Windows XP セキュリティ ガイド
第 2 章 :Active Directory ドメイン インフラストラクチャを構成する
最終更新日: 2006年8月17日
ダウンロード
『Windows XP セキュリティ ガイド』のダウンロード
トピック
概要
セキュリティ管理をサポートする OU の設計
セキュリティ管理をサポートする GPO の設計
ドメイン レベルのグループ ポリシー
パスワード ポリシーの設定
アカウント ロックアウト ポリシーの設定
ユーザー権利の割り当ての設定
セキュリティ オプションの設定
Kerberos ポリシー
OU レベルのグループ ポリシー
グループ ポリシー ツール
まとめ
概要
グループ ポリシーとは、Microsoft® Windows Server™ 2003 および Microsoft Windows® 2000 Server ドメインで変更と構成を管理するための Active Directory® ディレクトリ サービスの機能です。ただし、環境内の Microsoft Windows XP Professional Service Pack 2 (SP2) クライアント コンピュータにグループ ポリシーを適用する前に、ドメインで特定の準備作業を実行する必要があります。
グループ ポリシー設定は、Active Directory データベースのグループ ポリシー オブジェクト (GPO) に格納されます。GPO は、Active Directory のサイト、ドメイン、および組織単位 (OU) を含むコンテナにリンクされます。グループ ポリシーは Active Directory と緊密に統合されているので、グループ ポリシーを実装する前に、Active Directory 構造、および Active Directory 構造内でのさまざまな設計オプションを構成することによって生じるセキュリティの影響に関して理解しておくことが重要です。Active Directory の設計の詳細については、*『WindowsServer 2003 セキュリティ ガイド』*の「第 3 章 ドメイン ポリシー」を参照してください。
グループ ポリシーは、Windows XP のセキュリティ保護には不可欠なツールです。この章では、中央からネットワーク全体で一貫したセキュリティ ポリシーを一括して適用および維持するためのグループ ポリシーの使用方法について詳しく説明します。
このガイドでは、エンタープライズ クライアント (EC) 環境およびセキュリティ強化 - 機能制限 (SSLF) 環境で使用できるオプションを示します。この章で示す推奨設定は、デスクトップとラップトップのクライアント コンピュータで同じです。特殊なケースの設定なので、OU レベルではなく、ドメイン ルート レベルで適用します。たとえば、Windows Server 2003 と Windows 2000 Server のドメインのパスワード ポリシーとアカウント ロックアウト ポリシーは、ドメイン ルートにリンクされる GPO を使用して構成する必要があります。2 つの異なる環境のベースライン セキュリティ テンプレート ファイルの名前は、次のとおりです。
EC-Domain.inf
SSLF-Domain.inf
セキュリティ管理をサポートする OU の設計
OU は、Active Directory ドメイン内のコンテナです。OU には、ユーザー、グループ、コンピュータ、および子 OU と呼ばれるその他の OU を含めることができます。GPO は OU にリンクでき、GPO 設定はリンク先の OU およびその子 OU に含まれるユーザーとコンピュータに適用されます。管理を容易にするため、各 OU に管理権限を委任できます。OU を使用すると、ユーザー、コンピュータ、およびその他のセキュリティ プリンシパルを簡単にグループ化することができると同時に、管理境界を効率的に分割することもできます。ユーザーだけを対象とした設定とコンピュータだけを対象とした設定があるので、組織ではユーザーとコンピュータを別個の OU に割り当てることをお勧めします。
Microsoft 管理コンソール (MMC) の [Active Directory ユーザーとコンピュータ] スナップイン ツール内の委任ウィザードを使用すると、グループまたは個々の OU の管理を委任できます。権限の委任方法に関する文書へのリンクについては、この章の最後にある「関連情報」セクションを参照してください。
