を行う - クライアント側 SMB コンポーネントでパケット署名を有効にするかどうかを制御します。
Microsoft ネットワーク サーバー: 常に通信にデジタル署名を行う - サーバー側 SMB コンポーネントがパケット署名を要求するかどうかを制御します。
Microsoft ネットワーク サーバー: クライアントが同意すれば、通信にデジタル署名を行う - サーバー側 SMB コンポーネントでパケット署名を有効にするかどうかを制御します。
クライアント側とサーバー側の SMB 署名の両方が有効で、クライアントがサーバーへの SMB 1.0 接続を確立している場合、SMB 署名が試行されます。
SMB パケット署名を行うと、言語バージョン、OS バージョン、ファイル サイズ、プロセッサのオフロード機能、およびアプリケーションの IO 動作によって SMB のパフォーマンスが著しく低下する場合があります。この設定は、SMB 1.0 接続に対してのみ適用されます。
詳細については、https://go.microsoft.com/fwlink/?LinkID=787136 を参照してください。

Microsoft network client: Digitally sign communications (if server agrees)

This security setting determines whether the SMB client attempts to negotiate SMB packet signing.

The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent man-in-the-middle attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether the SMB client component attempts to negotiate SMB packet signing when it connects to an SMB server.

If this setting is enabled, the Microsoft network client will ask the server to perform SMB packet signing upon session setup. If packet signing has been enabled on the server, packet signing will be negotiated. If this policy is disabled, the SMB client will never negotiate SMB packet signing.

Default: Enabled.

Notes

All Windows operating systems support both a client-side SMB component and a server-side SMB component. On Windows 2000 and later, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings:
Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing.
Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled.
Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing.
Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled.
If both client-side and server-side SMB signing is enabled and the client establishes an SMB 1.0 connection to the server, SMB signing will be attempted.
SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors. This setting only applies to SMB 1.0 connections.
For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136.

1996Microsoft ネットワーク クライアント: サードパーティ SMB サーバーへの接続に、暗号化されていないパスワードを送信する

このセキュリティ設定を有効にすると、サーバー メッセージ ブロック (SMB) リダイレクターは、認証中のパスワード暗号化をサポートしていない、Microsoft 以外の SMB サーバーにテキスト形式のパスワードを送信することができます。

暗号化されていないパスワードの送信はセキュリティ上の危険があります。

既定値: 無効
Microsoft network client: Send unencrypted password to connect to third-party SMB servers

If this security setting is enabled, the Server Message Block (SMB) redirector is allowed to send plaintext passwords to non-Microsoft SMB servers that do not support password encryption during authentication.

Sending unencrypted passwords is a security risk.

Default: Disabled.
1997Microsoft ネットワーク サーバー: セッションを中断するまでに必要とするアイドル時間

このセキュリティ設定を使用して、サーバー メッセージ ブロック (SMB) セッションがアイドルであることを理由に中断する際に、セッション内で待機する連続アイドル時間を決定します。

管理者はこのポリシーを使用して、コンピューターがアイドルの SMB セッションをいつ中断するかを制御できます。クライアントの動作が再開されると、セッションは自動的に再確立されます。

このポリシー設定の値を 0 にすると、無理のない範囲でできる限り早くアイドル セッションを切断します。最大値は 99999 (208 日間) で、事実上ポリシーの無効化と同じです。

既定値: このポリシーは定義されていないため、システムによりサーバーでは 15 分間、ワークステーションでは未定義として処理されます。

Microsoft network server: Amount of idle time required before suspending a session

This security setting determines the amount of continuous idle time that must pass in a Server Message Block (SMB) session before the session is suspended due to inactivity.

Administrators can use this policy to control when a computer suspends an inactive SMB session. If client activity resumes, the session is automatically reestablished.

For this policy setting, a value of 0 means to disconnect an idle session as quickly as is reasonably possible. The maximum value is 99999, which is 208 days; in effect, this value disables the policy.

Default:This policy is not defined, which means that the system treats it as 15 minutes for servers and undefined for workstations.

1998Microsoft ネットワーク サーバー: 常に通信にデジタル署名を行う

このセキュリティ設定を使用して、SMB サーバー コンポーネントがパケット署名を必要とするかどうかを決定します。

サーバー メッセージ ブロック (SMB) プロトコルは、Microsoft のファイルとプリンターの共有、およびリモート Windows 管理などの多くのネットワーク操作の基盤を提供します。転送中の SMB パケットを改ざんする man-in-the-middle アタックを防止するため、SMB プロトコルは SMB パケットのデジタル署名をサポートしています。このポリシー設定により、SMB クライアントとの以降の通信を許可するために SMB パケット署名をネゴシエートする必要があるかどうかが決定されます。

この設定を有効にすると、Microsoft ネットワーク サーバーは、SMB パケット署名を実行することに同意しない Microsoft ネットワーク クライアントとは通信しません。この設定を無効にすると、クライアントとサーバーとの間で SMB パケット署名がネゴシエートされます。

既定値:

メンバー サーバーでは無効。
ドメイン コントローラーでは有効。

注意

すべての Windows オペレーティング システムは、クライアント側 SMB コンポーネントとサーバー側 SMB コンポーネントの両方をサポートしています。Windows 2000 以降では、クライアント側およびサーバー側の SMB コンポーネントでのパケット署名の有効化または要求は、次の 4 つのポリシー設定によって制御されます。
Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う - クライアント側 SMB コンポーネントがパケット署名を要求するかどうかを制御します。
Microsoft ネットワーク クライアント: サーバーが同意すれば、通信にデジタル署名を行う - クライアント側 SMB コンポーネントでパケット署名を有効にするかどうかを制御します。
Microsoft ネットワーク サーバー: 常に通信にデジタル署名を行う - サーバー側 SMB コンポーネントがパケット署名を要求するかどうかを制御します。
Microsoft ネットワーク サーバー: クライアントが同意すれば、通信にデジタル署名を行う - サーバー側 SMB コンポーネントでパケット署名を有効にするかどうかを制御します。
同様に、クライアント側 SMB 署名が要求される場合、クライアントは、パケット署名が有効にされていないサーバーとはセッションを確立できません。既定では、サーバー側 SMB 署名は、ドメイン コントローラー上でのみ有効にされています。
サーバー側 SMB 署名が有効にされている場合、クライアント側 SMB 署名が有効にされているクライアントとの間で SMB パケット署名がネゴシエートされます。
SMB パケット署名を行うと、言語バージョン、OS バージョン、ファイル サイズ、プロセッサのオフロード機能、およびアプリケーションの IO 動作によって SMB のパフォーマンスが著しく低下する場合があります。

重要

Windows 2000 を実行しているコンピューター上でこのポリシーを有効にするには、サーバー側のパケット署名も有効にされている必要があります。サーバー側 SMB パケット署名を有効にするには、次のポリシーを設定します。
Microsoft ネットワーク サーバー: サーバーが同意すれば、通信にデジタル署名を行う

Windows 2000 サーバーが Windows NT 4.0 クライアントとの間で署名をネゴシエートするには、Windows 2000 サーバーで次のレジストリ値を 1 に設定する必要があります。
HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature
詳細については、https://go.microsoft.com/fwlink/?LinkID=787136 を参照してください。

Microsoft network server: Digitally sign communications (always)

This security setting determines whether packet signing is required by the SMB server component.

The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent "man-in-the-middle" attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether SMB packet signing must be negotiated before further communication with an SMB client is permitted.

If this setting is enabled, the Microsoft network server will not communicate with a Microsoft network client unless that client agrees to perform SMB packet signing. If this setting is disabled, SMB packet signing is negotiated between the client and server.

Default:

Disabled for member servers.
Enabled for domain controllers.

Notes

All Windows operating systems support both a client-side SMB component and a server-side SMB component. On Windows 2000 and later, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings:
Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing.
Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled.
Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing.
Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled.
Similarly, if client-side SMB signing is required, that client will not be able to establish a session with servers that do not have packet signing enabled. By default, server-side SMB signing is enabled only on domain controllers.
If server-side SMB signing is enabled, SMB packet signing will be negotiated with clients that have client-side SMB signing enabled.
SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors.

Important

For this policy to take effect on computers running Windows 2000, server-side packet signing must also be enabled. To enable server-side SMB packet signing, set the following policy:
Microsoft network server: Digitally sign communications (if server agrees)

For Windows 2000 servers to negotiate signing with Windows NT 4.0 clients, the following registry value must be set to 1 on the Windows 2000 server:
HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature
For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136.

1999Microsoft ネットワーク サーバー: クライアントが同意すれば、通信にデジタル署名を行う

このセキュリティ設定では、SMB サーバーが SMB パケット署名を要求するクライアントとの間で、SMB パケット署名のネゴシエートを行うかどうかを指定します。

サーバー メッセージ ブロック (SMB) プロトコルは、Microsoft のファイルとプリンターの共有、およびリモート Windows 管理などの多くのネットワーク操作の基盤を提供します。転送中の SMB パケットを改ざんする man-in-the-middle アタックを防止するため、SMB プロトコルは SMB パケットのデジタル署名をサポートしています。このポリシー設定により、SMB クライアントが SMB パケット署名を要求する場合に、SMB サーバーが SMB パケット署名のネゴシエートを行うかどうかを指定します。

この設定が有効な場合、Microsoft ネットワーク サーバーは、クライアントの要求があった場合に SMB パケット署名のネゴシエートを行います。つまり、クライアント側でパケット署名が有効になっている場合、パケット署名のネゴシエートが行われます。このポリシーが無効な場合、SMB クライアントは SMB パケット署名のネゴシエートを行いません。

既定値: ドメイン コントローラー側のみ有効

重要

Windows 2000 サーバーが Windows NT 4.0 クライアントとの間で署名のネゴシエートを行うには、Windows 2000 を実行するサーバー側で次のレジストリ値を 1 に設定する必要があります。HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature

注意

すべての Windows オペレーティング システムは、クライアント側 SMB コンポーネントとサーバー側 SMB コンポーネントの両方をサポートしています。Windows 2000 以降では、クライアント側およびサーバー側の SMB コンポーネントでのパケット署名の有効化または要求は、次の 4 つのポリシー設定によって制御されます。
Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う - クライアント側 SMB コンポーネントがパケット署名を要求するかどうかを制御します。
Microsoft ネットワーク クライアント: サーバーが同意すれば、通信にデジタル署名を行う - クライアント側 SMB コンポーネントでパケット署名を有効にするかどうかを制御します。
Microsoft ネットワーク サーバー: 常に通信にデジタル署名を行う - サーバー側 SMB コンポーネントがパケット署名を要求するかどうかを制御します。
Microsoft ネットワーク サーバー: クライアントが同意すれば、通信にデジタル署名を行う - サーバー側 SMB コンポーネントでパケット署名を有効にするかどうかを制御します。
クライアント側とサーバー側の SMB 署名の両方が有効で、クライアントがサーバーへの SMB 1.0 接続を確立している場合、SMB 署名が試行されます。
SMB パケット署名を行うと、言語バージョン、OS バージョン、ファイル サイズ、プロセッサのオフロード機能、およびアプリケーションの IO 動作によって SMB のパフォーマンスが著しく低下する場合があります。この設定は、SMB 1.0 接続に対してのみ適用されます。
詳細については、https://go.microsoft.com/fwlink/?LinkID=787136 を参照してください。

Microsoft network server: Digitally sign communications (if client agrees)

This security setting determines whether the SMB server will negotiate SMB packet signing with clients that request it.

The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent man-in-the-middle attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether the SMB server will negotiate SMB packet signing when an SMB client requests it.

If this setting is enabled, the Microsoft network server will negotiate SMB packet signing as requested by the client. That is, if packet signing has been enabled on the client, packet signing will be negotiated. If this policy is disabled, the SMB client will never negotiate SMB packet signing.

Default: Enabled on domain controllers only.

Important

For Windows 2000 servers to negotiate signing with Windows NT 4.0 clients, the following registry value must be set to 1 on the server running Windows 2000: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature

Notes

All Windows operating systems support both a client-side SMB component and a server-side SMB component. For Windows 2000 and above, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings:
Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing.
Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled.
Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing.
Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled.
If both client-side and server-side SMB signing is enabled and the client establishes an SMB 1.0 connection to the server, SMB signing will be attempted.
SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors. This setting only applies to SMB 1.0 connections.
For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136.

2000Microsoft ネットワーク サーバー: ログオン時間を超過するとクライアントを切断する

このセキュリティ設定は、ユーザー アカウントに設定されたログオン時間を超過してローカル コンピューターに接続しているユーザーを切断するかどうかを指定します。この設定は、サーバー メッセージ ブロック (SMB) コンポーネントに影響します。

このポリシーが有効な場合、ログオン時間を過ぎると、SMB サービスとの間のクライアント セッションは強制的に切断されます。

このポリシーが無効な場合、ログオン時間が過ぎた後もクライアント セッションはそのまま維持されます。

Windows Vista 以降の既定値: 有効
Windows XP の既定値: 無効

Microsoft network server: Disconnect clients when logon hours expire

This security setting determines whether to disconnect users who are connected to the local computer outside their user account's valid logon hours. This setting affects the Server Message Block (SMB) component.

When this policy is enabled, it causes client sessions with the SMB Service to be forcibly disconnected when the client's logon hours expire.

If this policy is disabled, an established client session is allowed to be maintained after the client's logon hours have expired.

Default on Windows Vista and above: Enabled.
Default on Windows XP: Disabled

2001ネットワーク アクセス: 匿名の SID と名前の変換を許可する

このポリシー設定は、匿名ユーザーが他のユーザーのセキュリティ識別子 (SID) 属性を要求できるかどうかを指定します。

このポリシーが有効な場合、匿名ユーザーは別のユーザーの SID 属性を要求できます。管理者の SID を知っている匿名ユーザーは、このポリシーが有効になっているコンピューターにアクセスして、管理者の名前を取得することが可能になります。この設定は、SID から名前への変換にも、名前から SID の変換にも影響します。

このポリシー設定が無効な場合、匿名ユーザーは他のユーザーの SID 属性を要求することはできません。

ワークステーションおよびメンバー サーバーの既定値: 無効
Windows Server 2008 またはそれ以降を実行するドメイン コントローラーの既定値: 無効
Windows Server 2003 R2 またはそれ以前を実行するドメイン コントローラーの既定値: 有効
Network access: Allow anonymous SID/name translation

This policy setting determines whether an anonymous user can request security identifier (SID) attributes for another user.

If this policy is enabled, an anonymous user can request the SID attribute for another user. An anonymous user with knowledge of an administrator's SID could contact a computer that has this policy enabled and use the SID to get the administrator's name. This setting affects both the SID-to-name translation as well as the name-to-SID translation.

If this policy setting is disabled, an anonymous user cannot request the SID attribute for another user.

Default on workstations and member servers: Disabled.
Default on domain controllers running Windows Server 2008 or later: Disabled.
Default on domain controllers running Windows Server 2003 R2 or earlier: Enabled.
2002ネットワーク アクセス: SAM アカウントの匿名の列挙を許可しない

このセキュリティ設定は、このコンピューターへの匿名接続に対して与える、追加のアクセス許可の内容を指定します。

Windows では、ドメイン アカウントやネットワーク共有の名前の列挙など、一定の操作が匿名ユーザーに許可されます。これは、たとえば、相互の信頼が維持されていない、信頼されるドメインのユーザーに対して管理者がアクセスを許可したい場合に便利です。

このセキュリティ オプションでは、匿名の接続に対して、次に示す制限を追加できます。

有効: SAM アカウントの列挙を許可しない。このオプションでは、リソースに関するセキュリティのアクセス許可について、Everyone ではなく Authenticated Users の設定が使用されます。
無効: 制限を追加しません。既定のアクセス許可に依存します。

ワークステーション側の既定値: 有効
サーバー側の既定値: 無効

重要

このポリシーは、ドメイン コントローラーには影響を与えません。

Network access: Do not allow anonymous enumeration of SAM accounts

This security setting determines what additional permissions will be granted for anonymous connections to the computer.

Windows allows anonymous users to perform certain activities, such as enumerating the names of domain accounts and network shares. This is convenient, for example, when an administrator wants to grant access to users in a trusted domain that does not maintain a reciprocal trust.

This security option allows additional restrictions to be placed on anonymous connections as follows:

Enabled: Do not allow enumeration of SAM accounts. This option replaces Everyone with Authenticated Users in the security permissions for resources.
Disabled: No additional restrictions. Rely on default permissions.

Default on workstations: Enabled.
Default on server:Enabled.

Important

This policy has no impact on domain controllers.

2003ネットワーク アクセス: SAM アカウントおよび共有の匿名の列挙を許可しない

このセキュリティ設定は、SAM アカウントおよび共有の、匿名による列挙を許可するかどうかを指定します。

Windows では、ドメイン アカウントやネットワーク共有の名前の列挙など、一定の操作が匿名ユーザーに許可されます。これは、たとえば、相互の信頼が維持されていない、信頼されるドメインのユーザーに対して管理者がアクセスを許可したい場合に便利です。SAM アカウントおよび共有の匿名による列挙を許可したくない場合は、このポリシーを有効にしてください。

既定値: 無効。

Network access: Do not allow anonymous enumeration of SAM accounts and shares

This security setting determines whether anonymous enumeration of SAM accounts and shares is allowed.

Windows allows anonymous users to perform certain activities, such as enumerating the names of domain accounts and network shares. This is convenient, for example, when an administrator wants to grant access to users in a trusted domain that does not maintain a reciprocal trust. If you do not want to allow anonymous enumeration of SAM accounts and shares, then enable this policy.

Default: Disabled.

2004ネットワーク アクセス: ネットワーク認証のためにパスワードおよび資格情報を保存することを許可しない

このセキュリティ設定は、ドメイン認証を取得したときに、後で使用するために資格情報マネージャーがパスワードおよび資格情報を保存するかどうかを指定します。

この設定を有効にした場合、資格情報マネージャーによってパスワードおよび資格情報はコンピューターに保存されません。
このポリシー設定を無効にするか構成しない場合、ドメイン認証で後で使用するために、資格情報マネージャーによってパスワードおよび資格情報が保存されます。

注意: このセキュリティ設定を変更した場合、設定の変更は Windows を再起動しなければ反映されません。

既定値: 無効。

Network access: Do not allow storage of passwords and credentials for network authentication

This security setting determines whether Credential Manager saves passwords and credentials for later use when it gains domain authentication.

If you enable this setting, Credential Manager does not store passwords and credentials on the computer.
If you disable or do not configure this policy setting, Credential Manager will store passwords and credentials on this computer for later use for domain authentication.

Note: When configuring this security setting, changes will not take effect until you restart Windows.

Default: Disabled.

2005ネットワーク アクセス: Everyone のアクセス許可を匿名ユーザーに適用する

このセキュリティ設定は、このコンピューターへの匿名接続に対して与える、追加のアクセス許可の内容を指定します。

Windows では、ドメイン アカウントやネットワーク共有の名前の列挙など、一定の操作が匿名ユーザーに許可されます。これは、たとえば、相互の信頼が維持されていない、信頼されるドメインのユーザーに対して管理者がアクセスを許可したい場合に便利です。既定では、匿名接続に対して作成されたトークンから、Everyone セキュリティ識別子 (SID) が削除されます。そのため、Everyone グループに与えられたアクセス許可は、匿名ユーザーには適用されません。このオプションが設定されている場合、匿名ユーザーは、明示的にアクセス許可が与えられているリソースのみアクセスできます。

このポリシーを有効にすると、匿名接続に対して作成されたトークンに Everyone の SID が追加されます。この場合、Everyone グループにアクセス許可が与えられているリソースであれば、匿名ユーザーはアクセスできます。

既定値: 無効。

Network access: Let Everyone permissions apply to anonymous users

This security setting determines what additional permissions are granted for anonymous connections to the computer.

Windows allows anonymous users to perform certain activities, such as enumerating the names of domain accounts and network shares. This is convenient, for example, when an administrator wants to grant access to users in a trusted domain that does not maintain a reciprocal trust. By Default, the Everyone security identifier (SID) is removed from the token created for anonymous connections. Therefore, permissions granted to the Everyone group do not apply to anonymous users. If this option is set, anonymous users can only access those resources for which the anonymous user has been explicitly given permission.

If this policy is enabled, the Everyone SID is added to the token that is created for anonymous connections. In this case, anonymous users are able to access any resource for which the Everyone group has been given permissions.

Default: Disabled.

2006ネットワーク アクセス: リモートからアクセスできる名前付きパイプ

このセキュリティ設定は、通信セッション (パイプ) に対し、匿名アクセスを許可する属性とアクセス許可を付与するかどうかを指定します。

既定値: なし。

Network access: Named pipes that can be accessed anonymously

This security setting determines which communication sessions (pipes) will have attributes and permissions that allow anonymous access.

Default: None.

2007ネットワーク アクセス: リモートからアクセス可能なレジストリ パス

このセキュリティ設定は、winreg レジストリ キーのアクセス制御リスト (ACL) にユーザーまたはグループが含まれているかどうかに関係なく、ネットワーク経由でアクセス可能なレジストリ キーを指定します。

既定値:

System\CurrentControlSet\Control\ProductOptions
System\CurrentControlSet\Control\Server Applications
Software\Microsoft\Windows NT\CurrentVersion

警告

レジストリに誤った変更を加えると、システムに重大な悪影響を及ぼす可能性があります。レジストリに変更を加える前に、コンピューター上に保存されている重要なデータのバックアップを必ず作成してください。
注意: このセキュリティ設定は、旧バージョンの Windows にはありません。Windows XP のセキュリティ設定にある [ネットワーク アクセス: リモートからアクセス可能なレジストリ パス] は、Windows Server 2003 ファミリの [ネットワーク アクセス: リモートからアクセス可能なレジストリ パスおよびサブパス] に相当します。詳細については、「ネットワーク アクセス: リモートからアクセス可能なレジストリ パスおよびサブパス」を参照してください。
既定値:

System\CurrentControlSet\Control\ProductOptions
System\CurrentControlSet\Control\Server Applications
Software\Microsoft\Windows NT\CurrentVersion
Network access: Remotely accessible registry paths

This security setting determines which registry keys can be accessed over the network, regardless of the users or groups listed in the access control list (ACL) of the winreg registry key.

