Windows XP セキュリティ ガイド

  • [アーティクル]

第 2 章 :Active Directory ドメイン インフラストラクチャを構成する

最終更新日: 2006年8月17日

ダウンロード

『Windows XP セキュリティ ガイド』のダウンロード

トピック

概要
セキュリティ管理をサポートする OU の設計
セキュリティ管理をサポートする GPO の設計
ドメイン レベルのグループ ポリシー
パスワード ポリシーの設定
アカウント ロックアウト ポリシーの設定
ユーザー権利の割り当ての設定
セキュリティ オプションの設定
Kerberos ポリシー
OU レベルのグループ ポリシー
グループ ポリシー ツール
まとめ

概要

グループ ポリシーとは、Microsoft® Windows Server™ 2003 および Microsoft Windows® 2000 Server ドメインで変更と構成を管理するための Active Directory® ディレクトリ サービスの機能です。ただし、環境内の Microsoft Windows XP Professional Service Pack 2 (SP2) クライアント コンピュータにグループ ポリシーを適用する前に、ドメインで特定の準備作業を実行する必要があります。

グループ ポリシー設定は、Active Directory データベースのグループ ポリシー オブジェクト (GPO) に格納されます。GPO は、Active Directory のサイト、ドメイン、および組織単位 (OU) を含むコンテナにリンクされます。グループ ポリシーは Active Directory と緊密に統合されているので、グループ ポリシーを実装する前に、Active Directory 構造、および Active Directory 構造内でのさまざまな設計オプションを構成することによって生じるセキュリティの影響に関して理解しておくことが重要です。Active Directory の設計の詳細については、*『WindowsServer 2003 セキュリティ ガイド』*の「第 3 章 ドメイン ポリシー」を参照してください。

グループ ポリシーは、Windows XP のセキュリティ保護には不可欠なツールです。この章では、中央からネットワーク全体で一貫したセキュリティ ポリシーを一括して適用および維持するためのグループ ポリシーの使用方法について詳しく説明します。

このガイドでは、エンタープライズ クライアント (EC) 環境およびセキュリティ強化 - 機能制限 (SSLF) 環境で使用できるオプションを示します。この章で示す推奨設定は、デスクトップとラップトップのクライアント コンピュータで同じです。特殊なケースの設定なので、OU レベルではなく、ドメイン ルート レベルで適用します。たとえば、Windows Server 2003 と Windows 2000 Server のドメインのパスワード ポリシーとアカウント ロックアウト ポリシーは、ドメイン ルートにリンクされる GPO を使用して構成する必要があります。2 つの異なる環境のベースライン セキュリティ テンプレート ファイルの名前は、次のとおりです。

  • EC-Domain.inf

  • SSLF-Domain.inf

ページのトップへ

セキュリティ管理をサポートする OU の設計

OU は、Active Directory ドメイン内のコンテナです。OU には、ユーザー、グループ、コンピュータ、および子 OU と呼ばれるその他の OU を含めることができます。GPO は OU にリンクでき、GPO 設定はリンク先の OU およびその子 OU に含まれるユーザーとコンピュータに適用されます。管理を容易にするため、各 OU に管理権限を委任できます。OU を使用すると、ユーザー、コンピュータ、およびその他のセキュリティ プリンシパルを簡単にグループ化することができると同時に、管理境界を効率的に分割することもできます。ユーザーだけを対象とした設定とコンピュータだけを対象とした設定があるので、組織ではユーザーとコンピュータを別個の OU に割り当てることをお勧めします。

Microsoft 管理コンソール (MMC) の [Active Directory ユーザーとコンピュータ] スナップイン ツール内の委任ウィザードを使用すると、グループまたは個々の OU の管理を委任できます。権限の委任方法に関する文書へのリンクについては、この章の最後にある「関連情報」セクションを参照してください。

環境で OU 構造を設計する際の主な目標の 1 つは、Active Directory 内のすべてのワークステーションに適用されるシームレスなグループ ポリシー実装の基礎を提供し、すべてのワークステーションを組織のセキュリティ標準に適合させることです。また、OU 構造は、組織内の特定のユーザー層に対して適切なセキュリティ設定を提供できるよう設計する必要があります。たとえば、一般的なユーザーには許可されていない作業の実行権限を開発者に与えたり、ラップトップ ユーザーにはデスクトップ ユーザーとは若干異なるセキュリティ要件を与えたりすることです。次の図は、この章で説明するグループ ポリシーを端的に表す簡単な OU 構造を示しています。この OU の構造は、ユーザー環境の組織要件によって異なるものになります。