環境で OU 構造を設計する際の主な目標の 1 つは、Active Directory 内のすべてのワークステーションに適用されるシームレスなグループ ポリシー実装の基礎を提供し、すべてのワークステーションを組織のセキュリティ標準に適合させることです。また、OU 構造は、組織内の特定のユーザー層に対して適切なセキュリティ設定を提供できるよう設計する必要があります。たとえば、一般的なユーザーには許可されていない作業の実行権限を開発者に与えたり、ラップトップ ユーザーにはデスクトップ ユーザーとは若干異なるセキュリティ要件を与えたりすることです。次の図は、この章で説明するグループ ポリシーを端的に表す簡単な OU 構造を示しています。この OU の構造は、ユーザー環境の組織要件によって異なるものになります。
図 2.1 Windows XP コンピュータの OU 構造
Department OU
セキュリティ要件は、組織内部でも異なるため、Department OU を作成した方がいい場合があります。部署のセキュリティ設定は、GPO を使用して各部署の OU 内のコンピュータおよびユーザーに適用します。
Secured XP Users OU
この OU には、EC 環境と SSLF 環境のユーザーのアカウントが含まれます。この OU に適用する設定については、「第 4 章 Windows XP の管理用テンプレート」の「ユーザーの構成の設定」セクションで説明します。
Windows XP OU
この OU には、環境内の各種類の Windows XP クライアント コンピュータの子 OU が含まれます。このガイドでは、デスクトップ コンピュータとラップトップ コンピュータのガイダンスを示しています。そのため、Desktop OU と Laptop OU が作成されています。
Desktop OU。この OU には、ネットワークに常時接続しているデスクトップ コンピュータが含まれます。この OU に適用する設定については、「第 3 章 Windows XP クライアントのセキュリティ設定」および「第 4 章 Windows XP の管理用テンプレート」で詳しく説明します。
Laptop OU。この OU には、ネットワークに常時接続していないモバイル ユーザーのラップトップ コンピュータが含まれます。この OU に適用する設定については、「第 3 章 Windows XP クライアントのセキュリティ設定」および「第 4 章 Windows XP の管理用テンプレート」で詳しく説明します。
セキュリティ管理をサポートする GPO の設計
GPO を使用すると、OU に含まれるすべてのワークステーションまたはユーザーに対して特定のポリシー設定、ユーザー権利、および動作を適用することができます。手動で構成する代わりにグループ ポリシーを使用することにより、将来変更が必要になった場合でも複数のワークステーションやユーザーを簡単に更新できます。手動による構成は非効率的です。技術者が各クライアント コンピュータを設定する必要があるからです。また、ドメインベースの GPO のポリシー設定とローカルで適用されるポリシー設定が異なる場合は、ドメインベースの GPO のポリシー設定が優先します。
図 2.2 GPO の適用順序
この図は、子 OU のメンバであるコンピュータに GPO が適用される順序を示しています。最下位 (1) から最上位 (5) の順で適用されます。グループ ポリシーの適用は、各 Windows XP ワークステーションのローカル ポリシーから始めます。ローカル ポリシーの適用後、サイト レベル、次にドメイン レベルの順序で GPO を適用します。
複数の OU 層にネストされた Windows XP クライアント コンピュータの場合、階層構造で最上位レベルにある OU から最下位レベルにある OU の順に GPO を適用します。最後の GPO の適用は、クライアント コンピュータを含んでいる OU から適用します。ある段階で適用した GPO によって、それまでに適用した GPO は上書きされるため、ローカル ポリシー、サイト、ドメイン、親 OU、子 OU という順序で GPO を適用することが重要です。ユーザーの GPO も同じ方法で適用されます。
グループ ポリシーを設計する際は、次の点を考慮してください。
管理者は、複数の GPO を 1 つの OU にリンクする順序を設定する必要があります。この順序を設定しないと、既定では、ポリシーが OU にリンクされた順序で適用されます。複数のポリシーに同じ設定がある場合は、コンテナのポリシー リスト内で最上位にあるポリシーが優先されます。
GPO には [強制] オプションを設定できます。このオプションを選択すると、この GPO で構成する設定に優先する他の GPO を設定しても、その設定は適用されません。
注 :[強制] オプションは、Windows 2000 では [上書き禁止] オプションとして表示されます。
[ポリシーを継承しない] オプションを設定した Active Directory、サイト、ドメイン、または OU を構成できます。このオプションを使用すると、[強制] オプションを選択していない限り、Active Directory 階層で上位にある GPO による GPO 設定はできなくなります。つまり、[強制] オプションが [ポリシーを継承しない] オプションに優先します。