Default:

System\CurrentControlSet\Control\ProductOptions
System\CurrentControlSet\Control\Server Applications
Software\Microsoft\Windows NT\CurrentVersion

Caution

Incorrectly editing the registry may severely damage your system. Before making changes to the registry, you should back up any valued data on the computer.
Note: This security setting is not available on earlier versions of Windows. The security setting that appears on computers running Windows XP, "Network access: Remotely accessible registry paths" corresponds to the "Network access: Remotely accessible registry paths and subpaths" security option on members of the Windows Server 2003 family. For more information, see Network access: Remotely accessible registry paths and subpaths.
Default:

System\CurrentControlSet\Control\ProductOptions
System\CurrentControlSet\Control\Server Applications
Software\Microsoft\Windows NT\CurrentVersion
2008ネットワーク アクセス: リモートからアクセス可能なレジストリ パスおよびサブパス

このセキュリティ設定は、winreg レジストリ キーのアクセス制御リスト (ACL) にユーザーまたはグループが含まれているかどうかに関係なく、ネットワーク経由でアクセス可能なレジストリ パスおよびサブパスを指定します。

既定値:

System\CurrentControlSet\Control\Print\Printers
System\CurrentControlSet\Services\Eventlog
Software\Microsoft\OLAP Server
Software\Microsoft\Windows NT\CurrentVersion\Print
Software\Microsoft\Windows NT\CurrentVersion\Windows
System\CurrentControlSet\Control\ContentIndex
System\CurrentControlSet\Control\Terminal Server
System\CurrentControlSet\Control\Terminal Server\UserConfig
System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration
Software\Microsoft\Windows NT\CurrentVersion\Perflib
System\CurrentControlSet\Services\SysmonLog
System\CurrentControlSet\Services\CertSvc
System\CurrentControlSet\Services\Wins

警告

レジストリに誤った変更を加えると、システムに重大な悪影響を及ぼす可能性があります。レジストリに変更を加える前に、コンピューター上に保存されている重要なデータのバックアップを必ず作成してください。

注意: Windows XP では、このセキュリティ設定は [ネットワーク アクセス: リモートからアクセス可能なレジストリ パス] と呼ばれています。Windows Server 2003 ファミリのメンバー上でこの設定を使用する場合、設定内容は Windows XP を実行するコンピューターに継承されますが、[ネットワーク アクセス: リモートからアクセス可能なレジストリ パス] というセキュリティ オプションとして表示されます。詳細については、「リモートからアクセス可能なレジストリ パスとサブパス」を参照してください。
Network access: Remotely accessible registry paths and subpaths

This security setting determines which registry paths and subpaths can be accessed over the network, regardless of the users or groups listed in the access control list (ACL) of the winreg registry key.

Default:

System\CurrentControlSet\Control\Print\Printers
System\CurrentControlSet\Services\Eventlog
Software\Microsoft\OLAP Server
Software\Microsoft\Windows NT\CurrentVersion\Print
Software\Microsoft\Windows NT\CurrentVersion\Windows
System\CurrentControlSet\Control\ContentIndex
System\CurrentControlSet\Control\Terminal Server
System\CurrentControlSet\Control\Terminal Server\UserConfig
System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration
Software\Microsoft\Windows NT\CurrentVersion\Perflib
System\CurrentControlSet\Services\SysmonLog
System\CurrentControlSet\Services\CertSvc
System\CurrentControlSet\Services\Wins

Caution

Incorrectly editing the registry may severely damage your system. Before making changes to the registry, you should back up any valued data on the computer.

Note: On Windows XP, this security setting was called "Network access: Remotely accessible registry paths." If you configure this setting on a member of the Windows Server 2003 family that is joined to a domain, this setting is inherited by computers running Windows XP, but will appear as the "Network access: Remotely accessible registry paths" security option. For more information, see Network access: Remotely accessible registry paths and subpaths.
2009ネットワーク アクセス: 名前付きパイプと共有への匿名のアクセスを制限する

このセキュリティ設定を有効にすると、次に示す設定に関して、共有およびパイプに対する匿名アクセスを制限します。

ネットワーク アクセス: 匿名でアクセス可能な名前付きパイプ
ネットワーク アクセス: 匿名でアクセス可能な共有
既定値: 有効。

Network access: Restrict anonymous access to Named Pipes and Shares

When enabled, this security setting restricts anonymous access to shares and pipes to the settings for:

Network access: Named pipes that can be accessed anonymously
Network access: Shares that can be accessed anonymously
Default: Enabled.

2010ネットワーク アクセス: 匿名でアクセスできる共有

このセキュリティ設定は、匿名ユーザーがアクセス可能なネットワーク共有を指定します。

既定値: 指定なし。

Network access: Shares that can be accessed anonymously

This security setting determines which network shares can accessed by anonymous users.

Default: None specified.

2011ネットワーク アクセス: ローカル アカウントの共有とセキュリティ モデル

このセキュリティ設定は、ローカル アカウントを使用したネットワーク ログオンの認証方法を指定します。この設定が [クラシック] の場合、ローカル アカウントの資格情報を使用するネットワーク ログオンは、この資格情報を使用して認証されます。クラシック モデルでは、リソースに対するアクセスを詳細に設定できます。クラシック モデルを使用することにより、同じリソースに対してもユーザー単位でさまざまなアクセス許可を付与できます。
この設定が [ゲストのみ] の場合、ローカル アカウントを使用するネットワーク ログオンは、Guest アカウントに自動的にマップされます。ゲスト モデルを使用すると、すべてのユーザーを同等に扱うことができます。すべてのユーザーが Guest として認証され、一定のリソース ([読み取り専用] または [変更]) に対して同レベルのアクセスが許可されます。

ドメイン コンピューターの既定値: クラシック
スタンドアロン コンピューターの既定値: ゲストのみ

重要

ゲストのみモデルの場合、ネットワーク経由でコンピューターにアクセス可能なユーザー (匿名インターネット ユーザーを含む) であれば、共有リソースにアクセス可能です。承認されていないアクセスからコンピューターを保護するには、Windows ファイアウォールまたは他の同様のデバイスを使用する必要があります。同様に、クラシック モデルの場合は、ローカル アカウントのパスワードを保護する必要があります。保護されていない場合、共有システム リソースにアクセスするユーザーがローカル ユーザー アカウントを使用できてしまいます。

注意

この設定は、Telnet やリモート デスクトップ サービスなどのサービスを使用してリモートで実行される対話型ログオンには影響ありません。

リモート デスクトップ サービスは、以前のバージョンの Windows Server でターミナル サービスと呼ばれていました。

このポリシーは、Windows 2000 を実行しているコンピューターには影響しません。
ドメインに参加していないコンピューターの場合、この設定は、使用している共有およびセキュリティ モデルに対応するよう、エクスプローラーの [共有とセキュリティ] タブの設定も変更します。

Network access: Sharing and security model for local accounts

This security setting determines how network logons that use local accounts are authenticated. If this setting is set to Classic, network logons that use local account credentials authenticate by using those credentials. The Classic model allows fine control over access to resources. By using the Classic model, you can grant different types of access to different users for the same resource.
If this setting is set to Guest only, network logons that use local accounts are automatically mapped to the Guest account. By using the Guest model, you can have all users treated equally. All users authenticate as Guest, and they all receive the same level of access to a given resource, which can be either Read-only or Modify.

Default on domain computers: Classic.
Default on stand-alone computers: Guest only

Important

With the Guest only model, any user who can access your computer over the network (including anonymous Internet users) can access your shared resources. You must use the Windows Firewall or another similar device to protect your computer from unauthorized access. Similarly, with the Classic model, local accounts must be password protected; otherwise, those user accounts can be used by anyone to access shared system resources.

Note:

This setting does not affect interactive logons that are performed remotely by using such services as Telnet or Remote Desktop Services

Remote Desktop Services was called Terminal Services in previous versions of Windows Server.

This policy will have no impact on computers running Windows 2000.
When the computer is not joined to a domain, this setting also modifies the Sharing and Security tabs in File Explorer to correspond to the sharing and security model that is being used.

2012ネットワーク セキュリティ: 次回のパスワード変更時に LAN Manager のハッシュ値を保存しない

このセキュリティ設定は、次回パスワードを変更するときに、変更後のパスワードに対する LAN Manager (LM) のハッシュ値を保存するかどうかを指定します。LM ハッシュは、暗号化の面でより強力な Windows NT のハッシュと比較すると、ぜい弱で攻撃に弱いという性質があります。LM ハッシュはローカル コンピューターのセキュリティ データベースに保存されるため、セキュリティ データベースが攻撃されると、パスワードが漏えいするおそれがあります。


Windows Vista 以降の既定値: 有効
Windows XP の既定値: 無効

重要

Windows 2000 Service Pack 2 (SP2) 以降では、認証方法について、Microsoft Windows NT 4.0 など、旧バージョンの Windows との互換性が確保されています。
この設定は、Windows 95 または Windows 98 を実行するコンピューターと通信する場合、Windows 2000 Server、Windows 2000 Professional、Windows XP、および Windows Server 2003 ファミリを実行するコンピューターの性能に悪影響を及ぼす場合があります。

Network security: Do not store LAN Manager hash value on next password change

This security setting determines if, at the next password change, the LAN Manager (LM) hash value for the new password is stored. The LM hash is relatively weak and prone to attack, as compared with the cryptographically stronger Windows NT hash. Since the LM hash is stored on the local computer in the security database the passwords can be compromised if the security database is attacked.


Default on Windows Vista and above: Enabled
Default on Windows XP: Disabled.

Important

Windows 2000 Service Pack 2 (SP2) and above offer compatibility with authentication to previous versions of Windows, such as Microsoft Windows NT 4.0.
This setting can affect the ability of computers running Windows 2000 Server, Windows 2000 Professional, Windows XP, and the Windows Server 2003 family to communicate with computers running Windows 95 and Windows 98.

2013ネットワーク セキュリティ: ログオン時間を経過した場合はユーザーを強制的にログオフさせる

このセキュリティ設定は、ユーザー アカウントに設定されたログオン時間を超過してローカル コンピューターに接続しているユーザーを切断するかどうかを決定します。この設定は、サーバー メッセージ ブロック (SMB) コンポーネントに影響します。

このポリシーが有効な場合、ログオン時間を過ぎると、SMB サーバーとの間のクライアント セッションは強制的に切断されます。

このポリシーが無効な場合、ログオン時間が過ぎた後もクライアント セッションはそのまま維持されます。

既定値: 有効。

注意: このセキュリティ設定はアカウント ポリシーとして機能します。ドメイン アカウントの場合、アカウント ポリシーは 1 つだけ使用できます。ドメイン アカウントのアカウント ポリシーは、[既定のドメイン ポリシー] で定義する必要があり、ドメインを構成するドメイン コントローラーによって適用されます。ドメイン コントローラーは常に、[既定のドメイン ポリシー] グループ ポリシー オブジェクト (GPO) からアカウント ポリシーを取得します。これは、ドメイン コントローラーが含まれる組織単位に、異なるアカウント ポリシーが既に適用されている場合も同様です。既定では、ドメインに参加しているワークステーションおよびサーバー (たとえば、メンバー コンピューター) も、それぞれのローカル アカウント用に同一のアカウント ポリシーを受け取ります。ただし、メンバー コンピューター用のローカル アカウント ポリシーは、メンバー コンピューターの含まれる組織単位用のアカウント ポリシーを定義することによって、ドメイン アカウント ポリシーとは異なるものにすることが可能です。Kerberos の設定は、メンバー コンピューターには適用されません。

Network security: Force logoff when logon hours expire

This security setting determines whether to disconnect users who are connected to the local computer outside their user account's valid logon hours. This setting affects the Server Message Block (SMB) component.

When this policy is enabled, it causes client sessions with the SMB server to be forcibly disconnected when the client's logon hours expire.

If this policy is disabled, an established client session is allowed to be maintained after the client's logon hours have expired.

Default: Enabled.

Note: This security setting behaves as an account policy. For domain accounts, there can be only one account policy. The account policy must be defined in the Default Domain Policy, and it is enforced by the domain controllers that make up the domain. A domain controller always pulls the account policy from the Default Domain Policy Group Policy object (GPO), even if there is a different account policy applied to the organizational unit that contains the domain controller. By default, workstations and servers that are joined to a domain (for example, member computers) also receive the same account policy for their local accounts. However, local account policies for member computers can be different from the domain account policy by defining an account policy for the organizational unit that contains the member computers. Kerberos settings are not applied to member computers.

2014ネットワーク セキュリティ: LAN Manager 認証レベル

このセキュリティ設定は、ネットワーク ログオンに使用するチャレンジ/レスポンス認証プロトコルを指定します。この設定の選択肢は、クライアントが使用する認証プロトコルのレベル、ネゴシエーションが行われるセッション セキュリティのレベル、およびサーバーが受け付ける認証のレベルに影響します。選択肢は次のとおりです。

LM と NTLM 応答を送信する: クライアントは LM 認証および NTLM 認証を使用し、NTLMv2 セッション セキュリティは使用しません。ドメイン コントローラーは、LM 認証、NTLM 認証、および NTLMv2 認証を受け付けます。

LM と NTLM を送信する - ネゴシエーションの場合、NTLMv2 セッション セキュリティを使う: クライアントは LM 認証と NTLM 認証を使用し、サーバーでサポートされている場合は NTLMv2 セッション セキュリティを使用します。ドメイン コントローラーは、LM 認証、NTLM 認証、および NTLMv2 認証を受け付けます。

NTLM 応答のみ送信する: クライアントは NTLM 認証のみを使用し、サーバーでサポートされている場合は NTLMv2 セッション セキュリティを使用します。ドメイン コントローラーは、LM 認証、NTLM 認証、および NTLMv2 認証を受け付けます。

NTLMv2 応答のみ送信する: クライアントは NTLMv2 認証のみを使用し、サーバーでサポートされている場合は NTLMv2 セッション セキュリティを使用します。ドメイン コントローラーは、LM 認証、NTLM 認証、および NTLMv2 認証を受け付けます。

NTLMv2 応答のみ送信\ (LM を拒否する): クライアントは NTLMv2 認証のみを使用し、サーバーでサポートされている場合は NTLMv2 セッション セキュリティを使用します。ドメイン コントローラーは、LM を拒否し、NTLM 認証と NTLMv2 認証のみを受け付けます。

NTLMv2 応答のみ送信 (LM と NTLM を拒否する): クライアントは NTLMv2 認証のみを使用し、サーバーでサポートされている場合は NTLMv2 セッション セキュリティを使用します。ドメイン コントローラーは、LM と NTLM を拒否し、NTLMv2 認証のみを受け付けます。

重要

この設定は、ネットワークを経由して Windows NT 4.0 またはそれ以前を実行するコンピューターとネットワークを経由して通信する場合に、Windows 2000 Server、Windows 2000 Professional、Windows XP Professional、および Windows Server 2003 ファミリを実行するコンピューターの性能に悪影響を及ぼす場合があります。たとえば、現時点では Windows NT 4.0 SP4 またはそれ以前を実行するコンピューターは NTLMv2 をサポートしていません。Windows 95 または Windows 98 を実行するコンピューターは NTLM をサポートしていません。

既定値:

Windows 2000 および Windows XP: LM と NTLM 応答を送信する

Windows Server 2003: NTLM 応答のみ送信する

Windows Vista、Windows Server 2008、Windows 7 および Windows Server 2008 R2: NTLMv2 応答のみ送信する

Network security: LAN Manager authentication level

This security setting determines which challenge/response authentication protocol is used for network logons. This choice affects the level of authentication protocol used by clients, the level of session security negotiated, and the level of authentication accepted by servers as follows:

Send LM & NTLM responses: Clients use LM and NTLM authentication and never use NTLMv2 session security; domain controllers accept LM, NTLM, and NTLMv2 authentication.

Send LM & NTLM - use NTLMv2 session security if negotiated: Clients use LM and NTLM authentication and use NTLMv2 session security if the server supports it; domain controllers accept LM, NTLM, and NTLMv2 authentication.

Send NTLM response only: Clients use NTLM authentication only and use NTLMv2 session security if the server supports it; domain controllers accept LM, NTLM, and NTLMv2 authentication.

Send NTLMv2 response only: Clients use NTLMv2 authentication only and use NTLMv2 session security if the server supports it; domain controllers accept LM, NTLM, and NTLMv2 authentication.

Send NTLMv2 response only\refuse LM: Clients use NTLMv2 authentication only and use NTLMv2 session security if the server supports it; domain controllers refuse LM (accept only NTLM and NTLMv2 authentication).

Send NTLMv2 response only\refuse LM & NTLM: Clients use NTLMv2 authentication only and use NTLMv2 session security if the server supports it; domain controllers refuse LM and NTLM (accept only NTLMv2 authentication).

Important

This setting can affect the ability of computers running Windows 2000 Server, Windows 2000 Professional, Windows XP Professional, and the Windows Server 2003 family to communicate with computers running Windows NT 4.0 and earlier over the network. For example, at the time of this writing, computers running Windows NT 4.0 SP4 and earlier did not support NTLMv2. Computers running Windows 95 and Windows 98 did not support NTLM.

Default:

Windows 2000 and windows XP: send LM & NTLM responses

Windows Server 2003: Send NTLM response only

Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2: Send NTLMv2 response only

2015ネットワーク セキュリティ: 必須の署名をしている LDAP クライアント

このセキュリティ設定は、LDAP BIND 要求を発行するクライアントの代わりに要求されているデータ署名のレベルを指定します。設定できるレベルは次のとおりです。

なし: LDAP BIND 要求は、呼び出し側が指定したオプションで発行されます。
ネゴシエーション署名: Transport Layer Security/Secure Sockets Layer (TLS\SSL) が開始されていない場合、LDAP BIND 要求は、呼び出し側が指定したオプションに加え、LDAP データ署名オプション セットを指定して開始されます。TLS\SSL が既に開始されている場合、LDAP BIND 要求は、呼び出し側が指定したオプションで開始されます。
署名属性の要求: [ネゴシエーション署名] と同じですが、LDAP トラフィック署名が必要であることを LDAP サーバーの中間 saslBindInProgress 応答が示していない場合、呼び出し側には LDAP BIND コマンド要求が失敗したことが通知されます。

警告

サーバーに [署名属性の要求] を設定した場合は、クライアントの設定も必要です。クライアントを設定しないと、サーバーとの接続が失われます。

注意: この設定は、ldap_simple_bind および ldap_simple_bind_s には影響ありません。Windows XP Professional に含まれている Microsoft LDAP クライアントは、ドメイン コントローラーとの通信には、ldap_simple_bind および ldap_simple_bind_s を使用しません。

既定値: ネゴシエーション署名。

Network security: LDAP client signing requirements

This security setting determines the level of data signing that is requested on behalf of clients issuing LDAP BIND requests, as follows:

None: The LDAP BIND request is issued with the options that are specified by the caller.
Negotiate signing: If Transport Layer Security/Secure Sockets Layer (TLS\SSL) has not been started, the LDAP BIND request is initiated with the LDAP data signing option set in addition to the options specified by the caller. If TLS\SSL has been started, the LDAP BIND request is initiated with the options that are specified by the caller.
Require signature: This is the same as Negotiate signing. However, if the LDAP server's intermediate saslBindInProgress response does not indicate that LDAP traffic signing is required, the caller is told that the LDAP BIND command request failed.

Caution

If you set the server to Require signature, you must also set the client. Not setting the client results in a loss of connection with the server.

Note: This setting does not have any impact on ldap_simple_bind or ldap_simple_bind_s. No Microsoft LDAP clients that are shipped with Windows XP Professional use ldap_simple_bind or ldap_simple_bind_s to talk to a domain controller.

Default: Negotiate signing.

2016ネットワーク セキュリティ: NTLM SSP ベース (セキュア RPC を含む) のクライアント向け最小セッション セキュリティ

このセキュリティ設定では、128 ビット暗号化と NTLMv2 セッション セキュリティのどちらかまたはその両方のネゴシエーションを、クライアントが要求することができます。必要なネゴシエーションは、LAN Manager 認証レベルのセキュリティ設定値によって決まります。次のオプションがあります:

NTLMv2 セッション セキュリティが必要: NTLMv2 プロトコルでネゴシエーションが行われなければ、接続が失敗します。
128 ビット暗号化が必要: 強力な暗号化 (128 ビット) によるネゴシエーションが行われない場合は、接続が失敗します。

既定値:

Windows XP、Windows Vista、Windows 2000 Server、Windows Server 2003、および Windows Server 2008: 必要なし

Windows 7 および Windows Server 2008 R2: 128 ビット暗号化が必要

Network security: Minimum session security for NTLM SSP based (including secure RPC) clients

This security setting allows a client to require the negotiation of 128-bit encryption and/or NTLMv2 session security. These values are dependent on the LAN Manager Authentication Level security setting value. The options are:

Require NTLMv2 session security: The connection will fail if NTLMv2 protocol is not negotiated.
Require 128-bit encryption: The connection will fail if strong encryption (128-bit) is not negotiated.

Default:

Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003, and Windows Server 2008: No requirements.

Windows 7 and Windows Server 2008 R2: Require 128-bit encryption

2017ネットワーク セキュリティ: NTLM SSP ベース (セキュア RPC を含む) のサーバー向け最小セッション セキュリティ

このセキュリティ設定では、128 ビット暗号化と NTLMv2 セッション セキュリティのどちらかまたはその両方のネゴシエーションを、クライアントが要求することができます。必要なネゴシエーションは、LAN Manager 認証レベルのセキュリティ設定値によって決まります。次のオプションがあります:

NTLMv2 セッション セキュリティが必要: メッセージの整合性でネゴシエーションが行われない場合は、接続が失敗します。
128 ビット暗号化が必要: 強力な暗号化 (128 ビット) によるネゴシエーションが行われない場合は、接続が失敗します。

既定値:

Windows XP、Windows Vista、Windows 2000 Server、Windows Server 2003、および Windows Server 2008: 必要なし

Windows 7 および Windows Server 2008 R2: 128 ビット暗号化が必要

Network security: Minimum session security for NTLM SSP based (including secure RPC) servers

This security setting allows a server to require the negotiation of 128-bit encryption and/or NTLMv2 session security. These values are dependent on the LAN Manager Authentication Level security setting value. The options are:

Require NTLMv2 session security: The connection will fail if message integrity is not negotiated.
Require 128-bit encryption. The connection will fail if strong encryption (128-bit) is not negotiated.