図 2.1 Windows XP コンピュータの OU 構造

Department OU

セキュリティ要件は、組織内部でも異なるため、Department OU を作成した方がいい場合があります。部署のセキュリティ設定は、GPO を使用して各部署の OU 内のコンピュータおよびユーザーに適用します。

Secured XP Users OU

この OU には、EC 環境と SSLF 環境のユーザーのアカウントが含まれます。この OU に適用する設定については、「第 4 章 Windows XP の管理用テンプレート」の「ユーザーの構成の設定」セクションで説明します。

Windows XP OU

この OU には、環境内の各種類の Windows XP クライアント コンピュータの子 OU が含まれます。このガイドでは、デスクトップ コンピュータとラップトップ コンピュータのガイダンスを示しています。そのため、Desktop OU と Laptop OU が作成されています。

  • Desktop OU。この OU には、ネットワークに常時接続しているデスクトップ コンピュータが含まれます。この OU に適用する設定については、「第 3 章 Windows XP クライアントのセキュリティ設定」および「第 4 章 Windows XP の管理用テンプレート」で詳しく説明します。

  • Laptop OU。この OU には、ネットワークに常時接続していないモバイル ユーザーのラップトップ コンピュータが含まれます。この OU に適用する設定については、「第 3 章 Windows XP クライアントのセキュリティ設定」および「第 4 章 Windows XP の管理用テンプレート」で詳しく説明します。

ページのトップへ

セキュリティ管理をサポートする GPO の設計

GPO を使用すると、OU に含まれるすべてのワークステーションまたはユーザーに対して特定のポリシー設定、ユーザー権利、および動作を適用することができます。手動で構成する代わりにグループ ポリシーを使用することにより、将来変更が必要になった場合でも複数のワークステーションやユーザーを簡単に更新できます。手動による構成は非効率的です。技術者が各クライアント コンピュータを設定する必要があるからです。また、ドメインベースの GPO のポリシー設定とローカルで適用されるポリシー設定が異なる場合は、ドメインベースの GPO のポリシー設定が優先します。

図 2.2 GPO の適用順序

拡大表示する

この図は、子 OU のメンバであるコンピュータに GPO が適用される順序を示しています。最下位 (1) から最上位 (5) の順で適用されます。グループ ポリシーの適用は、各 Windows XP ワークステーションのローカル ポリシーから始めます。ローカル ポリシーの適用後、サイト レベル、次にドメイン レベルの順序で GPO を適用します。

複数の OU 層にネストされた Windows XP クライアント コンピュータの場合、階層構造で最上位レベルにある OU から最下位レベルにある OU の順に GPO を適用します。最後の GPO の適用は、クライアント コンピュータを含んでいる OU から適用します。ある段階で適用した GPO によって、それまでに適用した GPO は上書きされるため、ローカル ポリシー、サイト、ドメイン、親 OU、子 OU という順序で GPO を適用することが重要です。ユーザーの GPO も同じ方法で適用されます。

グループ ポリシーを設計する際は、次の点を考慮してください。

  • 管理者は、複数の GPO を 1 つの OU にリンクする順序を設定する必要があります。この順序を設定しないと、既定では、ポリシーが OU にリンクされた順序で適用されます。複数のポリシーに同じ設定がある場合は、コンテナのポリシー リスト内で最上位にあるポリシーが優先されます。

  • GPO には [強制] オプションを設定できます。このオプションを選択すると、この GPO で構成する設定に優先する他の GPO を設定しても、その設定は適用されません。

    注 :[強制] オプションは、Windows 2000 では [上書き禁止] オプションとして表示されます。

  • [ポリシーを継承しない] オプションを設定した Active Directory、サイト、ドメイン、または OU を構成できます。このオプションを使用すると、[強制] オプションを選択していない限り、Active Directory 階層で上位にある GPO による GPO 設定はできなくなります。つまり、[強制] オプションが [ポリシーを継承しない] オプションに優先します。

  • グループ ポリシーの設定は、ユーザー オブジェクトやコンピュータ オブジェクトが Active Directory のどこに位置しているかに基づいて、それらのユーザーやコンピュータに適用します。場合によっては、ユーザー オブジェクトのポリシーは、ユーザー オブジェクトの場所ではなく、コンピュータ オブジェクトの場所に基づいて適用する必要があります。グループ ポリシー ループバック機能を使用すると、管理者はユーザーがログオンしているコンピュータに基づいてユーザーのグループ ポリシー設定を適用できます。ループバックのサポートの詳細については、この章の最後にある「関連情報」セクションに示すグループ ポリシーのホワイト ペーパーを参照してください。