グループ ポリシーの設定は、ユーザー オブジェクトやコンピュータ オブジェクトが Active Directory のどこに位置しているかに基づいて、それらのユーザーやコンピュータに適用します。場合によっては、ユーザー オブジェクトのポリシーは、ユーザー オブジェクトの場所ではなく、コンピュータ オブジェクトの場所に基づいて適用する必要があります。グループ ポリシー ループバック機能を使用すると、管理者はユーザーがログオンしているコンピュータに基づいてユーザーのグループ ポリシー設定を適用できます。ループバックのサポートの詳細については、この章の最後にある「関連情報」セクションに示すグループ ポリシーのホワイト ペーパーを参照してください。
次の図は前の OU 構造を拡張したものです。ここでは、Laptop OU やDesktop OU に属する Windows XP クライアント コンピュータに GPO を適用する方法を示しています。
図 2.3 Windows XP ベースのデスクトップ コンピュータとラップトップ コンピュータを含む、拡張された OU 構造
上の例では、ラップトップ コンピュータは Laptop OU のメンバです。最初に適用されるポリシーは、ラップトップ コンピュータのローカル セキュリティ ポリシーです。この例ではサイトが 1 つだけなので、サイト レベルでは GPO が適用されていません。したがって、ドメイン GPO が次に適用する GPO です。最後に、ラップトップ GPO が適用されます。
**注 :**デスクトップ ポリシーは階層内の Laptop OU を含んでいる OU にリンクされていないため、どのラップトップにも適用されていません。また、Secured XP Users OU に含まれているのは管理用テンプレートの設定だけなので、この OU に対応するセキュリティ テンプレート (.inf ファイル) はありません。
優先順位がどのように決まるかを示す例として、Windows XP OU の [ターミナル サービスを通したログオンを許可する] ポリシー設定が [Administrator] に設定され、ラップトップ GPO の [ターミナル サービスを通したログオンを許可する] 設定が [Power Users] および [Administrators] に設定されているシナリオを考えます。この場合、アカウントが Power Users グループに属するユーザーは、ターミナル サービスを使用してラップトップにログオンできます。これは、Laptop OU が Windows XP OU の子であるためです。Windows XP GPO で [上書き禁止] ポリシー オプションが有効な場合は、ターミナル サービスを使用してクライアント コンピュータにログオンできるのは、Administrators グループのアカウントを持つユーザーだけです。
セキュリティ テンプレート
セキュリティ テンプレートは、セキュリティ設定の値を含むテキスト ファイルで、GPO のサブコンポーネントです。セキュリティ テンプレートに含まれるポリシー設定は、MMC の [グループ ポリシー オブジェクト エディタ] スナップインで変更でき、コンピュータの構成\Windows の設定\セキュリティの設定フォルダにあります。これらのファイルは、MMC の [セキュリティ テンプレート] スナップインや、メモ帳などのテキスト エディタで変更することもできます。GPO に含まれるセキュリティ テンプレートのポリシー設定を管理するときは [グループ ポリシー オブジェクト エディタ] スナップインを使用し、スタンドアロンのセキュリティ テンプレートのポリシー設定を管理するときは [セキュリティ テンプレート] スナップインを使用することをお勧めします。
テンプレート ファイルの一部のセクションには、Security Descriptor Definition Language (SDDL) で定義された固有のアクセス制御リスト (ACL) が含まれています。セキュリティ テンプレートと SDDL の編集方法については、この章の最後にある「関連情報」セクションを参照してください。
セキュリティ テンプレートの管理