Default:

Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003, and Windows Server 2008: No requirements.

Windows 7 and Windows Server 2008 R2: Require 128-bit encryption

2018回復コンソール: 自動管理ログオンを許可する

このセキュリティ設定は、システムへのアクセスが許可される前に、Administrator アカウントのパスワードを入力するかどうかを指定します。このオプションが有効な場合、回復コンソールではパスワードの入力が要求されず、システムに自動的にログオンします。

既定値: このポリシーは定義されていません。自動管理ログオンは許可されません。

Recovery console: Allow automatic administrative logon

This security setting determines if the password for the Administrator account must be given before access to the system is granted. If this option is enabled, the Recovery Console does not require you to provide a password, and it automatically logs on to the system.

Default: This policy is not defined and automatic administrative logon is not allowed.

2019回復コンソール: すべてのドライブとフォルダーに、フロッピーのコピーとアクセスを許可する

このセキュリティ オプションを有効にすると、回復コンソール SET コマンドが使用できるようになります。このコマンドを使用すると、次に示す回復コンソールの環境変数を設定できます。

AllowWildCards: 一部のコマンド (例 : DEL コマンド) でワイルドカードのサポートを有効にします。
AllowAllPaths: コンピューター上のすべてのファイルとフォルダーへのアクセスを許可します。
AllowRemovableMedia: フロッピー ディスクなどのリムーバブル メディアへの、ファイルのコピーを許可します。
NoCopyPrompt: 既存のファイルへの上書き時にプロンプトを表示しません。

既定値: このポリシーは定義されていません。回復コンソール SET コマンドは利用できません。

Recovery console: Allow floppy copy and access to all drives and all folders

Enabling this security option makes the Recovery Console SET command available, which allows you to set the following Recovery Console environment variables:

AllowWildCards: Enable wildcard support for some commands (such as the DEL command).
AllowAllPaths: Allow access to all files and folders on the computer.
AllowRemovableMedia: Allow files to be copied to removable media, such as a floppy disk.
NoCopyPrompt: Do not prompt when overwriting an existing file.

Default: This policy is not defined and the recover console SET command is not available.

2020シャットダウン: システムのシャットダウンにログオンを必要としない

このセキュリティ設定は、Windows にログオンしなくてもコンピューターをシャットダウンできるようにするかどうかを指定します。

このポリシーが有効な場合、Windows ログオン画面に [シャットダウン] コマンドが表示されます。

このポリシーが無効な場合、コンピューターをシャットダウンするオプションは Windows ログオン画面には表示されません。この場合、システムをシャットダウンするには、ユーザーはコンピューターを正常にログオンすることができ、システムをシャットダウンする権利を持っていなければなりません。

ワークステーションの既定値: 有効
サーバーの既定値: 無効

Shutdown: Allow system to be shut down without having to log on

This security setting determines whether a computer can be shut down without having to log on to Windows.

When this policy is enabled, the Shut Down command is available on the Windows logon screen.

When this policy is disabled, the option to shut down the computer does not appear on the Windows logon screen. In this case, users must be able to log on to the computer successfully and have the Shut down the system user right before they can perform a system shutdown.

Default on workstations: Enabled.
Default on servers: Disabled.

2021シャットダウン: 仮想メモリのページ ファイルをクリアする

このセキュリティ設定は、システムのシャットダウン時に仮想メモリのページ ファイルをクリアするかどうかを指定します。

仮想メモリ機能では、システム ページ ファイルを使用して、メモリのページが使用されていないときにそのページをディスクに書き出します。実行中のシステムでは、オペレーティング システムがこのページ ファイルを排他的に開いており、ページファイルは適切に保護されています。ただし、他のオペレーティング システムを起動できるよう構成されているシステムでは、システムのシャットダウン時にページ ファイルを確実にクリアする必要のある場合があります。ページ ファイルをクリアすることにより、プロセス メモリからページ ファイルに移動する可能性のある重要な情報を、ページ ファイルに直接アクセスしようとする承認されていないユーザーに利用されないようにします。

このポリシーが有効な場合、シャットダウン時にシステム ページ ファイルがクリアされます。このセキュリティ オプションを有効にしている場合、休止状態を無効にすると、休止状態ファイル (hiberfil.sys) も削除されます。

既定値: 無効

Shutdown: Clear virtual memory pagefile

This security setting determines whether the virtual memory pagefile is cleared when the system is shut down.

Virtual memory support uses a system pagefile to swap pages of memory to disk when they are not used. On a running system, this pagefile is opened exclusively by the operating system, and it is well protected. However, systems that are configured to allow booting to other operating systems might have to make sure that the system pagefile is wiped clean when this system shuts down. This ensures that sensitive information from process memory that might go into the pagefile is not available to an unauthorized user who manages to directly access the pagefile.

When this policy is enabled, it causes the system pagefile to be cleared upon clean shutdown. If you enable this security option, the hibernation file (hiberfil.sys) is also zeroed out when hibernation is disabled.

Default: Disabled.

2022システム暗号化: コンピューターに保存されているユーザー キーに強力なキー保護を強制する

このセキュリティ設定は、ユーザーの秘密キーでパスワードを使用するかどうかを指定します。

設定可能なオプションは次のとおりです。

新しいキーが保存されて使用されるときには、ユーザー入力は必要ありません
最初にキーが使用されるときには、ユーザーに要求する
ユーザーがキーを使うときにはパスワードの入力が必要
詳細については、「公開キー基盤」を参照してください。

既定値: このポリシーは定義されていません。

System Cryptography: Force strong key protection for user keys stored on the computer

This security setting determines if users' private keys require a password to be used.

The options are:

User input is not required when new keys are stored and used
User is prompted when the key is first used
User must enter a password each time they use a key
For more information, see Public key infrastructure.

Default: This policy is not defined.

2023システム暗号化: 暗号化、ハッシュ、署名のための FIPS 140 準拠暗号化アルゴリズムを使う

Schannel Security Service Provider (SSP) の場合、このセキュリティ設定は、強度の低い Secure Sockets Layer (SSL) 系プロトコルを無効化し、Transport Layer Security (TLS) 系プロトコルのみをクライアントおよびサーバー (該当する場合) として使用します。この設定が有効な場合、Transport Layer Security/Secure Sockets Layer (TLS/SSL) Security Provider では FIPS 140 の承認を得た暗号化アルゴリズムのみ使用します。つまり、暗号化には 3DES および AES を、TLS キー交換と認証には RSA または ECC 公開キー暗号化を、TLS ハッシュ要件に対しては Secure Hashing Algorithm (SHA1、SHA256、SHA384、SHA512) のみを使用します。

Encrypting File System Service (EFS) の場合、NTFS ファイル システムがサポートするファイル データの暗号化については、Triple Data Encryption Standard (DES) および Advanced Encryption Standard (AES) 暗号化アルゴリズムがサポートされます。既定では、EFS は、Windows Server 2003 および Windows Vista ファミリでは Advanced Encryption Standard (AES) アルゴリズムと 256 ビットのキーを、Windows XP では DESX アルゴリズムを使用してファイル データを暗号化します。EFS の詳細については、「暗号化ファイル システム」を参照してください。

リモート デスクトップ サービスの場合、リモート デスクトップ サービスのネットワーク通信の暗号化については Triple DES 暗号化アルゴリズムのみをサポートします。

注意: リモート デスクトップ サービスは、以前のバージョンの Windows Server でターミナル サービスと呼ばれていました。

BitLocker の場合、このポリシーは、どの暗号化キーを生成するよりも前に有効にする必要があります。このポリシーを有効にした状態で作成された回復キーは、Windows 8、Windows Server 2012、およびそれ以前のオペレーティング システムの BitLocker と互換性がありません。Windows 8.1 および Windows Server 2012 R2 より前のオペレーティング システムを実行しているコンピューターにこのポリシーを適用すると、BitLocker では回復パスワードの作成と使用ができなくなります。これらのコンピューターでは、代わりに回復キーを使用する必要があります。

既定値: 無効

注意: Federal Information Processing Standard (FIPS) 140 は、暗号化ソフトウェアの認定を目的としたセキュリティの実装です。米国政府およびその他の主要組織では、FIPS 140 公認ソフトウェアであることが要求されます。

System cryptography: Use FIPS 140 compliant cryptographic algorithms, including encryption, hashing and signing algorithms

For the Schannel Security Service Provider (SSP), this security setting disables the weaker Secure Sockets Layer (SSL) protocols and supports only the Transport Layer Security (TLS) protocols as a client and as a server (if applicable). If this setting is enabled, Transport Layer Security/Secure Sockets Layer (TLS/SSL) Security Provider uses only the FIPS 140 approved cryptographic algorithms: 3DES and AES for encryption, RSA or ECC public key cryptography for the TLS key exchange and authentication, and only the Secure Hashing Algorithm (SHA1, SHA256, SHA384, and SHA512) for the TLS hashing requirements.

For Encrypting File System Service (EFS), it supports the Triple Data Encryption Standard (DES) and Advanced Encryption Standard (AES) encryption algorithms for encrypting file data supported by the NTFS file system. By default, EFS uses the Advanced Encryption Standard (AES) algorithm with a 256-bit key in the Windows Server 2003 and Windows Vista family and DESX algorithm in Windows XP for encrypting file data. For information about EFS, see Encrypting File System.

For Remote Desktop Services, it supports only the Triple DES encryption algorithm for encrypting Remote Desktop Services network communication.

Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server.

For BitLocker, this policy needs to be enabled before any encryption key is generated. Recovery passwords created when this policy is enabled are incompatible with BitLocker on Windows 8, Windows Server 2012, and earlier operating systems. If this policy is applied to computers running operating systems prior to Windows 8.1 and Windows Server 2012 R2, BitLocker will prevent the creation or use of recovery passwords; recovery keys should be used for those computers instead.

Default: Disabled.

Note: The Federal Information Processing Standard (FIPS) 140 is a security implementation designed for certifying cryptographic software. FIPS 140 validated software is required by the U.S. Government and requested by other prominent institutions.

2024システム オブジェクト: Administrators グループのメンバーによって作成されたオブジェクトの既定の所有者
説明
このセキュリティ設定は、Administrators グループのメンバーがオブジェクトを作成するとき、そのオブジェクトの所有者として割り当てられるセキュリティ プリンシパル (SID) を指定します。
既定値:
Windows XP: ユーザー SID
Windows 2003: Administrators グループ
System objects: Default owner for objects created by members of the Administrators group
Description
This security setting determines which security principal (SID) will be assigned the OWNER of objects when the object is created by a member of the Administrators Group.
Default:
Windows XP: User SID
Windows 2003 : Administrators Group
2025システム オブジェクト: Windows システムではないサブシステムのための大文字と小文字の区別をしないことが必須

このセキュリティ設定は、大文字と小文字の区別をすべてのサブシステムに強制的に適用するかどうかを指定します。Win32 サブシステムは、大文字と小文字を区別しません。ただし、Win32 カーネルでは、POSIX などのサブシステムについては、大文字と小文字が区別されます。

この設定が有効な場合、すべてのディレクトリ オブジェクト、シンボリック リンク、IO オブジェクト (ファイル オブジェクトを含む) について、大文字と小文字が区別されます。この設定を無効にすると、Win32 サブシステムでは大文字と小文字が区別されなくなります。

既定値: 有効。

System objects: Require case insensitivity for non-Windows subsystems

This security setting determines whether case insensitivity is enforced for all subsystems. The Win32 subsystem is case insensitive. However, the kernel supports case sensitivity for other subsystems, such as POSIX.

If this setting is enabled, case insensitivity is enforced for all directory objects, symbolic links, and IO objects, including file objects. Disabling this setting does not allow the Win32 subsystem to become case sensitive.

Default: Enabled.

2026システム オブジェクト: 内部のシステム オブジェクトの既定のアクセス許可を強化する (例: シンボリック リンク)

このセキュリティ設定は、オブジェクトに対する既定の随意アクセス制御リスト (DACL) を強化するかどうかを指定します。

Active Directory は共有システム リソース (例: DOS デバイス名、ミューテックス、セマフォ) のグローバル リストを管理しています。このようにして、プロセスの間オブジェクトの特定と共有が可能となっています。各オブジェクト タイプは、オブジェクトにアクセス可能なユーザーと付与されるアクセス許可を指定する、既定の DACL に基づいて作成されます。

このポリシーが有効な場合、既定の DACL はより強力で、管理者以外のユーザーは共有オブジェクトを読み取ることができますが、自身が作成者ではない共有オブジェクトは修正できません。

既定値: 有効。

System objects: Strengthen default permissions of internal system objects (e.g., Symbolic Links)

This security setting determines the strength of the default discretionary access control list (DACL) for objects.

Active Directory maintains a global list of shared system resources, such as DOS device names, mutexes, and semaphores. In this way, objects can be located and shared among processes. Each type of object is created with a default DACL that specifies who can access the objects and what permissions are granted.

If this policy is enabled, the default DACL is stronger, allowing users who are not administrators to read shared objects but not allowing these users to modify shared objects that they did not create.

Default: Enabled.

2027システム設定: オプション サブシステム

このセキュリティ設定は、アプリケーションのサポート用に必要に応じて開始できるサブシステムを指定します。このセキュリティ設定を使用すると、使用環境に応じて、アプリケーションのサポートに必要な数のサブシステムを指定できます。

既定値: POSIX

System settings: Optional subsystems

This security setting determines which subsystems can optionally be started up to support your applications. With this security setting, you can specify as many subsystems to support your applications as your environment demands.

Default: POSIX.

2028システム設定: ソフトウェア制限のポリシーのために Windows 実行可能ファイルに対して証明書の規則を使用する

このセキュリティ設定は、ファイル名拡張子が .exe のソフトウェアをユーザーまたはプロセスが実行しようとするときに、デジタル証明書を処理するかどうかを指定します。このセキュリティ設定は、証明書の規則 (ソフトウェア制限のポリシーの 1 種) を有効または無効にするために使用します。ソフトウェア制限のポリシーを使用することで、ソフトウェアに関連付けられたデジタル証明書に基づいて、Authenticode が署名したソフトウェアの実行の許可または不許可を指定する証明書の規則を作成できます。証明書の規則が適用されるようにするには、このセキュリティ設定を有効にする必要があります。

証明書の規則を有効にすると、ソフトウェア制限のポリシーによって、証明書失効リスト (CRL) をチェックして、ソフトウェアの証明書と署名が有効であることを確認します。この処理によって、署名済みプログラムの起動時にパフォーマンスが低下する可能性があります。この機能は、[信頼された発行元のプロパティ] で [発行元] チェック ボックスと [タイムスタンプ] チェック ボックスをオフにすることで無効にすることができます。詳細については、「信頼された発行元オプションの設定」を参照してください。

既定値: 無効。

System settings: Use Certificate Rules on Windows Executables for Software Restriction Policies

This security setting determines if digital certificates are processed when a user or process attempts to run software with an .exe file name extension. This security settings is used to enable or disable certificate rules, a type of software restriction policies rule. With software restriction policies, you can create a certificate rule that will allow or disallow software that is signed by Authenticode to run, based on the digital certificate that is associated with the software. In order for certificate rules to take effect, you must enable this security setting.

When certificate rules are enabled, software restriction policies will check a certificate revocation list (CRL) to make sure the software's certificate and signature are valid. This may decrease performance when start signed programs. You can disable this feature. On Trusted Publishers Properties, clear the Publisher and Timestamp check boxes. For more information, see Set trusted publisher options.

Default: Disabled.

2029アプリケーション ログの最大サイズ

このセキュリティ設定は、アプリケーション イベント ログの最大サイズを指定します。指定できる理論上の最大値は 4 GB ですが、実際にはこれよりも低い制限が存在します (300 MB 程度)。

注意

ログ ファイル サイズは、64 KB の倍数でなければなりません。64 KB の倍数でない値を入力した場合、ログ ファイル サイズはイベント ビューアーによって 64 KB の倍数に切り上げられます。
この設定は、ローカル コンピューター ポリシー オブジェクトには表示されません。
イベント ログ サイズおよびログ ラッピングは、エンタープライズのセキュリティ計画を作成するときに決定したビジネス要件とセキュリティ要件を満たすよう定義してください。グループ ポリシーの設定を活かすには、これらのイベント ログ設定をサイト、ドメイン、または組織単位のレベルで実装することを検討してください。
既定値: Windows Server 2003 ファミリの場合 16 MB、Windows XP Professional Service Pack 1 の場合 8 MB、Windows XP Professional の場合 512 KB

Maximum application log size

This security setting specifies the maximum size of the application event log, which has a theoretical maximum of 4 GB. Practically the limit is lower (~300MB).

Notes

Log file sizes must be a multiple of 64 KB. If you enter a value that is not a multiple of 64 KB, Event Viewer will round he log file size up to a multiple of 64 KB.
This setting does not appear in the Local Computer Policy object.
Event Log size and log wrapping should be defined to match the business and security requirements you determined when designing your enterprise security plan. Consider implementing these Event Log settings at the site, domain, or organizational unit level, to take advantage of Group Policy settings.
Default: For the Windows Server 2003 family, 16 MB; for Windows XP Professional Service Pack 1, 8 MB; for Windows XP Professional, 512 KB.

2030セキュリティ ログの最大サイズ

このセキュリティ設定は、セキュリティ イベント ログの最大サイズを指定します。指定できる理論上の最大値は 4 GB ですが、実際にはこれよりも低い制限が存在します (300 MB 程度)。

注意

ログ ファイル サイズは、64 KB の倍数でなければなりません。64 KB の倍数でない値を入力した場合、ログ ファイル サイズはイベント ビューアーによって 64 KB の倍数に切り上げられます。
この設定は、ローカル コンピューター ポリシー オブジェクトには表示されません。
イベント ログ サイズおよびログ ラッピングは、エンタープライズのセキュリティ計画を作成するときに決定したビジネス要件とセキュリティ要件を満たすよう定義してください。グループ ポリシーの設定を活かすには、これらのイベント ログ設定をサイト、ドメイン、または組織単位のレベルで実装することを検討してください。
既定値: Windows Server 2003 ファミリの場合 16 MB、Windows XP Professional Service Pack 1 の場合 8 MB、Windows XP Professional の場合 512 KB

Maximum security log size

This security setting specifies the maximum size of the security event log, which has a theoretical maximum of 4 GB. Practically the limit is lower (~300MB).

Notes

Log file sizes must be a multiple of 64 KB. If you enter a value that is not a multiple of 64 KB, Event Viewer will round he log file size up to a multiple of 64 KB.
This setting does not appear in the Local Computer Policy object.
Event Log size and log wrapping should be defined to match the business and security requirements you determined when designing your enterprise security plan. Consider implementing these Event Log settings at the site, domain, or organizational unit level, to take advantage of Group Policy settings.
Default: For the Windows Server 2003 family, 16 MB; for Windows XP Professional Service Pack 1, 8 MB; for Windows XP Professional, 512 KB.

2031システム ログの最大サイズ

このセキュリティ設定は、システム イベント ログの最大サイズを指定します。指定できる理論上の最大値は 4 GB ですが、実際にはこれよりも低い制限が存在します (300 MB 程度)。

注意

ログ ファイル サイズは、64 KB の倍数でなければなりません。64 KB の倍数でない値を入力した場合、ログ ファイル サイズはイベント ビューアーによって 64 KB の倍数に切り上げられます。
この設定は、ローカル コンピューター ポリシー オブジェクトには表示されません。
イベント ログ サイズおよびログ ラッピングは、エンタープライズのセキュリティ計画を作成するときに決定したビジネス要件とセキュリティ要件を満たすよう定義してください。グループ ポリシーの設定を活かすには、これらのイベント ログ設定をサイト、ドメイン、または組織単位のレベルで実装することを検討してください。
既定値: Windows Server 2003 ファミリの場合 16 MB、Windows XP Professional Service Pack 1 の場合 8 MB、Windows XP Professional の場合 512 KB

Maximum system log size

This security setting specifies the maximum size of the system event log, which has a theoretical maximum of 4 GB. Practically the limit is lower (~300MB).

Notes

Log file sizes must be a multiple of 64 KB. If you enter a value that is not a multiple of 64 KB, Event Viewer will round he log file size up to a multiple of 64 KB.
This setting does not appear in the Local Computer Policy object.
Event Log size and log wrapping should be defined to match the business and security requirements you determined when designing your enterprise security plan. Consider implementing these Event Log settings at the site, domain, or organizational unit level, to take advantage of Group Policy settings.
Default: For the Windows Server 2003 family, 16 MB; for Windows XP Professional Service Pack 1, 8 MB; for Windows XP Professional, 512 KB.

2032ゲストおよび匿名ログイン ユーザーによるアプリケーション ログへのアクセスを許可しない

このセキュリティ設定は、ゲストがアプリケーション イベント ログにアクセスできないようにするかどうかを指定します。

注意

この設定は、ローカル コンピューター ポリシー オブジェクトには表示されません。

このセキュリティ設定は、Windows 2000 または Windows XP を実行するコンピューターのみに影響します。

既定値: Windows XP の場合は有効、Windows 2000 の場合は無効
Prevent local guests group and ANONYMOUS LOGIN users from accessing application log

This security setting determines if guests are prevented from accessing the application event log.

Notes

This setting does not appear in the Local Computer Policy object.

This security setting affects only computers running Windows 2000 and Windows XP.

Default: Enabled for Windows XP, Disabled for Windows 2000
2033ゲストおよび匿名ログイン ユーザーによるセキュリティ ログへのアクセスを許可しない

このセキュリティ設定は、ゲストがアプリケーション イベント ログにアクセスできないようにするかどうかを指定します。

注意

この設定は、ローカル コンピューター ポリシー オブジェクトには表示されません。

このセキュリティ設定は、Windows 2000 または Windows XP を実行するコンピューターのみに影響します。

既定値: Windows XP の場合は有効、Windows 2000 の場合は無効
Prevent local guests group and ANONYMOUS LOGIN users from accessing security log

This security setting determines if guests are prevented from accessing the application event log.