次の図は前の OU 構造を拡張したものです。ここでは、Laptop OU やDesktop OU に属する Windows XP クライアント コンピュータに GPO を適用する方法を示しています。

図 2.3 Windows XP ベースのデスクトップ コンピュータとラップトップ コンピュータを含む、拡張された OU 構造

拡大表示する

上の例では、ラップトップ コンピュータは Laptop OU のメンバです。最初に適用されるポリシーは、ラップトップ コンピュータのローカル セキュリティ ポリシーです。この例ではサイトが 1 つだけなので、サイト レベルでは GPO が適用されていません。したがって、ドメイン GPO が次に適用する GPO です。最後に、ラップトップ GPO が適用されます。

**注 :**デスクトップ ポリシーは階層内の Laptop OU を含んでいる OU にリンクされていないため、どのラップトップにも適用されていません。また、Secured XP Users OU に含まれているのは管理用テンプレートの設定だけなので、この OU に対応するセキュリティ テンプレート (.inf ファイル) はありません。

優先順位がどのように決まるかを示す例として、Windows XP OU の [ターミナル サービスを通したログオンを許可する] ポリシー設定が [Administrator] に設定され、ラップトップ GPO の [ターミナル サービスを通したログオンを許可する] 設定が [Power Users] および [Administrators] に設定されているシナリオを考えます。この場合、アカウントが Power Users グループに属するユーザーは、ターミナル サービスを使用してラップトップにログオンできます。これは、Laptop OU が Windows XP OU の子であるためです。Windows XP GPO で [上書き禁止] ポリシー オプションが有効な場合は、ターミナル サービスを使用してクライアント コンピュータにログオンできるのは、Administrators グループのアカウントを持つユーザーだけです。

セキュリティ テンプレート

セキュリティ テンプレートは、セキュリティ設定の値を含むテキスト ファイルで、GPO のサブコンポーネントです。セキュリティ テンプレートに含まれるポリシー設定は、MMC の [グループ ポリシー オブジェクト エディタ] スナップインで変更でき、コンピュータの構成\Windows の設定\セキュリティの設定フォルダにあります。これらのファイルは、MMC の [セキュリティ テンプレート] スナップインや、メモ帳などのテキスト エディタで変更することもできます。GPO に含まれるセキュリティ テンプレートのポリシー設定を管理するときは [グループ ポリシー オブジェクト エディタ] スナップインを使用し、スタンドアロンのセキュリティ テンプレートのポリシー設定を管理するときは [セキュリティ テンプレート] スナップインを使用することをお勧めします。

テンプレート ファイルの一部のセクションには、Security Descriptor Definition Language (SDDL) で定義された固有のアクセス制御リスト (ACL) が含まれています。セキュリティ テンプレートと SDDL の編集方法については、この章の最後にある「関連情報」セクションを参照してください。

セキュリティ テンプレートの管理

運用環境のセキュリティ テンプレートは、インフラストラクチャ内の安全な場所に保管しておくことが重要です。セキュリティ テンプレートへのアクセスは、グループ ポリシーの実装を担当する管理者のみに許可する必要があります。Windows XP、Windows 2000、および Windows Server 2003 に付属するセキュリティ テンプレートは、既定で %SystemRoot%\security\templates フォルダに保存されています。第 1 章で説明したように、このガイドに付属するセキュリティ テンプレートは、このガイドが入っている WinZip アーカイブ ファイル内の .msi ファイルを実行すると、\Windows XP Security Guide Tools and Templates\Security Templates フォルダにコピーされます (このガイドのダウンロード版は https://go.microsoft.com/fwlink/?LinkId=14840 で入手できます)。組織のビジネス要件に合うようにセキュリティ テンプレートの設定を評価および調整するときは、セキュリティ テンプレートをこのフォルダからテスト コンピュータ上の新しいフォルダにコピーまたは移動できます。テストが完了したら、セキュリティ テンプレートの最終版を、ビルトイン セキュリティ テンプレートの既定の場所など、1 か所にまとめる必要があります。

%SystemRoot%\security\templates フォルダは、複数のドメイン コントローラ間で複製されません。したがって、テンプレートのバージョン管理で問題が発生しないようにするために、セキュリティ テンプレートのマスタ コピーを格納するドメイン コントローラを 1 つ選択する必要があります。このベスト プラクティスによって、常に同じセキュリティ テンプレートを修正できることになります。