運用環境のセキュリティ テンプレートは、インフラストラクチャ内の安全な場所に保管しておくことが重要です。セキュリティ テンプレートへのアクセスは、グループ ポリシーの実装を担当する管理者のみに許可する必要があります。Windows XP、Windows 2000、および Windows Server 2003 に付属するセキュリティ テンプレートは、既定で %SystemRoot%\security\templates フォルダに保存されています。第 1 章で説明したように、このガイドに付属するセキュリティ テンプレートは、このガイドが入っている WinZip アーカイブ ファイル内の .msi ファイルを実行すると、\Windows XP Security Guide Tools and Templates\Security Templates フォルダにコピーされます (このガイドのダウンロード版は https://go.microsoft.com/fwlink/?LinkId=14840 で入手できます)。組織のビジネス要件に合うようにセキュリティ テンプレートの設定を評価および調整するときは、セキュリティ テンプレートをこのフォルダからテスト コンピュータ上の新しいフォルダにコピーまたは移動できます。テストが完了したら、セキュリティ テンプレートの最終版を、ビルトイン セキュリティ テンプレートの既定の場所など、1 か所にまとめる必要があります。
%SystemRoot%\security\templates フォルダは、複数のドメイン コントローラ間で複製されません。したがって、テンプレートのバージョン管理で問題が発生しないようにするために、セキュリティ テンプレートのマスタ コピーを格納するドメイン コントローラを 1 つ選択する必要があります。このベスト プラクティスによって、常に同じセキュリティ テンプレートを修正できることになります。
セキュリティ テンプレートをインポートする
セキュリティ テンプレートをインポートするには、次の手順を実行します。
セキュリティ テンプレートを GPO にインポートするには
グループ ポリシー オブジェクト エディタで [Windows の設定] フォルダに移動します。
[Windows の設定] フォルダを展開して、[セキュリティの設定] を選択します。
[セキュリティの設定] フォルダを右クリックして、[ポリシーのインポート] をクリックします。
インポートするセキュリティ テンプレートを選択し、[開く] をクリックします。ファイルの設定が GPO にインポートされます。
管理用テンプレート
その他のセキュリティ設定は、管理用テンプレートという Unicode ベースのファイルにあります。これらのファイルには、Windows XP とそのコンポーネントや、Microsoft Office 2003 などのその他のアプリケーションに影響するレジストリ設定が含まれています。管理用テンプレートには、ユーザー設定だけでなく、コンピュータ設定が含まれることがあります。コンピュータ設定は、HKEY_LOCAL_MACHINE レジストリ ハイブに格納されています。ユーザー設定は、HKEY_CURRENT_USER レジストリ ハイブに格納されます。
管理用テンプレートの管理
セキュリティ テンプレートと同様に、運用環境で使用する管理用テンプレートもインフラストラクチャ内の安全な場所に保管することが重要です。この場所へのアクセスは、グループ ポリシーの実装を担当する管理者だけに許可する必要があります。Windows XP および Windows Server 2003 に付属している管理用テンプレートは、%systemroot%\inf ディレクトリに格納されています。Office 2003 のその他のテンプレートは、*「Office 2003 リソース キット」*に含まれています。Microsoft が提供する管理用テンプレートは、サービス パックのリリース時に変更される可能性があるので、編集しないでください。
ポリシーに管理用テンプレートを適用する
Office 2003 の設定を構成する GPO には、Windows XP に付属している管理用テンプレートに加えて、Office 2003 のテンプレートも適用できます。また、組織に固有のカスタム管理用テンプレートを作成することもできます。GPO に管理用テンプレートを追加するには、次の手順を実行します。
GPO に管理用テンプレートを追加するには
グループ ポリシー オブジェクト エディタで [管理用テンプレート] フォルダに移動します。
[管理用テンプレート] フォルダを右クリックして、[テンプレートの追加と削除] をクリックします。
[テンプレートの追加と削除] ダイアログ ボックスの [追加] をクリックします。
管理用テンプレート ファイルを含んでいるフォルダに移動します。
追加するテンプレートを選択し、[開く]、[閉じる] の順にクリックします。
ドメイン レベルのグループ ポリシー