Notes

This setting does not appear in the Local Computer Policy object.

This security setting affects only computers running Windows 2000 and Windows XP.

Default: Enabled for Windows XP, Disabled for Windows 2000
2034ゲストおよび匿名ログイン ユーザーによるシステム ログへのアクセスを許可しない

このセキュリティ設定は、ゲストがアプリケーション イベント ログにアクセスできないようにするかどうかを指定します。

注意

この設定は、ローカル コンピューター ポリシー オブジェクトには表示されません。

このセキュリティ設定は、Windows 2000 または Windows XP を実行するコンピューターのみに影響します。

既定値: Windows XP の場合は有効、Windows 2000 の場合は無効
Prevent local guests group and ANONYMOUS LOGIN users from accessing system log

This security setting determines if guests are prevented from accessing the application event log.

Notes

This setting does not appear in the Local Computer Policy object.

This security setting affects only computers running Windows 2000 and Windows XP.

Default: Enabled for Windows XP, Disabled for Windows 2000
2035アプリケーション ログの保存

このセキュリティ設定は、アプリケーション ログの保存方法が [指定した日数] の場合、アプリケーション ログにイベントを記録しておく日数を指定します。

この値は、スケジュールで設定した間隔でログをアーカイブし、この間隔でラッピングが生じない十分なログ ファイル サイズを [アプリケーション ログの最大サイズ] で指定している場合のみ設定してください。

注意: この設定は、ローカル コンピューター ポリシー オブジェクトには表示されません。
既定値: なし

Retain application log

This security setting determines the number of days' worth of events to be retained for the application log if the retention method for the application log is By Days.

Set this value only if you archive the log at scheduled intervals and you make sure that the Maximum application log size is large enough to accommodate the interval.

Note: This setting does not appear in the Local Computer Policy object.
Default: None.

2036セキュリティ ログの保存

このセキュリティ設定は、セキュリティ ログの保存方法が [指定した日数] の場合、セキュリティ ログにイベントを記録しておく日数を指定します。

この値は、スケジュールで設定した間隔でログをアーカイブし、この間隔でラッピングが生じない十分なログ ファイル サイズを [セキュリティ ログの最大サイズ] で指定している場合のみ設定してください。

注意
この設定は、ローカル コンピューター ポリシー オブジェクトには表示されません。
セキュリティ ログにアクセスするには、監査とセキュリティ ログの管理の権利が必要です。
既定値: なし

Retain security log

This security setting determines the number of days' worth of events to be retained for the security log if the retention method for the security log is By Days.

Set this value only if you archive the log at scheduled intervals and you make sure that the Maximum security log size is large enough to accommodate the interval.

Notes
This setting does not appear in the Local Computer Policy object.
A user must possess the Manage auditing and security log user right to access the security log.
Default: None.

2037システム ログの保存

このセキュリティ設定は、システム ログの保存方法が [指定した日数] の場合、システム ログにイベントを記録しておく日数を指定します。

この値は、スケジュールで設定した間隔でログをアーカイブし、この間隔でラッピングが生じない十分なログ ファイル サイズを [アプリケーション ログの最大サイズ] で指定している場合のみ設定してください。

注意: この設定は、ローカル コンピューター ポリシー オブジェクトには表示されません。
既定値: なし。

Retain system log

This security setting determines the number of days' worth of events to be retained for the system log if the retention method for the system log is By Days.

Set this value only if you archive the log at scheduled intervals and you make sure that the Maximum system log size is large enough to accommodate the interval.

Note: This setting does not appear in the Local Computer Policy object.
Default: None.

2038アプリケーション ログの保存方法

このセキュリティ設定は、アプリケーション ログに対する「ラッピング」の方法を指定します。

アプリケーション ログをアーカイブしない場合は、このポリシーの [プロパティ] ダイアログ ボックスで [このポリシーの設定を定義する] チェック ボックスをオンにして、[必要に応じてイベントを上書きする] をクリックします。

スケジュールで設定した間隔でログをアーカイブする場合は、このポリシーの [プロパティ] ダイアログ ボックスで [このポリシーの設定を定義する] チェック ボックスをオンにして、[指定した日数を過ぎたら上書きする] をクリックして、[アプリケーション ログの保存] の設定で適切な日数を指定します。アプリケーション ログの最大サイズは、指定した日数に見合うだけの十分なサイズを指定してください。

ログにすべてのイベントを保存する必要のある場合は、このポリシーの [プロパティ] ダイアログ ボックスで [このポリシーの設定を定義する] チェック ボックスをオンにして、[イベントを上書きしない (手動でログを消去)] をクリックします。このオプションを設定した場合は、手動でログを消去する必要があります。このオプションでは、ログの最大サイズに到達すると、新しいイベントが記録されずに破棄されていきます。

注意: この設定は、ローカル コンピューター ポリシー オブジェクトには表示されません。

既定値: なし。

Retention method for application log

This security setting determines the "wrapping" method for the application log.

If you do not archive the application log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events as needed.

If you archive the log at scheduled intervals, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events by days and specify the appropriate number of days in the Retain application log setting. Make sure that the Maximum application log size is large enough to accommodate the interval.

If you must retain all the events in the log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Do not overwrite events (clear log manually). This option requires that the log be cleared manually. In this case, when the maximum log size is reached, new events are discarded.

Note: This setting does not appear in the Local Computer Policy object.

Default: None.

2039セキュリティ ログの保存方法

このセキュリティ設定は、セキュリティ ログに対する「ラッピング」の方法を指定します。

セキュリティ ログをアーカイブしない場合は、このポリシーの [プロパティ] ダイアログ ボックスで [このポリシーの設定を定義する] チェック ボックスをオンにして、[必要に応じてイベントを上書きする] をクリックします。

スケジュールで設定した間隔でログをアーカイブする場合は、このポリシーの [プロパティ] ダイアログ ボックスで [このポリシーの設定を定義する] チェック ボックスをオンにして、[指定した日数を過ぎたら上書きする] をクリックして、[セキュリティ ログの保存] の設定で適切な日数を指定します。セキュリティ ログの最大サイズは、指定した日数に見合うだけの十分なサイズを指定してください。

ログにすべてのイベントを保存する必要のある場合は、このポリシーの [プロパティ] ダイアログ ボックスで [このポリシーの設定を定義する] チェック ボックスをオンにして、[イベントを上書きしない (手動でログを消去)] をクリックします。このオプションを設定した場合は、手動でログを消去する必要があります。このオプションでは、ログの最大サイズに到達すると、新しいイベントが記録されずに破棄されていきます。

注意

この設定は、ローカル コンピューター ポリシー オブジェクトには表示されません。

セキュリティ ログにアクセスするには、監査とセキュリティ ログの管理の権利が必要です。

既定値: なし
Retention method for security log

This security setting determines the "wrapping" method for the security log.

If you do not archive the security log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events as needed.

If you archive the log at scheduled intervals, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events by days and specify the appropriate number of days in the retain security log setting. Make sure that the Maximum security log size is large enough to accommodate the interval.

If you must retain all the events in the log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Do not overwrite events (clear log manually). This option requires that the log be cleared manually. In this case, when the maximum log size is reached, new events are discarded.

Notes

This setting does not appear in the Local Computer Policy object.

A user must possess the Manage auditing and security log user right to access the security log.

Default: None.
2040システム ログの保存方法

このセキュリティ設定によって、システム ログの "ラッピング" 方法が決まります。

システム ログをアーカイブしない場合は、このポリシーの [プロパティ] ダイアログ ボックスの [このポリシーの設定を定義する] チェック ボックスをオンにし、[必要に応じてイベントを上書きする] をクリックします。

スケジュールした間隔でログをアーカイブする場合は、このポリシーの [プロパティ] ダイアログ ボックスの [このポリシーの設定を定義する] チェック ボックスをオンにし、[指定した日数を過ぎたら上書きする] をクリックして、[システム ログの保存日数] 設定に適切な日数を指定します。指定した日数に見合うだけの十分なサイズを指定してください。

ログ内のすべてのイベントを保存する必要がある場合は、このポリシーの [プロパティ] ダイアログ ボックスの [このポリシーの設定を定義する] チェック ボックスをオンにし、[イベントを上書きしない (手動でログを消去)] をクリックします。このオプションを選択した場合、ログは手動で消去する必要があります。このオプションでは、ログの最大サイズに到達すると、新しいイベントが記録されずに破棄されていきます。

注意: この設定は、ローカル コンピューター ポリシー オブジェクトでは表示されません。

既定値: なし
Retention method for system log

This security setting determines the "wrapping" method for the system log.

If you do not archive the system log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events as needed.

If you archive the log at scheduled intervals, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events by days and specify the appropriate number of days in the Retain system log setting. Make sure that the Maximum system log size is large enough to accommodate the interval

.If you must retain all the events in the log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Do not overwrite events (clear log manually). This option requires that the log be cleared manually. In this case, when the maximum log size is reached, new events are discarded

Note: This setting does not appear in the Local Computer Policy object.

Default: None.
2041制限されたグループ

管理者は、このセキュリティ設定を使用して、セキュリティに関係するグループ ("制限された" グループ) に対して 2 つのプロパティを定義できます。

2 つのプロパティとは、[メンバー] と [所属するグループ] です。メンバー一覧には、制限されたグループに所属するユーザーと所属しないユーザーを定義します。所属するグループ一覧には、制限されたグループが所属するその他のグループを指定します。

制限されたグループのポリシーが実施されると、制限されたグループの現在のメンバーのうちメンバー一覧に指定されていないメンバーはすべて削除されます。現在は制限されたグループのメンバーではないが、メンバー一覧に指定されたユーザーは追加されます。

制限されたグループのポリシーを使用して、グループ メンバーシップを制御できます。ポリシーを使用して、グループの一部であるメンバーを指定できます。ポリシーに指定されていないメンバーはすべて、構成中または更新中に削除されます。また、逆メンバーシップ構成オプションによって、制限された各グループは [所属するグループ] 列に指定されているグループだけがメンバーになるようにすることができます。

たとえば、指定したユーザー (たとえば Alice と John) だけが Administrators グループのメンバーになることができるような、制限されたグループのポリシーを作成できます。ポリシーが更新されると、Alice と John だけが Administrators グループのメンバーとして残ります。

制限されたグループのポリシーを適用するには、次の 2 つの方法があります。

セキュリティ テンプレートにポリシーを定義します。ポリシーは、ローカル コンピューターの構成中に適用されます。
グループ ポリシー オブジェクト (GPO) に直接設定を定義します。つまり、ポリシーが更新されるたびにポリシーが有効になります。セキュリティ設定は、ワークステーションまたはサーバーでは 90 分ごとに、ドメイン コントローラーでは 5 分ごとに更新されます。また、設定も、変更の有無にかかわらず 16 時間ごとに更新されます。
既定値: 何も指定されていません。

警告

制限されたグループのポリシーを定義した場合、グループ ポリシーが更新されると、現在のメンバーのうち、制限されたグループのポリシーのメンバー一覧に含まれていないメンバーはすべて削除されます。この中には管理者など既定のメンバーを含めることができます。

注意

制限されたグループは主に、ワークステーションまたはメンバー サーバーでローカル グループのメンバーシップを構成するために使用する必要があります。
メンバー一覧が空ということは、制限されたグループにはメンバーがいないということです。所属するグループの一覧が空ということは、制限されたグループが所属しているグループを指定していないということです。

Restricted Groups

This security setting allows an administrator to define two properties for security-sensitive groups ("restricted" groups).

The two properties are Members and Member Of. The Members list defines who belongs and who does not belong to the restricted group. The Member Of list specifies which other groups the restricted group belongs to.

When a Restricted Groups Policy is enforced, any current member of a restricted group that is not on the Members list is removed. Any user on the Members list who is not currently a member of the restricted group is added.

You can use Restricted Groups policy to control group membership. Using the policy, you can specify what members are part of a group. Any members that are not specified in the policy are removed during configuration or refresh. In addition, the reverse membership configuration option ensures that each Restricted Group is a member of only those groups that are specified in the Member Of column.

For example, you can create a Restricted Groups policy to only allow specified users (for example, Alice and John) to be members of the Administrators group. When policy is refreshed, only Alice and John will remain as members of the Administrators group.

There are two ways to apply Restricted Groups policy:

Define the policy in a security template, which will be applied during configuration on your local computer.
Define the setting on a Group Policy object (GPO) directly, which means that the policy goes into effect with every refresh of policy. The security settings are refreshed every 90 minutes on a workstation or server and every 5 minutes on a domain controller. The settings are also refreshed every 16 hours, whether or not there are any changes.
Default: None specified.

Caution

If a Restricted Groups policy is defined and Group Policy is refreshed, any current member not on the Restricted Groups policy members list is removed. This can include default members, such as administrators.

Notes

Restricted Groups should be used primarily to configure membership of local groups on workstation or member servers.
An empty Members list means that the restricted group has no members; an empty Member Of list means that the groups to which the restricted group belongs are not specified.

2042システム サービスのセキュリティ設定

管理者は、すべてのシステム サービスに対するアクセス許可 ([開始]、[停止]、または [一時停止]) だけでなく、スタートアップ モード ([手動]、[自動]、または [無効]) を定義できます。

既定値: 未定義。

注意

この設定は、ローカル コンピューター ポリシー オブジェクトでは表示されません。
システム サービスのスタートアップを [自動] に設定することを決めた場合、十分なテストを行ってユーザーが手動操作しなくてもサービスを開始できることを確認してください。
パフォーマンスを最適化するには、不要なサービスや未使用のサービスを [手動] に設定します。

System Services security settings

Allows an administrator to define the startup mode (manual, automatic, or disabled) as well as the access permissions (Start, Stop, or Pause) for all system services.

Default: Undefined.

Notes

This setting does not appear in the Local Computer Policy object.
If you choose to set system service startup to Automatic, perform adequate testing to verify that the services can start without user intervention.
For performance optimization, set unnecessary or unused services to Manual.

2043レジストリ セキュリティの設定

管理者は、セキュリティ構成マネージャーを使用して、レジストリ キーに対するアクセス許可 (随意アクセス制御リスト (DACL) 上) および監査設定 (システム アクセス制御リスト (SACL) 上) を定義できます。

既定値: 未定義。

注意: この設定は、ローカル コンピューター ポリシー オブジェクトでは表示されません。

Registry security settings

Allows an administrator to define access permissions (on discretionary access control lists (DACLs)) and audit settings (on system access control lists (SACLs)) for registry keys using Security Configuration Manager.

Default: Undefined.

Note: This setting does not appear in the Local Computer Policy object.

2044ファイル システムのセキュリティ設定

管理者は、セキュリティ構成マネージャーを使用して、ファイル システム オブジェクトに対するアクセス許可 (随意アクセス制御リスト (DACL) 上) および監査設定 (システム アクセス制御リスト (SACL) 上) を定義できます。

既定値: 未定義。

注意: この設定は、ローカル コンピューター ポリシー オブジェクトでは表示されません。
File System security settings

Allows an administrator to define access permissions (on discretionary access control lists (DACLs)) and audit settings (on system access control lists (SACLs)) for file system objects using Security Configuration Manager.

Default: Undefined.

Note: This setting does not appear in the Local Computer Policy object.
2045監査: 監査ポリシー サブカテゴリの設定 (Windows Vista 以降) を強制して、監査ポリシー カテゴリの設定を上書きする

Windows Vista 以降の Windows バージョンでは、監査ポリシーのサブカテゴリを使用して、より厳密に監査ポリシーを管理できます。カテゴリ レベルで監査ポリシーを設定すると、この新しいサブカテゴリ監査ポリシー機能が上書きされます。グループ ポリシーではカテゴリ レベルにおいてのみ監査ポリシーを設定できるため、新しいコンピューターがドメインに参加したときや Windows Vista 以降のバージョンにアップグレードしたときには、それらのコンピューターのサブカテゴリ設定よりも既存のグループ ポリシーが優先される可能性があります。グループ ポリシーを変更することなく、サブカテゴリを使用して監査ポリシーを管理できるようにするには、Windows Vista 以降のバージョンでは、新しいレジストリ値 SCENoApplyLegacyAuditPolicy を使用します。これにより、グループ ポリシーおよびローカル セキュリティ ポリシー管理ツールによってカテゴリ レベルの監査ポリシーが適用されるのを防ぐことができます。

ここで設定されたカテゴリ レベルの監査ポリシーが、現在生成されているイベントと矛盾する場合、原因としてこのレジストリ キーが設定されていることが考えられます。

既定値: 有効
Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings.

Windows Vista and later versions of Windows allow audit policy to be managed in a more precise way using audit policy subcategories. Setting audit policy at the category level will override the new subcategory audit policy feature. Group Policy only allows audit policy to be set at the category level, and existing group policy may override the subcategory settings of new machines as they are joined to the domain or upgraded to Windows Vista or later versions. To allow audit policy to be managed using subcategories without requiring a change to Group Policy, there is a new registry value in Windows Vista and later versions, SCENoApplyLegacyAuditPolicy, which prevents the application of category-level audit policy from Group Policy and from the Local Security Policy administrative tool.

If the category level audit policy set here is not consistent with the events that are currently being generated, the cause might be that this registry key is set.

Default: Enabled
2046ユーザー アカウント制御: ビルトイン Administrator アカウントのための管理者承認モードを使用する

このポリシー設定は、ビルトイン Administrator アカウントのための管理者承認モードの動作を決定します。

次のオプションがあります。

• 有効: ビルトイン Administrator アカウントは管理者承認モードを使用します。既定では、特権の昇格を必要とする操作が試みられた場合はすべて、ユーザーに操作の承認を求めるメッセージを表示します。

• 無効: (既定値) ビルトイン Administrator アカウントはすべてのアプリケーションを完全な管理者特権で実行します。
User Account Control: Use Admin Approval Mode for the built-in Administrator account

This policy setting controls the behavior of Admin Approval Mode for the built-in Administrator account.

The options are:

• Enabled: The built-in Administrator account uses Admin Approval Mode. By default, any operation that requires elevation of privilege will prompt the user to approve the operation.

• Disabled: (Default) The built-in Administrator account runs all applications with full administrative privilege.
2047DCOM: セキュリティ記述子定義言語 (SDDL) 構文でのコンピューター アクセス制限

このポリシー設定は、どのユーザーまたはグループが、リモートまたはローカルで DCOM アプリケーションにアクセスできるかを決定します。この設定は、DCOM アプリケーションに使用するコンピューターが危険にさらされる可能性を低減するために使用されます。

この設定を使用して、すべてのコンピューターに対するアクセス許可を、エンタープライズ内の DCOM アプリケーションの特定のユーザーに指定することができます。アクセス許可を付与されるユーザーまたはグループを指定すると、セキュリティ記述子フィールドに、それらのグループと特権の SDDL 表記が入力されます。セキュリティ記述子フィールドが空白のままにされた場合、ポリシー設定はテンプレートで定義されますが、強制はされません。ユーザーおよびグループには、ローカル アクセスとリモート アクセスの両方で、明示的な [許可] または [拒否] 特権を付与することができます。

DCOM を有効化することにより作成される "レジストリ設定: セキュリティ記述子定義言語 (SDDL) 構文でのコンピューター アクセス制限" ポリシーは、この領域の以前の設定より優先されます (高い優先順位を持ちます)。リモート プロシージャ コール サービス (RpcSs) は、コンピューター制限のポリシー セクションの新しいレジストリ キーを調べ、これらのレジストリのエントリは OLE 下の既存のレジストリ キーよりも優先されます。つまり、既存のレジストリ設定は有効ではないことを意味し、既存の設定に変更を行っても、ユーザーのコンピューター アクセス許可は変更されません。ユーザーおよびグループの一覧を構成する際には注意が必要です。

このポリシー設定で指定できる値は次のとおりです。

空白。これは、ローカル セキュリティ ポリシーでポリシー強制キーを削除することを表します。この値はポリシーを削除し、それを未定義の状態として設定します。空白値は、ACL エディターを使用してリストを空にし、[OK] をクリックすることによって設定できます。

SDDL。これは、このポリシーを有効にするときに指定するグループおよび特権のセキュリティ記述子定義言語の表記です。

未定義。これが既定値です。


Windows の DCOM に行われた変更によって、管理者が DCOM アプリケーションへのアクセス権を拒否された場合、管理者は "DCOM: セキュリティ記述子定義言語 (SDDL) 構文でのコンピューター アクセス制限" ポリシー設定を使用して、コンピューターへの DCOM アクセスを管理できます。管理者は、この設定を使用して、どのユーザーおよびグループが、ローカルおよびリモートでコンピューター上の DCOM アプリケーションにアクセスできるかを指定できます。これにより、DCOM アプリケーションの制御が、管理者およびユーザーに戻されます。これを実行するには、"DCOM: セキュリティ記述子定義言語 (SDDL) 構文でのコンピューター アクセス制限" 設定を開き、[セキュリティの編集] をクリックします。含めるグループと、それらのグループに対するコンピューター アクセス許可を指定します。これにより設定が定義され、適切な SDDL 値が設定されます。



DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax

This policy setting determines which users or groups can access DCOM application remotely or locally. This setting is used to control the attack surface of the computer for DCOM applications.

You can use this policy setting to specify access permissions to all the computers to particular users for DCOM applications in the enterprise. When you specify the users or groups that are to be given permission, the security descriptor field is populated with the Security Descriptor Definition Language representation of those groups and privileges. If the security descriptor is left blank, the policy setting is defined in the template, but it is not enforced. Users and groups can be given explicit Allow or Deny privileges on both local access and remote access.

The registry settings that are created as a result of enabling the DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax policy setting take precedence over (have higher priority) the previous registry settings in this area. Remote Procedure Call Services (RpcSs) checks the new registry keys in the Policies section for the computer restrictions, and these registry entries take precedence over the existing registry keys under OLE. This means that previously existing registry settings are no longer effective, and if you make changes to the existing settings, computer access permissions for users are not changed. Use care in configuring their list of users and groups.

The possible values for this policy setting are:

Blank: This represents the local security policy way of deleting the policy enforcement key. This value deletes the policy and then sets it as Not defined state. The Blank value is set by using the ACL editor and emptying the list, and then pressing OK.

SDDL: This is the Security Descriptor Definition Language representation of the groups and privileges you specify when you enable this policy.

Not Defined: This is the default value.

Note
If the administrator is denied permission to access DCOM applications due to the changes made to DCOM in Windows, the administrator can use the DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax policy setting to manage DCOM access to the computer. The administrator can specify which users and groups can access the DCOM application on the computer both locally and remotely by using this setting. This will restore control of the DCOM application to the administrator and users. To do this, open the DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax setting, and click Edit Security. Specify the groups you want to include and the computer access permissions for those groups. This defines the setting and sets the appropriate SDDL value.



2048DCOM: セキュリティ記述子定義言語 (SDDL) 構文でのコンピューター起動制限

このポリシー設定は、どのユーザーまたはグループが、リモートまたはローカルで DCOM アプリケーションを起動またはアクティブ化できるかを決定します。この設定は、DCOM アプリケーションに使用するコンピューターの攻撃対象となる面を制御するために使用されます。

この設定を使用して、すべてのコンピューターに対するアクセス許可を、DCOM アプリケーションのユーザーに付与することができます。この設定を定義して、許可を与えられるユーザーまたはグループを指定すると、セキュリティ記述子フィールドに、それらのグループおよび特権の SDDL 表記が入力されます。セキュリティ記述子が空白のままにされた場合、ポリシー設定はテンプレートで定義されますが、強制はされません。ユーザーおよびグループには、ローカルからの起動、リモートからの起動、ローカルからのアクティブ化、およびリモートからのアクティブ化に関して、明示的な [許可] または [拒否] 特権を付与することができます。

このポリシーの結果作成されるレジストリ設定は、この領域の既存のレジストリ設定より優先されます。リモート プロシージャ コール サービス (RpcSs) は、コンピューター制限のポリシー セクションの新しいレジストリ キーを調べます。これらのエントリは、OLE 下の既存のレジストリ キーよりも優先されます。

このグループ ポリシー設定で指定できる値は次のとおりです。

空白。これは、ローカル セキュリティ ポリシーでポリシー強制キーを削除することを表します。この値は、ポリシーを削除し、それを未定義の状態として設定します。空白値は、ACL エディターを使用してリストを空にし、[OK] をクリックすることによって設定できます。

SDDL。これは、このポリシーを有効にするときに指定するグループおよび特権のセキュリティ記述子定義言語の表記です。

未定義。これが既定値です。


このバージョンの Windows の DCOM に行われた変更によって、管理者が DCOM アプリケーションにアクセスしてアクティブ化または起動する権限を拒否された場合、このポリシー設定を使用してコンピューターに対する DCOM のアクティブ化および起動を制御できます。管理者は、"DCOM: セキュリティ記述子定義言語 (SDDL) 構文でのコンピューター起動制限" ポリシー設定を使用して、どのユーザーまたはグループが、ローカルおよびリモートでコンピューター上の DCOM アプリケーションを起動およびアクティブ化できるかを指定できます。これにより、DCOM アプリケーションの制御が、管理者および指定されたユーザーに戻されます。これを実行するには、"DCOM: セキュリティ記述子定義言語 (SDDL) 構文でのコンピューター起動制限" 設定を開き、[セキュリティの編集] をクリックします。含めるグループと、それらのグループに対するコンピューター起動許可を指定します。これにより、設定が定義され、適切な SDDL 値が設定されます。


DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax

This policy setting determines which users or groups can launch or activate DCOM applications remotely or locally. This setting is used to control the attack surface of the computer for DCOM applications.

You can use this setting to grant access to all the computers to users of DCOM applications. When you define this setting, and specify the users or groups that are to be given permission, the security descriptor field is populated with the Security Descriptor Definition Language representation of those groups and privileges. If the security descriptor is left blank, the policy setting is defined in the template, but it is not enforced. Users and groups can be given explicit Allow or Deny privileges on local launch, remote launch, local activation, and remote activation.

The registry settings that are created as a result of this policy take precedence over the previous registry settings in this area. Remote Procedure Call Services (RpcSs) checks the new registry keys in the Policies section for the computer restrictions; these entries take precedence over the existing registry keys under OLE.

The possible values for this Group Policy setting are:

Blank: This represents the local security policy way of deleting the policy enforcement key. This value deletes the policy and then sets it to Not defined state. The Blank value is set by using the ACL editor and emptying the list, and then pressing OK.

SDDL: This is the Security Descriptor Definition Language representation of the groups and privileges you specify when you enable this policy.

Not Defined: This is the default value.

Note
If the administrator is denied access to activate and launch DCOM applications due to the changes made to DCOM in this version of Windows, this policy setting can be used for controlling the DCOM activation and launch to the computer. The administrator can specify which users and groups can launch and activate DCOM applications on the computer both locally and remotely by using the DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax policy setting. This restores control of the DCOM application to the administrator and specified users. To do this, open the DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax setting, and click Edit Security. Specify the groups you want to include and the computer launch permissions for those groups. This defines the setting and sets the appropriate SDDL value.


2049ユーザー アカウント制御: 管理者承認モードでの管理者に対する昇格時のプロンプトの動作

このポリシー設定は、管理者承認モードでの管理者に対する昇格時のプロンプトの動作を決定します。

次のオプションがあります。

• 確認を要求しないで昇格する: 特権のあるアカウントに対して、特権の昇格を必要とする操作を、同意または資格情報を要求せずに実行することを許可します。注意: このオプションは、最も制約の厳しい環境でのみ使用するようにしてください。

• セキュリティで保護されたデスクトップで資格情報を要求する: 特権の昇格を必要とする操作が試みられた場合、セキュリティで保護されたデスクトップに、特権のあるユーザーの名前とパスワードの入力を求めるプロンプトを表示します。有効な資格情報が入力された場合は、そのユーザーが利用できる最高の特権で操作を続行します。

• セキュリティで保護されたデスクトップで同意を要求する: 特権の昇格を必要とする操作が試みられた場合、セキュリティで保護されたデスクトップに、[許可] または [拒否] を選択するように求めるプロンプトを表示します。[許可] が選択された場合は、そのユーザーが利用できる最高の特権で操作を続行します。

• 資格情報を要求する: 特権の昇格を必要とする操作が試みられた場合、管理ユーザーの名前とパスワードの入力を求めるプロンプトを表示します。有効な資格情報が入力された場合は、その管理ユーザーに適用される特権で操作を実行します。

• 同意を要求する: 特権の昇格を必要とする操作が試みられた場合、[許可] または [拒否] を選択するように求めるプロンプトを表示します。[許可] が選択された場合は、そのユーザーが利用できる最高の特権で操作を続行します。

• Windows 以外のバイナリに対する同意を要求する: (既定値) Windows 以外のアプリケーションで特権の昇格を必要とする操作が試みられた場合、セキュリティで保護されたデスクトップに、[許可] または [拒否] を選択するように求めるプロンプトを表示します。[許可] が選択された場合は、そのユーザーが利用できる最高の特権で操作を続行します。

User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode

This policy setting controls the behavior of the elevation prompt for administrators.

The options are:

• Elevate without prompting: Allows privileged accounts to perform an operation that requires elevation without requiring consent or credentials. Note: Use this option only in the most constrained environments.

• Prompt for credentials on the secure desktop: When an operation requires elevation of privilege, the user is prompted on the secure desktop to enter a privileged user name and password. If the user enters valid credentials, the operation continues with the user's highest available privilege.

• Prompt for consent on the secure desktop: When an operation requires elevation of privilege, the user is prompted on the secure desktop to select either Permit or Deny. If the user selects Permit, the operation continues with the user's highest available privilege.

• Prompt for credentials: When an operation requires elevation of privilege, the user is prompted to enter an administrative user name and password. If the user enters valid credentials, the operation continues with the applicable privilege.

• Prompt for consent: When an operation requires elevation of privilege, the user is prompted to select either Permit or Deny. If the user selects Permit, the operation continues with the user's highest available privilege.

• Prompt for consent for non-Windows binaries: (Default) When an operation for a non-Microsoft application requires elevation of privilege, the user is prompted on the secure desktop to select either Permit or Deny. If the user selects Permit, the operation continues with the user's highest available privilege.

2050ユーザー アカウント制御: 標準ユーザーに対する昇格時のプロンプトの動作
このポリシー設定は、標準ユーザーに対する昇格時のプロンプトの動作を決定します。

次のオプションがあります。

• 資格情報を要求する: (既定値) 特権の昇格を必要とする操作が試みられた場合、管理ユーザーの名前とパスワードの入力を求めるプロンプトを表示します。有効な資格情報が入力された場合は、その管理ユーザーに適用される特権で操作を実行します。

• 昇格の要求を自動的に拒否する: 特権の昇格を必要とする操作が試みられた場合、構成可能なアクセス拒否エラー メッセージを表示します。デスクトップを標準ユーザーとして実行している企業は、ヘルプ デスクへの電話の数を削減するために、このオプションを選択した方がよい場合があります。

• セキュリティで保護されたデスクトップで資格情報を要求する: 特権の昇格を必要とする操作が試みられた場合、セキュリティで保護されたデスクトップに、別のユーザーの名前とパスワードの入力を求めるプロンプトを表示します。有効な資格情報が入力された場合は、そのユーザーに適用される特権で操作を続行します。

User Account Control: Behavior of the elevation prompt for standard users
This policy setting controls the behavior of the elevation prompt for standard users.

The options are:

• Prompt for credentials: (Default) When an operation requires elevation of privilege, the user is prompted to enter an administrative user name and password. If the user enters valid credentials, the operation continues with the applicable privilege.

• Automatically deny elevation requests: When an operation requires elevation of privilege, a configurable access denied error message is displayed. An enterprise that is running desktops as standard user may choose this setting to reduce help desk calls.

• Prompt for credentials on the secure desktop: When an operation requires elevation of privilege, the user is prompted on the secure desktop to enter a different user name and password. If the user enters valid credentials, the operation continues with the applicable privilege.

2051ユーザー アカウント制御: アプリケーションのインストールを検出し、昇格をプロンプトする

このポリシー設定は、コンピューターへのアプリケーションのインストールを検出したときの動作を決定します。

次のオプションがあります。

• 有効: (既定値) インストールするために特権の昇格を必要とするアプリケーションのインストール パッケージを検出した場合、管理ユーザーの名前とパスワードの入力を求めるプロンプトを表示します。有効な資格情報が入力された場合は、その管理ユーザーに適用される特権で操作を実行します。

• 無効: アプリケーションのインストール パッケージを検出せず、昇格を求めるプロンプトも表示しません。標準ユーザー デスクトップを実行し、Group Policy Software Install や Systems Management Server (SMS) のような委任されたインストール技術を使用する企業では、このポリシー設定を無効にしてください。そのような場合には、インストーラーの検出は必要ありません。

User Account Control: Detect application installations and prompt for elevation

This policy setting controls the behavior of application installation detection for the computer.

The options are:

• Enabled: (Default) When an application installation package is detected that requires elevation of privilege, the user is prompted to enter an administrative user name and password. If the user enters valid credentials, the operation continues with the applicable privilege.

• Disabled: Application installation packages are not detected and prompted for elevation. Enterprises that are running standard user desktops and use delegated installation technologies such as Group Policy Software Installation or Systems Management Server (SMS) should disable this policy setting. In this case, installer detection is unnecessary.

2052ユーザー アカウント制御: 署名および検証された実行ファイルのみを昇格する

このポリシー設定は、特権の昇格を必要とする対話型アプリケーションに対して、公開キー基盤 (PKI) 署名チェックを強制します。エンタープライズ管理者は、ローカル コンピューター上の信頼された発行元証明書ストアに証明書を追加することによって、どのアプリケーションを許可するかを管理できます。

次のオプションがあります。

• 有効: 任意の実行ファイルに対して、その実行が許可される前に、PKI 証明のパス検証を強制します。

• 無効: (既定値) 任意の実行ファイルに対して、その実行が許可される前に、PKI 証明のパス検証を強制しません。

User Account Control: Only elevate executable files that are signed and validated

This policy setting enforces public key infrastructure (PKI) signature checks for any interactive applications that request elevation of privilege. Enterprise administrators can control which applications are allowed to run by adding certificates to the Trusted Publishers certificate store on local computers.

The options are:

• Enabled: Enforces the PKI certification path validation for a given executable file before it is permitted to run.

• Disabled: (Default) Does not enforce PKI certification path validation before a given executable file is permitted to run.

2053ユーザー アカウント制御: 安全な場所にインストールされている UIAccess アプリケーションの昇格のみ

このポリシー設定は、ユーザー インターフェイス アクセシビリティ (UIAccess) 整合性レベルでの実行を必要とするアプリケーションが、ファイル システム内の安全な場所に存在する必要があるかどうかを決定します。安全な場所は、次のディレクトリに限定されます。

- …\Program Files\、サブディレクトリを含む
- …\Windows\system32\
- …\Program Files (x86)\、64 ビット バージョンの Windows のサブディレクトリを含む

注意: Windows は、このセキュリティ設定の状態にかかわらず、UIAccess 整合性レベルでの実行を必要とする対話型アプリケーションすべてにおいて、公開キー基盤 (PKI) 署名チェックを強制します。

次のオプションがあります。

• 有効: (既定値) アプリケーションは、ファイル システム内の安全な場所に存在する場合のみ、UIAccess 整合性レベルで実行されます。

• 無効: アプリケーションは、ファイル システム内の安全な場所に存在していなくても、UIAccess 整合性レベルで実行されます。

User Account Control: Only elevate UIAccess applications that are installed in secure locations

This policy setting controls whether applications that request to run with a User Interface Accessibility (UIAccess) integrity level must reside in a secure location in the file system. Secure locations are limited to the following:

- …\Program Files\, including subfolders
- …\Windows\system32\
- …\Program Files (x86)\, including subfolders for 64-bit versions of Windows

Note: Windows enforces a public key infrastructure (PKI) signature check on any interactive application that requests to run with a UIAccess integrity level regardless of the state of this security setting.

The options are:

• Enabled: (Default) If an application resides in a secure location in the file system, it runs only with UIAccess integrity.

• Disabled: An application runs with UIAccess integrity even if it does not reside in a secure location in the file system.

2054ユーザー アカウント制御: 管理者承認モードを有効にする

このポリシー設定は、コンピューターのユーザー アカウント制御 (UAC) ポリシー設定の動作を決定します。このポリシー設定を変更した場合は、コンピューターを再起動する必要があります。

次のオプションがあります。

• 有効: (既定値) 管理者承認モードが有効になっています。ビルトイン Administrator アカウントと、Administrators グループに属するその他のすべてのユーザーを管理者承認モードで実行できるようにするには、このポリシーが有効になっていること、関連する UAC ポリシー設定が適切に設定されていることが必要です。

• 無効: 管理者承認モードと、関連する UAC ポリシーの設定すべてが無効になっています。注意: このポリシー設定が無効な場合、オペレーティング システムの全体的なセキュリティが低下したことが、セキュリティ センターから通知されます。

User Account Control: Turn on Admin Approval Mode

This policy setting controls the behavior of all User Account Control (UAC) policy settings for the computer. If you change this policy setting, you must restart your computer.

The options are:

• Enabled: (Default) Admin Approval Mode is enabled. This policy must be enabled and related UAC policy settings must also be set appropriately to allow the built-in Administrator account and all other users who are members of the Administrators group to run in Admin Approval Mode.

• Disabled: Admin Approval Mode and all related UAC policy settings are disabled. Note: If this policy setting is disabled, the Security Center notifies you that the overall security of the operating system has been reduced.

2055ユーザー アカウント制御: 昇格のプロンプト時にセキュリティで保護されたデスクトップに切り替える

このポリシー設定は、昇格要求のプロンプトが、対話ユーザーのデスクトップで表示されるか、セキュリティで保護されたデスクトップで表示されるかを決定します。

次のオプションがあります。

• 有効: (既定値) 管理者および標準ユーザー用のプロンプトの動作ポリシー設定にかかわらず、すべての昇格要求は、セキュリティで保護されたデスクトップで行われます。

• 無効: すべての昇格要求は、対話ユーザーのデスクトップで行われます。管理者および標準ユーザー用のプロンプトの動作ポリシー設定が使用されます。

User Account Control: Switch to the secure desktop when prompting for elevation

This policy setting controls whether the elevation request prompt is displayed on the interactive user's desktop or the secure desktop.

The options are:

• Enabled: (Default) All elevation requests go to the secure desktop regardless of prompt behavior policy settings for administrators and standard users.

• Disabled: All elevation requests go to the interactive user's desktop. Prompt behavior policy settings for administrators and standard users are used.

2056ユーザー アカウント制御: 各ユーザーの場所へのファイルまたはレジストリの書き込みエラーを仮想化する

このポリシー設定は、アプリケーションによる書き込みエラーが、定義されたレジストリおよびファイル システムの場所にリダイレクトされるかどうかを決定します。このポリシー設定は、管理者として実行される、実行時アプリケーション データを %ProgramFiles%、%Windir%、%Windir%\system32、または HKLM\Software に書き込むアプリケーションの問題を緩和します。

次のオプションがあります。

• 有効: (既定値) ファイル システムとレジストリについて、アプリケーションの実行時の書き込みエラーを定義済みのユーザーの場所へリダイレクトします。

• 無効: 保護された場所にデータを書き込むアプリケーションは失敗します。

User Account Control: Virtualize file and registry write failures to per-user locations

This policy setting controls whether application write failures are redirected to defined registry and file system locations. This policy setting mitigates applications that run as administrator and write run-time application data to %ProgramFiles%, %Windir%, %Windir%\system32, or HKLM\Software.

The options are:

• Enabled: (Default) Application write failures are redirected at run time to defined user locations for both the file system and registry.

• Disabled: Applications that write data to protected locations fail.

2057シンボリック リンクの作成

この特権は、ユーザーがログオンしているコンピューターからシンボリック リンクを作成できるかどうかを決定します。

既定値: Administrator

警告: この特権は、信頼されるユーザーにのみ付与するようにしてください。シンボリック リンクを処理するように設計されていないアプリケーションでシンボリック リンクを使用すると、セキュリティによる保護が脆弱になります。

注意
この設定は、コンピューター上で許可される symlink の種類を制御するためにコマンド ライン ユーティリティで操作される、symlink ファイル システム設定と組み合わせて使用できます。fsutil とシンボリック リンクの詳細についての情報を得るには、コマンド ラインで「fsutil behavior set symlinkevalution /?」と入力してください。
Create Symbolic Links

This privilege determines if the user can create a symbolic link from the computer he is logged on to.

Default: Administrator

WARNING: This privilege should only be given to trusted users. Symbolic links can expose security vulnerabilities in applications that aren't designed to handle them.

Note
This setting can be used in conjunction a symlink filesystem setting that can be manipulated with the command line utility to control the kinds of symlinks that are allowed on the machine. Type 'fsutil behavior set symlinkevaluation /?' at the command line to get more information about fsutil and symbolic links.
2058オブジェクト ラベルの変更

この特権は、他のユーザーが所有しているファイル、レジストリ キー、プロセスなどのオブジェクトの整合性ラベルを、どのユーザー アカウントが変更できるかを決定します。あるユーザー アカウントで実行されているプロセスが、そのユーザーにより所有されるオブジェクトのラベルをより下位のレベルに修正する場合、この特権は必要ありません。

既定値: なし
Modify an object label

This privilege determines which user accounts can modify the integrity label of objects, such as files, registry keys, or processes owned by other users. Processes running under a user account can modify the label of an object owned by that user to a lower level without this privilege.

Default: None
2059ユーザー アカウント制御: UIAccess アプリケーションで、セキュリティで保護されたデスクトップを使用せずに昇格のプロンプトを表示できるようにする

このポリシー設定は、標準ユーザーによって使用される、セキュリティで保護されたデスクトップによる昇格時のプロンプトを、ユーザー インターフェイス アクセシビリティ (UIAccess または UIA) プログラムが自動的に無効にできるかどうかを決定します。

• 有効: Windows リモート アシスタンスなどの UIA プログラムにより、セキュリティで保護されたデスクトップでの昇格時のプロンプト表示が自動的に無効にされます。[ユーザー アカウント制御: 昇格のプロンプト時にセキュリティで保護されたデスクトップに切り替える] ポリシー設定を無効にしていない場合、セキュリティで保護されたデスクトップではなく、対話ユーザーのデスクトップにプロンプトが表示されます。

• 無効: (既定値) セキュリティで保護されたデスクトップは、対話型デスクトップのユーザーによって、または [ユーザー アカウント制御: 昇格のプロンプト時にセキュリティで保護されたデスクトップに切り替える] ポリシー設定を無効にすることによってのみ無効にできます。

User Account Control: Allow UIAccess applications to prompt for elevation without using the secure desktop.

This policy setting controls whether User Interface Accessibility (UIAccess or UIA) programs can automatically disable the secure desktop for elevation prompts used by a standard user.

• Enabled: UIA programs, including Windows Remote Assistance, automatically disable the secure desktop for elevation prompts. If you do not disable the "User Account Control: Switch to the secure desktop when prompting for elevation" policy setting, the prompts appear on the interactive user's desktop instead of the secure desktop.

• Disabled: (Default) The secure desktop can be disabled only by the user of the interactive desktop or by disabling the "User Account Control: Switch to the secure desktop when prompting for elevation" policy setting.