ドメイン レベルのグループ ポリシーには、ドメイン内のすべてのコンピュータとユーザーに適用する設定が含まれています。ドメイン レベルの設定は、既定のビルトイン ドメイン ポリシー内ではなく、新しい GPO 内で構成することをお勧めします。その理由は、新しい GPO 内で構成すると、このガイドで紹介した変更によって問題が発生した場合に、既定の設定を復元しやすいからです。注意が必要なのは、一部のアプリケーションでは、既定のドメイン ポリシーが自動的に構成されることです。このようなアプリケーションによって変更されたポリシー設定が、このガイドに示す Domain Policy GPO で定義されている設定と競合する可能性があります。ただし、ドメイン レベルで構成する設定の数は少ないので、このような事態が発生する可能性はほとんどありません。ドメイン レベルのセキュリティについては、https://go.microsoft.com/fwlink/?LinkId=14845 の『Windows Server 2003 セキュリティ ガイド』の「第 3 章 ドメイン ポリシー」で詳しく説明しています。
パスワード ポリシーの設定
複雑なパスワードを使用し、そのパスワードを定期的に変更することで、パスワード攻撃の可能性を低減することができます。パスワード ポリシーの設定は、パスワードの複雑さと有効期限を定義し、グループ ポリシーによってドメイン レベルでのみ構成できます。スタンドアロン コンピュータのローカルのセキュリティ アカウント マネージャ (SAM) でパスワード ポリシーを直接設定する方法については、「第 5 章 スタンドアロン Windows XP クライアントをセキュリティで保護する」を参照してください。
ここでは、EC 環境と SSLF 環境のパスワード ポリシーの設定について説明します。
パスワード ポリシーの設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。
コンピュータの構成\Windows の設定\セキュリティの設定\アカウント ポリシー\パスワード ポリシー
次の表に、このガイドで定義しているセキュリティ保護された 2 種類の環境に推奨されるパスワード ポリシーの設定を示します。各設定の詳細については、表の後の各サブセクションを参照してください。
表 2.1 パスワード ポリシーの推奨設定
設定 | ドメイン コントローラの既定の設定 | EC | SSLF |
---|---|---|---|
パスワードの履歴を記録する | 24 パスワード数 | 24 パスワード数 | 24 パスワード数 |
パスワードの有効期間 | 42 日間 | 90 日間 | 90 日間 |
パスワードの変更禁止期間 | 1 日 | 1 日 | 1 日 |
最小パスワード長 | 7 文字以上 | 8 文字以上 | 12 文字以上 |
パスワードは、複雑さの要件を満たす必要がある | 有効 | 有効 | 有効 |
暗号化を元に戻せる状態でパスワードを保存する | 無効 | 無効 | 無効 |
設定 | ドメイン コントローラの既定の設定 | EC | SSLF |
---|---|---|---|
ロックアウト期間 | 未定義 | 15 分 | 15 分 |
アカウントのロックアウトのしきい値 | 0 回ログオンに失敗 | 50 回ログオンに失敗 | 10 回ログオンに失敗 |
ロックアウト カウンタのリセット | 未定義 | 15 分 | 15 分 |
設定 | ドメイン コントローラの既定の設定 | EC | SSLF |
---|---|---|---|
ドメインにワークステーションを追加 | Authenticated Users | Administrators | Administrators |
設定 | ドメイン コントローラの既定の設定 | EC | SSLF |
---|---|---|---|
Microsoft ネットワーク サーバー:ログオン時間の有効期間が切れるとクライアントを切断する | 未定義 | 有効 | 有効 |
ネットワーク アクセス:匿名の SID と名前の変換を許可する | 未定義 | 無効 | 無効 |
ネットワーク セキュリティ:ログオン時間を経過した場合はユーザーを強制的にログオフさせる | 無効 | 有効 | 有効 |
Gpupdate を実行すると、次の確認情報が表示されます。
C:\Documents and Settings\administrator.MSSLAB>gpupdate
/force ポリシーを最新の情報に更新しています
...User ポリシーの更新が完了しました。
Computer ポリシーの更新が完了しました。
ポリシーの処理でエラーが発生していないかチェックするには、
イベントログを参照してください。
C:\Documents and Settings\administrator.MSSLAB>
ユーザーベースのグループ ポリシーの場合、ポリシーのテストに使用するコンピュータから一度ログオフしてから再度ログオンする必要があります。コンピュータのポリシーはただちに更新されます。
Gpupdate で使用できる他のオプションを表示するには、コマンド プロンプトで次のコマンドを実行します。
gpupdate /?