2060この設定は、バックアップ/復元の処理中に資格情報マネージャーで使用されます。これは Winlogon のみに割り当てられる特権です。いかなるアカウントにも付与しないでください。この特権を他のエンティティに付与すると、資格情報を保存したユーザーのセキュリティが侵害される可能性があります。 This setting is used by Credential Manager during Backup/Restore. No accounts should have this privilege, as it is only assigned to Winlogon. Users saved credentials might be compromised if this privilege is given to other entities.
2061タイム ゾーンの変更

このユーザー権利は、このコンピューターでローカル時間の表示に使用されるタイム ゾーンを変更できるユーザーおよびグループを指定します。ローカル時間はコンピューターのシステム時間にタイム ゾーンのオフセットを足した時間です。システム時間そのものは絶対的であり、タイム ゾーンの変更の影響を受けません。

このユーザー権利は、既定のドメイン コントローラーのグループ ポリシー オブジェクト (GPO) と、ワークステーションおよびサーバーのローカル セキュリティ ポリシーにおいて定義されます。

既定値: Administrators、Users
Change the Time Zone

This user right determines which users and groups can change the time zone used by the computer for displaying the local time, which is the computer's system time plus the time zone offset. System time itself is absolute and is not affected by a change in the time zone.

This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of the workstations and servers.

Default: Administrators, Users
2062プロセス ワーキング セットの拡大

この特権は、プロセス ワーキング セットのサイズを拡大または縮小できるユーザー アカウントを指定します。

既定値: Users

プロセス ワーキング セットとは、当該プロセスが物理 RAM メモリにおいて現在アクセスできるメモリ ページのセットです。これらのページは実際にメモリ上にあり、ページ フォールトを発生させることなくアプリケーションから利用できます。ワーキング セットの最小および最大サイズは、プロセスの仮想メモリ ページング動作に影響します。

警告: 特定のプロセスのワーキング セット サイズを拡大すると、それ以外のシステム全体で利用できる物理メモリの量が減少します。
Increase a process working set

This privilege determines which user accounts can increase or decrease the size of a process’s working set.

Default: Users

The working set of a process is the set of memory pages currently visible to the process in physical RAM memory. These pages are resident and available for an application to use without triggering a page fault. The minimum and maximum working set sizes affect the virtual memory paging behavior of a process.

Warning: Increasing the working set size for a process decreases the amount of physical memory available to the rest of the system.
2063ネットワーク セキュリティ: NTLM を制限する: リモート サーバーに対する送信 NTLM トラフィック

このポリシー設定を使用すると、この Windows 7 またはこの Windows Server 2008 R2 コンピューターから任意の Windows リモート サーバーへの送信 NTLM トラフィックを拒否または監査できます。

[すべて許可する] を選択した場合、または、このポリシー設定を構成しない場合、クライアント コンピューターは NTLM 認証を使用して ID をリモート サーバーに対して認証できます。

[すべて監査する] を選択すると、クライアント コンピューターは、リモート サーバーに対する NTLM 認証要求 1 件ごとにイベントをログに記録します。これにより、クライアント コンピューターから NTLM 認証要求を受信したサーバーを特定できます。

[すべて拒否する] を選択すると、クライアント コンピューターは、NTLM 認証を使用して ID をリモート サーバーに対し認証できません。[ネットワーク セキュリティ: NTLM を制限する: NTLM 認証に対するリモート サーバーの例外を追加する] ポリシーを設定して、クライアントによる NTLM 認証の使用を許可するリモート サーバーの一覧を定義することができます。

このポリシーは、Windows 7 および Windows Server 2008 R2 以降でサポートされます。

注意: 監査およびブロック イベントは、このコンピューターの Applications and Services Log/Microsoft/Windows/NTLM にある "Operational" ログに記録されます。

Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers

This policy setting allows you to deny or audit outgoing NTLM traffic from this Windows 7 or this Windows Server 2008 R2 computer to any Windows remote server.

If you select "Allow all" or do not configure this policy setting, the client computer can authenticate identities to a remote server by using NTLM authentication.

If you select "Audit all," the client computer logs an event for each NTLM authentication request to a remote server. This allows you to identify those servers receiving NTLM authentication requests from the client computer.

If you select "Deny all," the client computer cannot authenticate identities to a remote server by using NTLM authentication. You can use the "Network security: Restrict NTLM: Add remote server exceptions for NTLM authentication" policy setting to define a list of remote servers to which clients are allowed to use NTLM authentication.

This policy is supported on at least Windows 7 or Windows Server 2008 R2.

Note: Audit and block events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM.

2064ネットワーク セキュリティ: NTLM を制限する: 着信 NTLM トラフィック

このポリシー設定を使用すると、着信 NTLM トラフィックを拒否または許可できます。

[すべて許可する] を選択した場合、または、このポリシー設定を構成しない場合、サーバーはすべての NTLM 認証要求を許可します。

[すべてのドメイン アカウントを拒否する] を選択した場合、サーバーはドメイン ログオンによる NTLM 認証要求を拒否し、NTLM をブロックしたことを示すエラーを表示しますが、ローカル アカウントのログオンは許可します。

[すべてのアカウントを拒否する] を選択した場合、サーバーは着信トラフィックからの NTLM 認証要求を拒否し、NTLM をブロックしたことを示すエラーを表示します。

このポリシーは、Windows 7 および Windows Server 2008 R2 以降でサポートされます。

注意: ブロック イベントは、このコンピューターの Applications and Services Log/Microsoft/Windows/NTLM にある "Operational" ログに記録されます。

Network security: Restrict NTLM: Incoming NTLM traffic

This policy setting allows you to deny or allow incoming NTLM traffic.

If you select "Allow all" or do not configure this policy setting, the server will allow all NTLM authentication requests.

If you select "Deny all domain accounts," the server will deny NTLM authentication requests for domain logon and display an NTLM blocked error, but allow local account logon.

If you select "Deny all accounts," the server will deny NTLM authentication requests from incoming traffic and display an NTLM blocked error.

This policy is supported on at least Windows 7 or Windows Server 2008 R2.

Note: Block events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM.

2065ネットワーク セキュリティ: NTLM を制限する: このドメイン内の NTLM 認証

このポリシー設定を使用すると、このドメイン コントローラーからドメイン内での NTLM 認証を拒否できます。このポリシー設定は、このドメイン コントローラーへの対話型ログオンには影響しません。

[無効にする] を選択した場合、または、このポリシー設定を構成しない場合、ドメイン コントローラーはドメイン内の NTLM パススルー認証要求をすべて許可します。

[ドメイン サーバーに対するドメイン アカウントについて拒否する] を選択した場合、ドメイン コントローラーは、ドメイン内のすべてのサーバーに対する、ドメイン アカウントを使用した NTLM 認証ログオン試行を拒否し、NTLM をブロックしたことを示すエラーを返します。ただし、[ネットワーク セキュリティ: NTLM を制限する: このドメインにサーバーの例外を追加する] ポリシー設定の例外一覧に当該サーバー名が含まれている場合を除きます。

[ドメイン アカウントに対して拒否する] を選択した場合、ドメイン コントローラーは、ドメイン アカウントからの NTLM 認証ログオン試行をすべて拒否し、NTLM をブロックしたことを示すエラーを返します。ただし、[ネットワーク セキュリティ: NTLM を制限する: このドメインにサーバーの例外を追加する] ポリシー設定の例外一覧に当該サーバー名が含まれている場合を除きます。

[ドメイン サーバーについて拒否する] を選択した場合、ドメイン コントローラーは、ドメイン内のすべてのサーバーに対する NTLM 認証要求を拒否し、NTLM をブロックしたことを示すエラーを返します。ただし、[ネットワーク セキュリティ: NTLM を制限する: このドメインにサーバーの例外を追加する] ポリシー設定の例外一覧に当該サーバー名が含まれている場合を除きます。

[すべて拒否する] を選択した場合、ドメイン コントローラーは、ドメイン内のサーバーからドメイン内のアカウントに関して発行される NTLM パススルー認証要求をすべて拒否し、NTLM をブロックしたことを示すエラーを返します。ただし、[ネットワーク セキュリティ: NTLM を制限する: このドメインにサーバーの例外を追加する] ポリシー設定の例外一覧に当該サーバー名が含まれている場合を除きます。

このポリシーは、Windows 7 および Windows Server 2008 R2 以降でサポートされます。

注意: ブロック イベントは、このコンピューターの Applications and Services Log/Microsoft/Windows/NTLM にある "Operational" ログに記録されます。

Network security: Restrict NTLM: NTLM authentication in this domain

This policy setting allows you to deny or allow NTLM authentication within a domain from this domain controller. This policy does not affect interactive logon to this domain controller.

If you select "Disabled" or do not configure this policy setting, the domain controller will allow all NTLM pass-through authentication requests within the domain.

If you select "Deny for domain accounts to domain servers" the domain controller will deny all NTLM authentication logon attempts to all servers in the domain that are using domain accounts and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting.

If you select "Deny for domain account" the domain controller will deny all NTLM authentication logon attempts from domain accounts and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting.

If you select "Deny for domain servers" the domain controller will deny NTLM authentication requests to all servers in the domain and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting.

If you select "Deny all," the domain controller will deny all NTLM pass-through authentication requests from its servers and for its accounts and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting.

This policy is supported on at least Windows Server 2008 R2.

Note: Block events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM.

2066ネットワーク セキュリティ: NTLM を制限する: NTLM 認証に対するリモート サーバーの例外を追加する

このポリシー設定を使用すると、[ネットワーク セキュリティ: NTLM を制限する: リモート サーバーに対する送信 NTLM トラフィック] ポリシー設定を構成している場合に、クライアントに NTLM 認証の使用を許可するリモート サーバーの例外一覧を作成できます。

このポリシー設定を構成すると、クライアントに NTLM 認証の使用を許可するリモート サーバーの一覧を定義できます。

このポリシー設定を構成しない場合、例外は適用されません。

この例外一覧には、サーバー名を、アプリケーションで使用される完全修飾ドメイン名 (FQDN) または NetBIOS サーバー名の形式で各行に 1 つずつ指定します。例外を確実に適用するには、すべてのアプリケーションで使用されるサーバー名を例外一覧に含める必要があります。また、正確な例外一覧を作成するには、両方の形式で指定したサーバー名を一覧に含める必要があります。名前の文字列の任意の場所に、ワイルドカード文字として 1 個のアスタリスク (*) を含めることができます。

Network security: Restrict NTLM: Add remote server exceptions for NTLM authentication

This policy setting allows you to create an exception list of remote servers to which clients are allowed to use NTLM authentication if the "Network Security: Restrict NTLM: Outgoing NTLM traffic to remote servers" policy setting is configured.

If you configure this policy setting, you can define a list of remote servers to which clients are allowed to use NTLM authentication.

If you do not configure this policy setting, no exceptions will be applied.

The naming format for servers on this exception list is the fully qualified domain name (FQDN) or NetBIOS server name used by the application, listed one per line. To ensure exceptions the name used by all applications needs to be in the list, and to ensure an exception is accurate, the server name should be listed in both naming formats . A single asterisk (*) can be used anywhere in the string as a wildcard character.

2067ネットワーク セキュリティ: NTLM を制限する: このドメインにサーバーの例外を追加する

このポリシー設定を使用すると、[ネットワーク セキュリティ: NTLM を制限する: このドメイン内の NTLM 認証を拒否する] を指定したときクライアントに NTLM パススルー認証の使用を許可するサーバーの例外一覧を作成できます。

このポリシー設定を構成した場合、このドメイン内でクライアントに NTLM 認証の使用を許可するサーバーの一覧を定義できます。

このポリシー設定を構成しない場合、例外は適用されません。

この例外一覧には、サーバー名を、呼び出し元アプリケーションによって使用される完全修飾ドメイン名 (FQDN) または NetBIOS サーバー名の形式で各行に 1 つずつ指定します。文字列の先頭または末尾に、ワイルドカード文字としてアスタリスク (*) 1 個を付けることができます。

Network security: Restrict NTLM: Add server exceptions in this domain

This policy setting allows you to create an exception list of servers in this domain to which clients are allowed to use NTLM pass-through authentication if the "Network Security: Restrict NTLM: Deny NTLM authentication in this domain" is set.

If you configure this policy setting, you can define a list of servers in this domain to which clients are allowed to use NTLM authentication.

If you do not configure this policy setting, no exceptions will be applied.

The naming format for servers on this exception list is the fully qualified domain name (FQDN) or NetBIOS server name used by the calling application listed one per line. A single asterisk (*) can be used at the beginning or end of the string as a wildcard character.

2068ネットワーク セキュリティ: LocalSystem による NULL セッション フォールバックを許可する

NTLM を LocalSystem で使用する場合に NULL セッションへのフォールバックを許可します。

既定値は、Windows Vista 以前の場合は TRUE、Windows 7 の場合は FALSE です。

Network security: Allow LocalSystem NULL session fallback

Allow NTLM to fall back to NULL session when used with LocalSystem.

The default is TRUE up to Windows Vista and FALSE in Windows 7.

2069ネットワーク セキュリティ: Kerberos で許可する暗号化の種類を構成する

このポリシー設定を使用すると、Kerberos での使用を許可する暗号化の種類を設定できます。

選択していない暗号化の種類は許可されません。この設定はクライアント コンピューターまたはサービスとアプリケーションの互換性に影響することがあります。暗号化の種類は複数選択することもできます。

このポリシーは、Windows 7 および Windows Server 2008 R2 以降でサポートされます。

Network security: Configure encryption types allowed for Kerberos

This policy setting allows you to set the encryption types that Kerberos is allowed to use.

If not selected, the encryption type will not be allowed. This setting may affect compatibility with client computers or services and applications. Multiple selections are permitted.

This policy is supported on at least Windows 7 or Windows Server 2008 R2.

2071ネットワーク セキュリティ: オンライン ID を使用するためのこのコンピューターへの PKU2U 認証要求を許可する

このポリシーは、ドメインに参加しているコンピューターでは既定でオフになります。オフの場合、ドメインに参加しているコンピューターに対してオンライン ID による認証は実行されません。

Network security: Allow PKU2U authentication requests to this computer to use online identities.

This policy will be turned off by default on domain joined machines. This would prevent online identities from authenticating to the domain joined machine.

2072ネットワーク セキュリティ: NTLM を制限する: 着信 NTLM トラフィックを監査する

このポリシー設定を使用すると、着信 NTLM トラフィックを監査できます。

[無効にする] を選択した場合、または、このポリシー設定を構成しない場合、サーバーは着信 NTLM トラフィックについてイベントをログに記録しません。

[ドメイン アカウントに対して監査を有効にする] を選択した場合、サーバーは、[ネットワーク セキュリティ: NTLM を制限する: 着信 NTLM トラフィック] ポリシー設定で [すべてのドメイン アカウントを拒否する] オプションを選択した場合にブロックされることになる NTLM パススルー認証要求についてイベントをログに記録します。

[すべてのアカウントに対して監査を有効にする] を選択した場合、サーバーは、[ネットワーク セキュリティ: NTLM を制限する: 着信 NTLM トラフィック] ポリシー設定で [すべてのアカウントを拒否する] オプションを選択した場合にブロックされることになるすべての NTLM 認証要求についてイベントをログに記録します。

このポリシーは、Windows 7 および Windows Server 2008 R2 以降でサポートされます。

注意: 監査イベントは、このコンピューターの Applications and Services Log/Microsoft/Windows/NTLM にある "Operational" ログに記録されます。

Network security: Restrict NTLM: Audit Incoming NTLM Traffic

This policy setting allows you to audit incoming NTLM traffic.

If you select "Disable", or do not configure this policy setting, the server will not log events for incoming NTLM traffic.

If you select "Enable auditing for domain accounts", the server will log events for NTLM pass-through authentication requests that would be blocked when the "Network Security: Restrict NTLM: Incoming NTLM traffic" policy setting is set to the "Deny all domain accounts" option.

If you select "Enable auditing for all accounts", the server will log events for all NTLM authentication requests that would be blocked when the "Network Security: Restrict NTLM: Incoming NTLM traffic" policy setting is set to the "Deny all accounts" option.

This policy is supported on at least Windows 7 or Windows Server 2008 R2.

Note: Audit events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM.

2073ネットワーク セキュリティ: NTLM を制限する: このドメイン内の NTLM 認証を監査する

このポリシー設定を使用すると、このドメイン コントローラーから、ドメイン内の NTLM 認証を監査できます。

[無効にする] を選択した場合、または、このポリシー設定を構成しない場合、ドメイン コントローラーはこのドメイン内の NTLM 認証についてイベントをログに記録しません。

[ドメイン サーバーに対するドメイン アカウントについて有効にする] を選択した場合、ドメイン コントローラーは [ネットワーク セキュリティ: NTLM を制限する: このドメイン内の NTLM 認証] ポリシー設定で [ドメイン サーバーに対するドメイン アカウントについて拒否する] を選択した場合に拒否されることになる、ドメイン サーバーに対するドメイン アカウントからの NTLM 認証要求についてイベントをログに記録します。

[ドメイン アカウントに対して有効にする] を選択した場合、ドメイン コントローラーは、[ネットワーク セキュリティ: NTLM を制限する: このドメイン内の NTLM 認証] ポリシー設定で [ドメイン アカウントに対して拒否する] を選択した場合に拒否されることになる、ドメイン アカウントを使用した NTLM 認証ログオン試行についてイベントをログに記録します。

[ドメイン サーバーに対して有効にする] を選択した場合、ドメイン コントローラーは、[ネットワーク セキュリティ: NTLM を制限する: このドメイン内の NTLM 認証] ポリシー設定で [ドメイン サーバーについて拒否する] を選択した場合に拒否されることになる、ドメイン内のすべてのサーバーに対する NTLM 認証要求についてイベントをログに記録します。

[すべて有効にする] を選択した場合、ドメイン コントローラーは、[ネットワーク セキュリティ: NTLM を制限する: このドメイン内の NTLM 認証] ポリシー設定で [すべて拒否する] を選択した場合に拒否されることになる、ドメイン内のサーバーおよびアカウントから発行される NTLM パススルー認証要求についてイベントをログに記録します。

このポリシーは、Windows 7 および Windows Server 2008 R2 以降でサポートされます。

注意: 監査イベントは、このコンピューターの Applications and Services Log/Microsoft/Windows/NTLM にある "Operational" ログに記録されます。

Network security: Restrict NTLM: Audit NTLM authentication in this domain

This policy setting allows you to audit NTLM authentication in a domain from this domain controller.

If you select "Disable" or do not configure this policy setting, the domain controller will not log events for NTLM authentication in this domain.

If you select "Enable for domain accounts to domain servers," the domain controller will log events for NTLM authentication logon attempts for domain accounts to domain servers when NTLM authentication would be denied because "Deny for domain accounts to domain servers" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting.

If you select "Enable for domain accounts," the domain controller will log events for NTLM authentication logon attempts that use domain accounts when NTLM authentication would be denied because "Deny for domain accounts" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting.

If you select "Enable for domain servers" the domain controller will log events for NTLM authentication requests to all servers in the domain when NTLM authentication would be denied because "Deny for domain servers" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting.

If you select "Enable all" the domain controller will log events for NTLM pass-through authentication requests from its servers and for its accounts which would be denied because "Deny all" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting.

This policy is supported on at least Windows Server 2008 R2.

Note: Audit events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM.

2074ネットワーク セキュリティ: NTLM で Local System によるコンピューター ID の使用を許可する

このポリシー設定を使用すると、Negotiate を使用するローカル システム サービスが NTLM 認証にフォールバックするときにコンピューター ID を使用することを許可できます。

このポリシー設定を有効にした場合、Local System として実行され、Negotiate を使用するサービスは、コンピューター ID を使用します。その結果、Windows オペレーティング システム間で行われる一部の認証要求が失敗し、エラーが記録される可能性があります。

このポリシー設定を無効にした場合、Local System として実行され、NTLM 認証にフォールバックするときに Negotiate を使用するサービスは、匿名で認証されます。

Windows 7 以降では、このポリシーは既定で有効になっています。

Windows Vista では、このポリシーは既定で無効になっています。

このポリシーは、Windows Vista および Windows Server 2008 以降でサポートされます。

注意: Windows Vista または Windows Server 2008 では、この設定はグループ ポリシーに公開されていません。

Network security: Allow Local System to use computer identity for NTLM

This policy setting allows Local System services that use Negotiate to use the computer identity when reverting to NTLM authentication.

If you enable this policy setting, services running as Local System that use Negotiate will use the computer identity. This might cause some authentication requests between Windows operating systems to fail and log an error.

If you disable this policy setting, services running as Local System that use Negotiate when reverting to NTLM authentication will authenticate anonymously.

By default, this policy is enabled on Windows 7 and above.

By default, this policy is disabled on Windows Vista.

This policy is supported on at least Windows Vista or Windows Server 2008.

Note: Windows Vista or Windows Server 2008 do not expose this setting in Group Policy.

2075Microsoft ネットワーク サーバー: サーバー SPN ターゲット名検証レベル

このポリシー設定は、共有フォルダーやプリンターを所有しているコンピューター (サーバー) が、サーバー メッセージ ブロック (SMB) プロトコルを使ってセッションを確立するときに、クライアント コンピューターから提供されたサーバー プリンシパル名 (SPN) に対して実行する検証のレベルを制御します。

サーバー メッセージ ブロック (SMB) プロトコルは、ファイルとプリンターの共有およびそのほかのネットワーク操作 (リモート Windows 管理など) の基盤を提供するものです。SMB プロトコルは、SMB クライアントによって提供された認証 BLOB 内での SMB サーバー サービス プリンシパル名 (SPN) の検証をサポートします。これは SMB リレー攻撃と呼ばれる SMB サーバーに対する一連の攻撃を避けるためです。この設定は SMB1 および SMB2 の両方に影響します。

このセキュリティ設定は、クライアントが SMB サーバーへのセッションを確立しようとするときに提供するサービス プリンシパル名 (SPN) に対し、SMB サーバーが実行する検証のレベルを決定するものです。

オプションは以下のとおりです:

オフ – SMB クライアントからの SPN は SMB によって要求および検証されません。

クライアントによって提供される場合は受け入れる - SMB サーバーは SMB クライアントによって提供された SPN を受け入れ、検証します。SMB サーバーの SPN の一覧に一致した場合、セッションの確立を許可します。SPN が一致しない場合、その SMB クライアントのセッション要求は拒否されます。

クライアントに要求 - SMB クライアントはセッションのセットアップ時に SPN 名を送信する必要があります。また、提供された SPN 名は接続の確立を要求している SMB サーバーのものと一致する必要があります。SPN がクライアントから提供されない場合、また提供された SPN が一致しない場合は、セッションは拒否されます。

既定値: オフ

すべての Windows オペレーティング システムにおいて、クライアント サイドの SMB コンポーネントおよびサーバー サイドの SMB コンポーネントの両方がサポートされています。この設定はサーバーの SMB 動作に影響するため、ファイルやプリンターのサービスが中断されたりしないよう、実装する前に十分な評価およびテストを行ってください。このポリシーを実装して SMB サーバーを保護することに関する追加の情報は Microsoft の Web サイト (https://go.microsoft.com/fwlink/?LinkId=144505) を参照してください。
Microsoft network server: Server SPN target name validation level

This policy setting controls the level of validation a computer with shared folders or printers (the server) performs on the service principal name (SPN) that is provided by the client computer when it establishes a session using the server message block (SMB) protocol.

The server message block (SMB) protocol provides the basis for file and print sharing and other networking operations, such as remote Windows administration. The SMB protocol supports validating the SMB server service principal name (SPN) within the authentication blob provided by a SMB client to prevent a class of attacks against SMB servers referred to as SMB relay attacks. This setting will affect both SMB1 and SMB2.

This security setting determines the level of validation a SMB server performs on the service principal name (SPN) provided by the SMB client when trying to establish a session to an SMB server.

The options are:

Off – the SPN is not required or validated by the SMB server from a SMB client.

Accept if provided by client – the SMB server will accept and validate the SPN provided by the SMB client and allow a session to be established if it matches the SMB server’s list of SPN’s for itself. If the SPN does NOT match, the session request for that SMB client will be denied.

Required from client - the SMB client MUST send a SPN name in session setup, and the SPN name provided MUST match the SMB server that is being requested to establish a connection. If no SPN is provided by client, or the SPN provided does not match, the session is denied.

Default: Off

All Windows operating systems support both a client-side SMB component and a server-side SMB component. This setting affects the server SMB behavior, and its implementation should be carefully evaluated and tested to prevent disruptions to file and print serving capabilities. Additional information on implementing and using this to secure your SMB servers can be found at the Microsoft website (https://go.microsoft.com/fwlink/?LinkId=144505).
2076Microsoft ネットワーク サーバー: S4U2Self を試行して要求情報を取得する

このセキュリティ設定は、ユーザー要求を必要とするファイル共有にアクセスしようとする、Windows 8 より前のバージョンの Windows を実行しているクライアントをサポートするためのものです。この設定は、ローカル ファイル サーバーが Kerberos Service-For-User-To-Self (S4U2Self) 機能を使用して、ネットワーク クライアント プリンシパルの要求をクライアントのアカウント ドメインから取得しようとするかどうかを決定します。この設定は、ファイル サーバーがファイル アクセスの制御にユーザー要求を使用していて、ファイル サーバーによってサポートされるクライアント プリンシパルのアカウントが、Windows 8 より前のバージョンの Windows を実行しているクライアント コンピューターとドメイン コントローラーを含むドメインに存在する可能性がある場合にのみ有効にしてください。

この設定は、要求がユーザーに必要かどうかをファイル サーバーが自動的に評価できるように、自動 (既定値) に設定する必要があります。管理者は、ユーザー要求を含むローカル ファイル アクセス ポリシーが存在する場合にのみ、この設定を明示的に "有効" に設定します。

このセキュリティ設定を有効にすると、Windows ファイル サーバーは認証済みのネットワーク クライアント プリンシパルのアクセス トークンを調べて、要求情報が存在するかどうかを判断します。要求が存在しない場合は、Kerberos S4U2Self 機能を使用して、クライアントのアカウント ドメインの Windows Server 2012 ドメイン コントローラーにアクセスし、要求が有効になっているクライアント プリンシパルのアクセス トークンを取得しようとします。要求が有効になっているトークンは、要求に基づくアクセス制御ポリシーが適用されているファイルまたはフォルダーにアクセスするために必要になる場合があります。

この設定が無効になっている場合、Windows ファイル サーバーは要求が有効になっているクライアント プリンシパルのアクセス トークンを取得しようとしません。

既定値: 自動。
Microsoft network server: Attempt S4U2Self to obtain claim information

This security setting is to support clients running a version of Windows prior to Windows 8 that are trying to access a file share that requires user claims. This setting determines whether the local file server will attempt to use Kerberos Service-For-User-To-Self (S4U2Self) functionality to obtain a network client principal’s claims from the client’s account domain. This setting should only be set to enabled if the file server is using user claims to control access to files, and if the file server will support client principals whose accounts may be in a domain which has client computers and domain controllers running a version of Windows prior to Windows 8.

This setting should be set to automatic (default) so that the file server can automatically evaluate whether claims are needed for the user. An administrator would want to set this setting explicitly to “Enabled” only if there are local file access policies that include user claims.

When enabled this security setting will cause the Windows file server to examine the access token of an authenticated network client principal and determine if claim information is present. If claims are not present the file server will then use the Kerberos S4U2Self feature to attempt to contact a Windows Server 2012 domain controller in the client’s account domain, and obtain a claims-enabled access token for the client principal. A claims-enabled token may be needed to access files or folders which have claim-based access control policy applied.

If this setting is disabled, the Windows file server will not attempt to obtain a claim-enabled access token for the client principal.

Default: Automatic.
2077アカウント: Microsoft アカウントをブロックします

このポリシーを設定すると、ユーザーはこのコンピューターに新しい Microsoft アカウントを追加できなくなります。

[ユーザーは Microsoft アカウントを追加できない] オプションを選択すると、ユーザーはこのコンピューターで新しい Microsoft アカウントを作成したり、ローカル アカウントを Microsoft アカウントに切り替えたり、ドメイン アカウントを Microsoft アカウントに接続したりできなくなります。これは、社内の Microsoft アカウントの使用を制限する必要がある場合の推奨オプションです。

[ユーザーは Microsoft アカウントを追加または Microsoft アカウントでログオンできない] オプションを選択すると、既存の Microsoft アカウント ユーザーは Windows にログオンできなくなります。このオプションを選択すると、このコンピューターの既存の管理者はシステムにログオンして管理することができません。

このポリシーを無効にするか、設定しない場合 (推奨)、ユーザーは Windows で Microsoft アカウントを使用できるようになります。
Accounts: Block Microsoft accounts

This policy setting prevents users from adding new Microsoft accounts on this computer.

If you select the "Users can’t add Microsoft accounts" option, users will not be able to create new Microsoft accounts on this computer, switch a local account to a Microsoft account, or connect a domain account to a Microsoft account. This is the preferred option if you need to limit the use of Microsoft accounts in your enterprise.

If you select the "Users can’t add or log on with Microsoft accounts" option, existing Microsoft account users will not be able to log on to Windows. Selecting this option might make it impossible for an existing administrator on this computer to log on and manage the system.

If you disable or do not configure this policy (recommended), users will be able to use Microsoft accounts with Windows.
2078対話型ログオン: コンピューター アカウントのしきい値

コンピューター ロックアウト ポリシーは、OS ボリュームの保護のために Bitlocker が有効になっているコンピューターにのみ適用されます。適切な回復パスワード バックアップ ポリシーが有効になっていることを確認してください。

このセキュリティ設定は、ユーザー アカウントがロックアウトされる原因となるログオン失敗回数を決定します。ロックアウトされたコンピューターは、コンソールで回復キーを入力することによってのみ回復できます。ログオン失敗回数として 1 から 999 までの値を設定できます。この値を 0 に設定すると、コンピューターがロックアウトされることはありません。1 から 3 の値は 4 として解釈されます。

Ctrl + Alt + Del キーまたはパスワードで保護されたスクリーン セーバーを使ってロックされているワークステーションまたはメンバー サーバーの場合、パスワードの失敗はログオンの失敗としてカウントされます。

コンピューター ロックアウト ポリシーは、OS ボリュームの保護のために Bitlocker が有効になっているコンピューターにのみ適用されます。適切な回復パスワード バックアップ ポリシーが有効になっていることを確認してください。

既定値: 0
Interactive logon: Machine account threshold.

The machine lockout policy is enforced only on those machines that have Bitlocker enabled for protecting OS volumes. Please ensure that appropriate recovery password backup policies are enabled.

This security setting determines the number of failed logon attempts that causes the machine to be locked out. A locked out machine can only be recovered by providing recovery key at console. You can set the value between 1 and 999 failed logon attempts. If you set the value to 0, the machine will never be locked out. Values from 1 to 3 will be interpreted as 4.

Failed password attempts against workstations or member servers that have been locked using either CTRL+ALT+DELETE or password protected screen savers counts as failed logon attempts.

The machine lockout policy is enforced only on those machines that have Bitlocker enabled for protecting OS volumes. Please ensure that the appropriate recovery password backup policies are enabled.

Default: 0.
2079対話型ログオン: コンピューターの非アクティブ状態の上限。

Windows ではログオン セッションの非アクティブ状態が通知され、非アクティブ状態の時間が非アクティブ状態の上限を超えると、スクリーン セーバーが作動し、セッションがロックされます。

既定値: 適用しない。
Interactive logon: Machine inactivity limit.

Windows notices inactivity of a logon session, and if the amount of inactive time exceeds the inactivity limit, then the screen saver will run, locking the session.

Default: not enforced.
2080同じセッションで別のユーザーの偽装トークンを取得します。

ユーザーにこの特権を割り当てると、そのユーザーに代わって実行されるプログラムが、同じセッションで対話的にログオンしている他のユーザーの偽装トークンを取得できるようになります (ただし、呼び出し元がセッション ユーザーの偽装トークンを持っている場合)。すべてのユーザーが別々のセッションでログオンするデスクトップの Windows クライアント/サーバーには適用されません。
Obtain an impersonation token for another user in the same session.

Assigning this privilege to a user allows programs running on behalf of that user to obtain an impersonation token of other users who interactively logged on within the same session provided the caller has an impersonation token of the session user. Not applicable within desktop windows client/server where every user gets a separate session.
2081ネットワーク アクセス: SAM へのリモート呼び出しを許可するクライアントを制限する

このポリシー設定では、SAM へのリモート RPC 接続を制限することができます。

選択されていない場合は、既定のセキュリティ記述子が使用されます。

このポリシーは、Windows Server 2016 またはそれ以降でサポートされます。

Network access: Restrict clients allowed to make remote calls to SAM

This policy setting allows you to restrict remote rpc connections to SAM.

If not selected, the default security descriptor will be used.

This policy is supported on at least Windows Server 2016.

2082対話型ログオン: サインイン時にユーザー名を表示しない
このセキュリティ設定は、この PC にサインインするユーザーのユーザー名を、Windows サインイン時、資格情報の入力後、および PC デスクトップの表示前に表示するかどうかを決定します。
このポリシーを有効にした場合、ユーザー名は表示されません。

このポリシーを無効にした場合、ユーザー名が表示されます。

既定値: 無効。


Interactive logon: Don't display username at sign-in
This security setting determines whether the username of the person signing in to this PC appears at Windows sign-in, after credentials are entered, and before the PC desktop is shown.
If this policy is enabled, the username will not be shown.

If this policy is disabled, the username will be shown.

Default: Disabled.


57343このサービスのセキュリティ設定を変更しようとしています。サービスの既定のセキュリティを変更すると、このサービスとそのサービスに依存する他のサービスとの間で構成が一致しなくなり、問題が生じる可能性があります。

続行しますか?
You are about to change the security settings for this service. Changing the default security for the service could cause problems due to inconsistent configuration between this service and other services that rely on it.

Do you want to continue?
57345このコンピューターのローカル コンピューター ポリシーへ新しいテンプレート情報をインポートしようとしています。実行するとコンピューターのセキュリティの設定を変更します。続行しますか? You are about to import new template information into the local computer policy for this computer. Doing so will change your computer security settings. Do you want to continue?
57346コンピューター セキュリティの構成 Configuring Computer Security
57350現在のセキュリティの構成データベース: ローカル ポリシー データベース %s Current Security Configuration Database: Local Policy Database %s
57351現在のセキュリティの構成データベース: プライベート データベース %s Current Security Configuration Database: Private Database %s
57352分析情報の作成 Generating analysis information
57353インポートに失敗しました Import Failed
57354サブアイテムが定義されました Subitems defined
57355利用不可 Not Available
57356新しいサービス New Service
57357構成中: Configuring:
57358ファイルの追加(&F)...
このテンプレートに新しいファイルまたはフォルダーを追加します
Add &File...
Adds a new file or folder to this template
57359テンプレートにこのファイルまたはフォルダーを追加します: Add this file or folder to the template:
57360ファイルまたはフォルダーを追加します Add a file or folder
57361Microsoft Corporation Microsoft Corporation
5736210.0 10.0
57363セキュリティ テンプレートはセキュリティ テンプレート ファイルの編集機能を提供する MMC スナップインです。 Security Templates is an MMC snap-in that provides editing capabilities for security template files.
57364セキュリティの構成と分析はセキュリティ テンプレート ファイルを使って、 Windows コンピューターのセキュリティの構成と分析機能を提供する MMC スナップインです。 Security Configuration and Analysis is an MMC snap-in that provides security configuration and analysis for Windows computers using security template files.
57365セキュリティ設定の拡張スナップインはグループ ポリシー スナップインを拡張し、ドメインのコンピューターのセキュリティ ポリシーを定義します。 The Security Settings Extension snap-in extends the Group Policy snap-in and helps you define security policies for computers in your domain.
57366ポリシーのインポート(&I)...
このポリシー オブジェクトにテンプレート ファイルをインポートします。
&Import Policy...
Import a template file into this policy object.
57367ポリシーのエクスポート(&X)...
このポリシー オブジェクトからテンプレートをエクスポートします。
E&xport policy...
Export template from this policy to a file.
57368ファイル %s は既に存在します。
このファイルを上書きしますか?
File %s already exists.
Do you want to overwrite it?
57370失敗 Failure
57371監査しない No auditing
57372ポリシーを更新できません。 Windows cannot update the policies.
57373セクションをコピーできません Windows cannot copy the section
57374追加するファイルを選択してください Select File to Add
57375データベースを開く Open database
57376データベースを作成する Create Database
57377ポリシーのエクスポート Export Policy To
57378ポリシーのインポート Import Policy From
57380テンプレートのインポート Import Template
57381テンプレートのエクスポート Export Template To
57384ローカル ポリシー データベースを開けません Windows cannot open the local policy database.
57385Local Policy Database Local Policy Database
57386セキュリティの構成と分析スナップインからローカル セキュリティの設定のデータベースを編集できません。ローカル セキュリティの設定を編集するには、グループ ポリシー スナップインを使用してください。 The local security settings database cannot be edited from the Security Configuration and Analysis snap-in. Use the Group Policy snap-in to edit the local security settings.
57387\help\75393cf0-f17a-453d-98a9-592b009289c2.chm \help\75393cf0-f17a-453d-98a9-592b009289c2.chm
57388\help\1da6be45-e97d-4584-bbf9-356d319f20c2.chm \help\1da6be45-e97d-4584-bbf9-356d319f20c2.chm
57389\help\941b4573-563f-45fd-8a2f-0b8a197a5d2c.chm \help\941b4573-563f-45fd-8a2f-0b8a197a5d2c.chm
57390\help\sceconcepts.chm::/75393cf0-f17a-453d-98a9-592b009289c2.htm \help\sceconcepts.chm::/75393cf0-f17a-453d-98a9-592b009289c2.htm
57391\help\scmconcepts.chm::/1da6be45-e97d-4584-bbf9-356d319f20c2.htm \help\scmconcepts.chm::/1da6be45-e97d-4584-bbf9-356d319f20c2.htm
57392\help\secsetconcepts.chm::/941b4573-563f-45fd-8a2f-0b8a197a5d2c.htm \help\secsetconcepts.chm::/941b4573-563f-45fd-8a2f-0b8a197a5d2c.htm
57394コンピューターに新しいポリシーの設定があります。有効なポリシーの表示を更新しますか? There are new policy settings on your computer. Do you want to update your view of the effective policy?
57395%s のコンピューターの設定 Computer setting on %s
57396テンプレート ファイルが選択されていなかったため、このデータベースを作成できませんでした。
既存のデータベースを開く[セキュリティの構成と分析] のを右クリックします。[データベースを開く] を選択します。 データベースを選択し [開く] をクリックします。 新しいデータベースの作成 [セキュリティの構成と分析 ] を右クリックします。 [データベースを開く] を選択します。 新しいデータベース名を入力して [開く] をクリックします。 インポートするセキュリティの構成ファイルを選択して [開く] をクリックします。
This database couldn't be created because no template file was selected.
To Open an Existing DatabaseRight click on the Security Configuration and Analysis scope item. Choose Open Database Choose a database and press OPEN To Create a New Database Right click on the Security Configuration and Analysis scope item. Choose Open Database. Type in a new database name and press OPEN. Choose a security configuration file to import and press OPEN.
57397すべてのサブ キーの既存のアクセス許可を継承可能なアクセス許可で置き換える(&R) &Replace existing permissions on all subkeys with inheritable permissions
57398継承可能なアクセス許可をすべてのサブ キーに伝達する(&P) &Propagate inheritable permissions to all subkeys
57399このキーのアクセス許可の置き換えを許可しない(&D) &Do not allow permissions on this key to be replaced
57400%s のメンバーシップの構成 Configure Membership for %s
57401チケットの有効期間: Ticket expires in:
57402チケットは無期限です。 Ticket doesn't expire.
57403チケットの更新の有効期間: Ticket renewal expires in:
57404チケットの更新は無効です。 Ticket renewal is disabled.
57405最長トレランス: Maximum tolerance:
57407該当なし Not Applicable
57410ユーザーとグループ名 User and group names
57411ユーザーまたはグループの追加 Add User or Group
57412クライアントを切断しない: Do not disconnect clients:
57413アイドル時間が次を超えたら切断する: Disconnect when idle time exceeds:
57414ログオンをキャッシュしない: Do not cache logons:
57415キャッシュ: Cache:
57416パスワードが切れる前に通知する日数: Begin prompting this many days before password expires:
57418このキーを構成し、次の操作を実行する(&C) &Configure this key then
57419グローバルな場所の説明を保存できませんでした Could not save global location description
57420場所の説明を保存できませんでした Could not save location description
57421再読み込み
セキュリティ ポリシーを再度読み込みます
Reload
Reload the security policy
57422再度読み込む前に %1 に変更を保存しますか? Save changes to %1 before reloading it?
57423ローカル セキュリティ設定 Local Security Settings
57424WSecEdit Security Settings Class WSecEdit Security Settings Class
57425WSecEdit Local Security Settings Class WSecEdit Local Security Settings Class
57428ローカル セキュリティ設定のスナップインでローカル システムのセキュリティを定義します。 The Local Security Settings snap-in helps you define security on the local system.
57430WSecEdit RSOP Security Settings Class WSecEdit RSOP Security Settings Class
57431RSOP セキュリティ設定拡張のスナップインで RSOP スナップインを拡張してドメインのコンピューターのセキュリティ ポリシーの結果表示を行います。 The RSOP Security Settings Extension snap-in extends the RSOP snap-in and helps you view resultant security policies for computers in your domain.
57435適用(&A) &Apply
57436このコンピューターに適用されるグループ ポリシー セキュリティの設定を判別できません。
ローカル セキュリティ ポリシーのデータベース (%%windir%%\security\database\secedit.sdb) からこれらの設定を取得中に、次のエラーが返されました: %s
ローカル セキュリティ設定はすべて表示されますが、グループ ポリシーで指定のセキュリティ ポリシーが定義されているかどうか表示されません。
このユーザー インターフェイスを通して変更された、どのローカル セキュリティ設定も、直後にドメイン レベルのポリシーにより上書きされる可能性があります。
The Group Policy security settings that apply to this machine could not be determined.
The error returned when trying to retrieve these settings from the local security policy database (%%windir%%\security\database\secedit.sdb) was: %s
All local security settings will be displayed, but no indication will be given as to whether or not a given security setting is defined by Group Policy.
Any local security setting modified through this User Interface may subsequently be overridden by domain-level policies.
57437このコンピューターに適用されるグループ ポリシー セキュリティの設定を判別できません。
ローカル ポリシーのデータベース (%%windir%%\security\database\secedit.sdb) からこれらの設定を取得中に、次のエラーが返されました: %s
ローカル セキュリティ設定はすべて表示されますが、グループ ポリシーで指定のセキュリティ ポリシーが定義されているかどうか表示されません。
The Group Policy security settings that apply to this machine could not be determined.
The error received when trying to retrieve these settings from the local policy database (%%windir%%\security\database\secedit.sdb) was: %s
All local security settings will be displayed, but no indication will be given as to whether or not a given security setting is defined by Group Policy.
57438ログファイル: Log file:
57439ポリシー名 Policy Name
57440設定 Setting
57441ポリシー %1 は正しく適用されました。 The policy %1 was correctly applied.
57442このオブジェクトの子を構成するときにエラーが発生しました。 (またはポリシー エンジンが特定のポリシー設定の子の構成を試みて失敗しました。) 詳細な情報は %windir%\security\logs\winlogon.log を参照してください。 There was an error configuring a child of this object. (or The policy engine attempted and failed to configure the child of a specific policy setting.) For more information, see %windir%\security\logs\winlogon.log
57443ポリシー %1 により次のエラーが発生しました: %2. 詳細な情報は、対象となるコンピューターの %windir%\security\logs\winlogon.log を参照してください。 The policy %1 resulted in the following error %2. For more information, see %windir%\security\logs\winlogon.log on the target machine.
57444ポリシー %1 により状態が無効になり、ログ記録されました。詳細な情報は対象となるコンピューターの %%windir%%\security\logs\winlogon.log を参照してください。 The policy %1 resulted in an invalid status and was logged. See %%windir%%\security\logs\winlogon.log on the target machine for more information.
57445ポリシー エンジンは設定の構成を試みませんでした。詳細な情報は対象となるコンピューターの %windir%\security\logs\winlogon.log を参照してください。 The policy engine did not attempt to configure the setting. For more information, see %windir%\security\logs\winlogon.log on the target machine.
57446セキュリティの表示(&V)... &View Security...
57447テンプレートを %1 にエクスポートできませんでした。
次のエラーが返されました: %2
Couldn't export template to %1.
The error returned was: %2
57448セキュリティ データベースに変更を保存しますか? Save changes to Security Database?
57449リモート デスクトップ サービスを使ったログオンを拒否 Deny log on through Remote Desktop Services
57450リモート デスクトップ サービスを使ったログオンを許可 Allow log on through Remote Desktop Services
57451テンプレート検索パスを追加できませんでした Couldn't add template search path
57453\Security\Logs \Security\Logs
57454このグループ ポリシーのセキュリティ部分は PDC エミュレーターでのみ編集できます。 The security portion of this group policy may only be edited on the PDC Emulator.
57455この設定は Windows 2000 Service Pack 1 またはそれ以前のバージョンを実行中のコンピューターとは互換性がありません。この設定を含むグループ ポリシー オブジェクトは、それより新しいバージョンのオペレーティング システムにのみ適用してください。 This setting is not compatible with computers running Windows 2000 Service Pack 1 or earlier. Apply Group Policy objects containing this setting only to computers running a later version of the operating system.
57456%1 を削除する前にプロパティ ページをすべて閉じてください。 Close all property pages before deleting %1
57457値は %d から %d の間でなければなりません Value must be between %d and %d
57458ネットワーク アクセス: 匿名の SID と名前の変換を許可する Network access: Allow anonymous SID/Name translation
57459管理者に、ローカルにログオンする許可を与えなければなりません。 Administrators must be granted the logon local right.
57460すべてのユーザーまたは管理者によるローカルへのログオンを拒否することはできません。 You cannot deny all users or administrator(s) from logging on locally.
57461いくつかのアカウントは翻訳できません。 Some accounts cannot be translated.
57462変更を適用する、またはこのプロパティ シートを閉じるには、二次ウィンドウをすべて閉じてください。 To apply your changes or close this property sheet, close all secondary windows.
57463そのウィンドウは開くことができません。Windows はそのプロパティ シートの UI スレッドを作成できません。 The window cannot be opened. Windows cannot create a UI thread for the property sheet.
57464\help\lpeconcepts.chm::/29a1325e-50b4-4963-a36e-979caa9ea094.htm \help\lpeconcepts.chm::/29a1325e-50b4-4963-a36e-979caa9ea094.htm
57465ヘルプ What's this?
57466sct sct
57467\help\29a1325e-50b4-4963-a36e-979caa9ea094.chm \help\29a1325e-50b4-4963-a36e-979caa9ea094.chm
57468値は %d から %d の間、もしくは 0 でなければなりません Value must be between %d and %d or 0
57469この設定は Windows Server 2003 より前のオペレーティング システムに適用されます。 This setting affects only operating systems earlier than Windows Server 2003.
57470この設定を変更すると、クライアント、サービスおよびアプリケーションとの互換性に影響する可能性があります。
%1
Modifying this setting may affect compatibility with clients, services, and applications.
%1
57471詳細な情報については %1を参照してください。(Q%2!lu!) For more information, see %1. (Q%2!lu!)
57472クライアント、サービスおよびアプリケーションとの互換性に影響する可能性のある値に変更しようとしています。

%1

変更を続行しますか?
You are about to change this setting to a value that may affect compatibility with clients, services, and applications.