ポリシーの結果セットを表示する
Windows XP には、ユーザー環境のコンピュータに適用するポリシー、それらのポリシーの適用時期、および適用順位を確認するためのツールが 2 つ付属しています。
[RSoP] スナップイン。このツール (RSoP.msc) は、MMC のスナップイン ツールで、コンピュータに適用されているすべてのポリシーの集合設定を表示します。このツールは、ローカルまたはリモートのコンピュータから実行できます。RSoP ツールでは、各ポリシー設定に対するコンピュータ設定およびソース GPO が表示されます。
Gpresult。グループ ポリシーが最後にコンピュータに適用された時期、コンピュータに適用されたGPO の内容、および適用の順序に関する統計を表示するコマンドライン ツールです。このツールは、フィルタを通して適用された GPO に関する情報も表示します。Gpresult ツールは、ローカルまたはリモートのクライアント コンピュータで使用できます。
グループ ポリシー管理コンソール
グループ ポリシー管理コンソール(GPMC)は、Windows Server 2003 Service Pack 1 のオプションのコンポーネントとして使用できる MMC のスナップインです。グループ ポリシー関連のすべてのタスクの管理に使用します。GPMC を使用すると、GPO の適用の計画、実行、展開、報告、スクリプト化、およびトラブルシューティングを行うことができます。詳細については、https://www.microsoft.com/japan/windowsserver2003/gpmc/default.mspx の「グループ ポリシー管理コンソールによる企業システムの管理」を参照してください。
まとめ
グループ ポリシーは、Windows Server 2003 ドメインおよび Windows 2000 ドメインのユーザーおよびコンピュータの環境を制御できる Active Directory ベースの機能です。グループ ポリシーを環境内の Windows XP デスクトップに適用する前に、ドメインで特定の準備作業を行う必要があります。
環境でドメイン コントローラのグループ ポリシー オブジェクト (GPO) に格納されているグループ ポリシー設定は、Active Directory 構造内にあるサイト、ドメイン、および OU にリンクしています。Active Directory 構造、およびその中で設定するさまざまな設計オプションがセキュリティに与える影響を理解したうえでグループポリシーを適用することが重要です。
グループ ポリシーは、Windows XP のセキュリティ保護には不可欠なツールです。この章では、ネットワーク全体で一貫したセキュリティ ポリシーを中央から一括して適用および維持するためのグループ ポリシーの使用方法について詳しく説明しました。
また、さまざまなレベルのグループ ポリシーに関する情報、および環境内のグループ ポリシーを更新するために使用できる特別なツールについても説明しました。
関連情報
次のリンクにアクセスすると、Windows XP Professional のセキュリティに関する詳細な情報を参照できます。
Active Directory の管理および設計の詳細については、https://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/plan/addeladm.mspx のホワイト ペーパー「Design Considerations for Delegation of Administration in Active Directory」(英語情報) を参照してください。
Active Directory の設計の詳細については、https://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/plan/bpaddsgn.mspx のホワイト ペーパー「Best Practice Active Directory Design for Managing Windows Networks」(英語情報) を参照してください。
グループ ポリシーの詳細については、https://www.microsoft.com/japan/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/gpfeat.mspx のホワイト ペーパー「ステップバイステップ ガイド : Windows Server 2003 のグループ ポリシー機能」を参照してください。
また、https://www.microsoft.com/japan/windowsserver2003/technologies/management/grouppolicy/default.mspx にある、Windows Server 2003 のグループ ポリシーのホーム ページも参照してください。Windows XP のセキュリティの詳細については、https://www.microsoft.com/WindowsXP/pro/techinfo/productdoc/resourcekit.asp の「Microsoft Windows XP Professional Resource Kit Documentation」(英語情報) を参照してください。
Windows XP のセキュリティ機能の概要については、https://www.microsoft.com/japan/technet/prodtechnol/winxppro/evaluate/xpsec.mspx のホワイト ペーパー「Windows XP Professional および Windows XP Home Edition のセキュリティ最新情報」を参照してください。
管理用テンプレートの詳細については、https://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/management/gp/admtgp.mspx のホワイト ペーパー「Using Administrative Template Files with Registry-Based Group Policy」(英語情報) を参照してください。
グループ ポリシー管理コンソール (GPMC) の詳細については、https://www.microsoft.com/japan/windowsserver2003/gpmc/default.mspx の「グループ ポリシー管理コンソールによる企業システムの管理」を参照してください。
Group Update ツール (Gpupdate) の詳細については、https://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/refrgp.mspx (英語情報) を参照してください。
ポリシーの結果セット (RSoP) ツールの詳細については、https://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/rspoverview.mspx (英語情報) を参照してください。
グループ ポリシー結果ツール (Gpresult) の詳細については、https://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/gpresult.mspx (英語情報) を参照してください。
Active Directory での権限の委任方法については、https://www.microsoft.com/resources/documentation/Windows/2000/server/reskit/en-us/distrib/dsca_pt3_stbp.asp にある、*『Windows 2000 Resource Kits』*の「Distributed Security」の計画に関するセクション (英語情報) を参照してください。