%1

Do you want to continue with the change?
57473管理者と SERVICE には、認証特権を設定した後でクライアントを偽装する許可を与えなければなりません Administrators and SERVICE must be granted the impersonate client after authentication privilege
57474この設定は、他のポリシーがカテゴリ レベルの監査ポリシーを上書きするよう構成されている場合は、強制されない場合があります。
%1
This setting might not be enforced if other policy is configured to override category level audit policy.
%1
57475詳細については、セキュリティ ポリシーに関するテクニカル リファレンスで「%1」を参照してください。 For more information, see %1 in the Security Policy Technical Reference.
58000このアクションに対する説明はありません No explain text for this action
58003コンピューターがロックされるまでの時間 Machine will be locked after
58100集約型アクセス ポリシーの管理...
集約型アクセス ポリシーをこのテンプレートに追加または削除します
Manage Central Access Policies...
Add/Remove Central Access Policies to this template
58107このアクセス ポリシーには、次のポリシー ルールが含まれます: This Access Policy includes the following Policy rules:
58108状態 Status
58109Active Directory から集約型アクセス ポリシーをダウンロードしています... Downloading central access policies from active directory...
58110エラー: 集約型アクセス ポリシーをダウンロードできませんでした Error: Central access policies could not be downloaded
58111準備完了... Ready...
58113この集約型アクセス ポリシーは見つかりませんでした。Active Directory から削除されているか、設定が間違っている可能性があります。Active Directory 管理センター (AD AC) にポリシーを復元するか、ポリシーを構成から削除してください。 This central access policy could not be found. It may have been deleted from Active Directory or have invalid settings. Restore this policy in Active Directory Administrative Center (AD AC) or remove it from the configuration.
59001アカウント: ローカル アカウントの空のパスワードの使用をコンソール ログオンのみに制限する Accounts: Limit local account use of blank passwords to console logon only
59002監査: グローバル システム オブジェクトへのアクセスを監査する Audit: Audit the access of global system objects
59003監査: バックアップと復元の特権の使用を監査する Audit: Audit the use of Backup and Restore privilege
59004監査: セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする Audit: Shut down system immediately if unable to log security audits
59005デバイス: ユーザーがプリンター ドライバーをインストールできないようにする Devices: Prevent users from installing printer drivers
59010デバイス: ログオンなしの装着解除を許可する Devices: Allow undock without having to log on
59011ドメイン コントローラー: Server Operators がタスクのスケジュールを割り当てるのを許可する Domain controller: Allow server operators to schedule tasks
59012ドメイン コントローラー: コンピューター アカウントのパスワードの変更を拒否する Domain controller: Refuse machine account password changes
59013ドメイン コントローラー: LDAP サーバー署名必須 Domain controller: LDAP server signing requirements
59015署名を必要とする Require signing
59016ドメイン メンバー: コンピューター アカウント パスワード: 定期的な変更を無効にする Domain member: Disable machine account password changes
59017ドメイン メンバー: 最大コンピューター アカウントのパスワードの有効期間 Domain member: Maximum machine account password age
59018ドメイン メンバー: 常にセキュリティで保護されたチャネルのデータをデジタル的に暗号化または署名する Domain member: Digitally encrypt or sign secure channel data (always)
59019ドメイン メンバー: 可能な場合、セキュリティで保護されたチャネルのデータをデジタル的に暗号化する Domain member: Digitally encrypt secure channel data (when possible)
59020ドメイン メンバー: 可能な場合、セキュリティで保護されたチャネルのデータをデジタル的に署名する Domain member: Digitally sign secure channel data (when possible)
59021ドメイン メンバー: 強力な (Windows 2000 かそれ以降のバージョン) セッション キーを必要とする Domain member: Require strong (Windows 2000 or later) session key
59022対話型ログオン: Ctrl + Alt + Del を必要としない Interactive logon: Do not require CTRL+ALT+DEL
59023対話型ログオン: 最後にサインインしたユーザーを表示しない Interactive logon: Don't display last signed-in
59024対話型ログオン: セッションがロックされているときにユーザーの情報を表示する Interactive logon: Display user information when the session is locked
59025ユーザーの表示名、ドメインおよびユーザー名 User display name, domain and user names
59026ユーザーの表示名のみ User display name only
59027ユーザー情報は表示しない Do not display user information
59028対話型ログオン: ログオン時のユーザーへのメッセージのテキスト Interactive logon: Message text for users attempting to log on
59029対話型ログオン: ログオン時のユーザーへのメッセージのタイトル Interactive logon: Message title for users attempting to log on
59030対話型ログオン: キャッシュする過去のログオン数 (ドメイン コントローラーが使用できない場合) Interactive logon: Number of previous logons to cache (in case domain controller is not available)
59031対話型ログオン: パスワードが無効になる前にユーザーに変更を促す Interactive logon: Prompt user to change password before expiration
59032対話型ログオン: workstation のロック解除にドメイン コントローラーの認証を必要とする Interactive logon: Require Domain Controller authentication to unlock workstation
59033対話型ログオン: Windows Hello for Business またはスマート カードが必要 Interactive logon: Require Windows Hello for Business or smart card
59034対話型ログオン: スマート カード取り出し時の動作 Interactive logon: Smart card removal behavior
59035何もしない No Action
59036ワークステーションをロックする Lock Workstation
59037ログオフを強制する Force Logoff
59038リモート デスクトップ サービスのセッションである場合に切断する Disconnect if a remote Remote Desktop Services session
59039Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う Microsoft network client: Digitally sign communications (always)
59040Microsoft ネットワーク クライアント: サーバーが同意すれば、通信にデジタル署名を行う Microsoft network client: Digitally sign communications (if server agrees)
59041Microsoft ネットワーク クライアント: サード パーティ製の SMB サーバーへのパスワードを、暗号化しないで送信する Microsoft network client: Send unencrypted password to third-party SMB servers
59042Microsoft ネットワーク サーバー: セッションを中断する前に、ある一定のアイドル時間を必要とする Microsoft network server: Amount of idle time required before suspending session
59043Microsoft ネットワーク サーバー: 常に通信にデジタル署名を行う Microsoft network server: Digitally sign communications (always)
59044Microsoft ネットワーク サーバー: クライアントが同意すれば、通信にデジタル署名を行う Microsoft network server: Digitally sign communications (if client agrees)
59045Microsoft ネットワーク サーバー: ログオン時間を超過するととクライアントを切断する Microsoft network server: Disconnect clients when logon hours expire
59046ネットワーク アクセス: ネットワーク認証のためにパスワードおよび資格情報を保存することを許可しない Network access: Do not allow storage of passwords and credentials for network authentication
59047ネットワーク アクセス: SAM アカウントの匿名の列挙を許可しない Network access: Do not allow anonymous enumeration of SAM accounts
59048ネットワーク アクセス: SAM アカウントおよび共有の匿名の列挙を許可しない Network access: Do not allow anonymous enumeration of SAM accounts and shares
59049ネットワーク アクセス: Everyone のアクセス許可を匿名ユーザーに適用する Network access: Let Everyone permissions apply to anonymous users
59050ネットワーク アクセス: 名前付きパイプと共有への匿名のアクセスを制限する Network access: Restrict anonymous access to Named Pipes and Shares
59051ネットワーク アクセス: リモートからアクセスできる名前付きパイプ Network access: Named Pipes that can be accessed anonymously
59052ネットワーク アクセス: 匿名でアクセスできる共有 Network access: Shares that can be accessed anonymously
59053ネットワーク アクセス: リモートからアクセスできるレジストリのパスおよびサブパス Network access: Remotely accessible registry paths and sub-paths
59054ネットワーク アクセス: リモートからアクセスできるレジストリのパス Network access: Remotely accessible registry paths
59055ネットワーク アクセス: ローカル アカウントの共有とセキュリティ モデル Network access: Sharing and security model for local accounts
59056クラシック - ローカル ユーザーがローカル ユーザーとして認証する Classic - local users authenticate as themselves
59057Guest のみ - ローカル ユーザーが Guest として認証する Guest only - local users authenticate as Guest
59058ネットワーク セキュリティ: 次回のパスワード変更時に LAN Manager のハッシュ値を保存しない Network security: Do not store LAN Manager hash value on next password change
59059ネットワーク セキュリティ: LAN Manager 認証レベル Network security: LAN Manager authentication level
59060LM と NTLM 応答を送信する Send LM & NTLM responses
59061LMとNTLMを送信する(ネゴシエートした場合NTLMv2セッションセキュリティを使う) Send LM & NTLM - use NTLMv2 session security if negotiated
59062NTLM 応答のみ送信する Send NTLM response only
59063NTLMv2 応答のみ送信する Send NTLMv2 response only
59064NTLMv2 応答のみ送信 (LM を拒否する) Send NTLMv2 response only. Refuse LM
59065NTLMv2 応答のみ送信 (LM と NTLM を拒否する) Send NTLMv2 response only. Refuse LM & NTLM
59066ネットワーク セキュリティ: NTLM SSP ベース (セキュア RPC を含む) のクライアント向け最小セッション セキュリティ Network security: Minimum session security for NTLM SSP based (including secure RPC) clients
59067ネットワーク セキュリティ: NTLM SSP ベース (セキュア RPC を含む) のサーバー向け最小セッション セキュリティ Network security: Minimum session security for NTLM SSP based (including secure RPC) servers
59070NTLMv2 セッション セキュリティが必要 Require NTLMv2 session security
59071128 ビット暗号化が必要 Require 128-bit encryption
59072ネットワーク セキュリティ: 必須の署名をしている LDAP クライアント Network security: LDAP client signing requirements
59074ネゴシエーション署名 Negotiate signing
59076回復コンソール: 自動管理ログオンを許可する Recovery console: Allow automatic administrative logon
59077回復コンソール: すべてのドライブとフォルダーに、フロッピーのコピーとアクセスを許可する Recovery console: Allow floppy copy and access to all drives and all folders
59078シャットダウン: システムのシャットダウンにログオンを必要としない Shutdown: Allow system to be shut down without having to log on
59079シャットダウン: 仮想メモリのページ ファイルをクリアする Shutdown: Clear virtual memory pagefile
59080システム オブジェクト: 内部のシステム オブジェクトの既定のアクセス許可を強化する (例: シンボリック リンク) System objects: Strengthen default permissions of internal system objects (e.g. Symbolic Links)
59081システム オブジェクト: Administrators グループのメンバーによって作成されたオブジェクトの既定の所有者 System objects: Default owner for objects created by members of the Administrators group
59082Administrators グループ Administrators group
59083オブジェクト作成者 Object creator
59084システム オブジェクト: Windows システムではないサブシステムのための大文字と小文字の区別をしないことが必須 System objects: Require case insensitivity for non-Windows subsystems
59085システム暗号化: 暗号化、ハッシュ、署名のための FIPS 準拠アルゴリズムを使う System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing
59086システム暗号化: コンピューターに保存されているユーザー キーに強力なキー保護を強制する System cryptography: Force strong key protection for user keys stored on the computer
59087新しいキーが保存されて使用されるときには、ユーザー入力は必要ありません User input is not required when new keys are stored and used
59088最初にキーが使用されるときには、ユーザーに要求する User is prompted when the key is first used
59089ユーザーがキーを使うときにはパスワードの入力が必要 User must enter a password each time they use a key
59090システム設定: ソフトウェア制限のポリシーのために Windows 実行可能ファイルに対して証明書の規則を使用する System settings: Use Certificate Rules on Windows Executables for Software Restriction Policies
59091システム設定: オプション サブシステム System settings: Optional subsystems
59092ログオン logons
59093日間 days
59094分間 minutes
59095秒間 seconds
59096DCOM: セキュリティ記述子定義言語 (SDDL) 構文でのコンピューター起動制限 DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax
59097DCOM: セキュリティ記述子定義言語 (SDDL) 構文でのコンピューター アクセス制限 DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax
59098デバイス: CD-ROM へのアクセスを、ローカル ログオン ユーザーだけに制限する Devices: Restrict CD-ROM access to locally logged-on user only
59099デバイス: リムーバブル メディアを取り出すのを許可する Devices: Allowed to format and eject removable media
59100Administrators Administrators
59101Administrators と Power Users Administrators and Power Users
59102Administrators と Interactive Users Administrators and Interactive Users
59103デバイス: フロッピーへのアクセスを、ローカル ログオン ユーザーだけに制限する Devices: Restrict floppy access to locally logged-on user only
59104監査: 監査ポリシー サブカテゴリの設定 (Windows Vista 以降) を強制して、監査ポリシー カテゴリの設定を上書きする Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings
59105ネットワーク セキュリティ: NTLM を制限する: リモート サーバーに対する送信 NTLM トラフィック Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers
59106すべて許可する Allow all
59107すべて拒否する Deny all
59108ネットワーク セキュリティ: NTLM を制限する: 着信 NTLM トラフィック Network security: Restrict NTLM: Incoming NTLM traffic
59110すべてのドメイン アカウントを拒否する Deny all domain accounts
59111すべてのアカウントを拒否する Deny all accounts
59112ネットワーク セキュリティ: NTLM を制限する: このドメイン内の NTLM 認証 Network security: Restrict NTLM: NTLM authentication in this domain
59113無効にする Disable
59114ドメイン サーバーに対するドメイン アカウントについて拒否する Deny for domain accounts to domain servers
59115ドメイン アカウントに対して拒否する Deny for domain accounts
59116ドメイン サーバーについて拒否する Deny for domain servers
59118ネットワーク セキュリティ: NTLM を制限する: NTLM 認証に対するリモート サーバーの例外を追加する Network security: Restrict NTLM: Add remote server exceptions for NTLM authentication
59119ネットワーク セキュリティ: NTLM を制限する: このドメインにサーバーの例外を追加する Network security: Restrict NTLM: Add server exceptions in this domain
59120ネットワーク セキュリティ: LocalSystem による NULL セッション フォールバックを許可する Network security: Allow LocalSystem NULL session fallback
59121ネットワーク セキュリティ: Kerberos で許可する暗号化の種類を構成する Network security: Configure encryption types allowed for Kerberos
59122DES_CBC_CRC DES_CBC_CRC
59123DES_CBC_MD5 DES_CBC_MD5
59124RC4_HMAC_MD5 RC4_HMAC_MD5
59125AES128_HMAC_SHA1 AES128_HMAC_SHA1
59126AES256_HMAC_SHA1 AES256_HMAC_SHA1
59127将来使用する暗号化の種類 Future encryption types
59129ネットワーク セキュリティ: オンライン ID を使用するためのこのコンピューターへの PKU2U 認証要求を許可する。

Network security: Allow PKU2U authentication requests to this computer to use online identities.

59130すべて監査する Audit all
59131ネットワーク セキュリティ: NTLM を制限する: 着信 NTLM トラフィックを監査する Network security: Restrict NTLM: Audit Incoming NTLM Traffic
59132ネットワーク セキュリティ: NTLM を制限する: このドメイン内の NTLM 認証を監査する Network security: Restrict NTLM: Audit NTLM authentication in this domain
59133ネットワーク セキュリティ: NTLM で Local System によるコンピューター ID の使用を許可する Network security: Allow Local System to use computer identity for NTLM
59135ドメイン アカウントに対して監査を有効にする Enable auditing for domain accounts
59136すべてのアカウントに対して監査を有効にする Enable auditing for all accounts
59138ドメイン サーバーに対するドメイン アカウントについて有効にする Enable for domain accounts to domain servers
59139ドメイン アカウントに対して有効にする Enable for domain accounts
59140ドメイン サーバーに対して有効にする Enable for domain servers
59141すべて有効にする Enable all
59142Microsoft ネットワーク サーバー: サーバー SPN ターゲット名検証レベル Microsoft network server: Server SPN target name validation level
59144クライアントによって提供される場合は受け入れる Accept if provided by client
59145クライアントに要求 Required from client
59146Microsoft ネットワーク サーバー: S4U2Self を試行して要求情報を取得する Microsoft network server: Attempt S4U2Self to obtain claim information
59147既定 Default
59150アカウント:Microsoft アカウントをブロックする Accounts: Block Microsoft accounts
59151このポリシーは無効です This policy is disabled
59152ユーザーは Microsoft アカウントを追加できない Users can't add Microsoft accounts
59153ユーザーは Microsoft アカウントを追加または Microsoft アカウントでログオンできない Users can't add or log on with Microsoft accounts
59154対話型ログオン: コンピューター アカウントのロックアウトのしきい値 Interactive logon: Machine account lockout threshold
59155対話型ログオン: コンピューターの非アクティブ状態の上限 Interactive logon: Machine inactivity limit
59156無効なログオン invalid logon attempts
59157ネットワーク アクセス: SAM へのリモートの呼び出しを許可するクライアントを制限する Network access: Restrict clients allowed to make remote calls to SAM
59158対話型ログオン: サインイン時にユーザー名を表示しない Interactive logon: Don't display username at sign-in

EXIF

File Name:wsecedit.dll.mui
Directory:%WINDIR%\WinSxS\amd64_microsoft-windows-s..gement-ui.resources_31bf3856ad364e35_10.0.15063.0_ja-jp_650915b2b725ecc9\
File Size:256 kB
File Permissions:rw-rw-rw-
File Type:Win32 DLL
File Type Extension:dll
MIME Type:application/octet-stream
Machine Type:Intel 386 or later, and compatibles
Time Stamp:0000:00:00 00:00:00
PE Type:PE32
Linker Version:14.10
Code Size:0
Initialized Data Size:261120
Uninitialized Data Size:0
Entry Point:0x0000
OS Version:10.0
Image Version:10.0
Subsystem Version:6.0
Subsystem:Windows GUI
File Version Number:10.0.15063.0
Product Version Number:10.0.15063.0
File Flags Mask:0x003f
File Flags:(none)
File OS:Windows NT 32-bit
Object File Type:Dynamic link library
File Subtype:0
Language Code:Japanese
Character Set:Unicode
Company Name:Microsoft Corporation
File Description:セキュリティ構成 UI モジュール
File Version:10.0.15063.0 (WinBuild.160101.0800)
Internal Name:WSECEDIT
Legal Copyright:© Microsoft Corporation. All rights reserved.
Original File Name:WSecEdit.dll.mui
Product Name:Microsoft® Windows® Operating System
Product Version:10.0.15063.0
Directory:%WINDIR%\WinSxS\x86_microsoft-windows-s..gement-ui.resources_31bf3856ad364e35_10.0.15063.0_ja-jp_08ea7a2efec87b93\

What is wsecedit.dll.mui?

wsecedit.dll.mui is Multilingual User Interface resource file that contain Japanese language for file wsecedit.dll (セキュリティ構成 UI モジュール).

File version info

File Description:セキュリティ構成 UI モジュール
File Version:10.0.15063.0 (WinBuild.160101.0800)
Company Name:Microsoft Corporation
Internal Name:WSECEDIT
Legal Copyright:© Microsoft Corporation. All rights reserved.
Original Filename:WSecEdit.dll.mui
Product Name:Microsoft® Windows® Operating System
Product Version:10.0.15063.0
Translation:0x411, 1200