セキュリティ テンプレートをインポートする

セキュリティ テンプレートをインポートするには、次の手順を実行します。

セキュリティ テンプレートを GPO にインポートするには

  1. グループ ポリシー オブジェクト エディタで [Windows の設定] フォルダに移動します。

  2. [Windows の設定] フォルダを展開して、[セキュリティの設定] を選択します。

  3. [セキュリティの設定] フォルダを右クリックして、[ポリシーのインポート] をクリックします。

  4. インポートするセキュリティ テンプレートを選択し、[開く] をクリックします。ファイルの設定が GPO にインポートされます。

管理用テンプレート

その他のセキュリティ設定は、管理用テンプレートという Unicode ベースのファイルにあります。これらのファイルには、Windows XP とそのコンポーネントや、Microsoft Office 2003 などのその他のアプリケーションに影響するレジストリ設定が含まれています。管理用テンプレートには、ユーザー設定だけでなく、コンピュータ設定が含まれることがあります。コンピュータ設定は、HKEY_LOCAL_MACHINE レジストリ ハイブに格納されています。ユーザー設定は、HKEY_CURRENT_USER レジストリ ハイブに格納されます。

管理用テンプレートの管理

セキュリティ テンプレートと同様に、運用環境で使用する管理用テンプレートもインフラストラクチャ内の安全な場所に保管することが重要です。この場所へのアクセスは、グループ ポリシーの実装を担当する管理者だけに許可する必要があります。Windows XP および Windows Server 2003 に付属している管理用テンプレートは、%systemroot%\inf ディレクトリに格納されています。Office 2003 のその他のテンプレートは、*「Office 2003 リソース キット」*に含まれています。Microsoft が提供する管理用テンプレートは、サービス パックのリリース時に変更される可能性があるので、編集しないでください。

ポリシーに管理用テンプレートを適用する

Office 2003 の設定を構成する GPO には、Windows XP に付属している管理用テンプレートに加えて、Office 2003 のテンプレートも適用できます。また、組織に固有のカスタム管理用テンプレートを作成することもできます。GPO に管理用テンプレートを追加するには、次の手順を実行します。

GPO に管理用テンプレートを追加するには

  1. グループ ポリシー オブジェクト エディタで [管理用テンプレート] フォルダに移動します。

  2. [管理用テンプレート] フォルダを右クリックして、[テンプレートの追加と削除] をクリックします。

  3. [テンプレートの追加と削除] ダイアログ ボックスの [追加] をクリックします。

  4. 管理用テンプレート ファイルを含んでいるフォルダに移動します。

  5. 追加するテンプレートを選択し、[開く]、[閉じる] の順にクリックします。

ページのトップへ

ドメイン レベルのグループ ポリシー

ドメイン レベルのグループ ポリシーには、ドメイン内のすべてのコンピュータとユーザーに適用する設定が含まれています。ドメイン レベルの設定は、既定のビルトイン ドメイン ポリシー内ではなく、新しい GPO 内で構成することをお勧めします。その理由は、新しい GPO 内で構成すると、このガイドで紹介した変更によって問題が発生した場合に、既定の設定を復元しやすいからです。注意が必要なのは、一部のアプリケーションでは、既定のドメイン ポリシーが自動的に構成されることです。このようなアプリケーションによって変更されたポリシー設定が、このガイドに示す Domain Policy GPO で定義されている設定と競合する可能性があります。ただし、ドメイン レベルで構成する設定の数は少ないので、このような事態が発生する可能性はほとんどありません。ドメイン レベルのセキュリティについては、https://go.microsoft.com/fwlink/?LinkId=14845 の『Windows Server 2003 セキュリティ ガイド』の「第 3 章 ドメイン ポリシー」で詳しく説明しています。

ページのトップへ

パスワード ポリシーの設定

複雑なパスワードを使用し、そのパスワードを定期的に変更することで、パスワード攻撃の可能性を低減することができます。パスワード ポリシーの設定は、パスワードの複雑さと有効期限を定義し、グループ ポリシーによってドメイン レベルでのみ構成できます。スタンドアロン コンピュータのローカルのセキュリティ アカウント マネージャ (SAM) でパスワード ポリシーを直接設定する方法については、「第 5 章 スタンドアロン Windows XP クライアントをセキュリティで保護する」を参照してください。

ここでは、EC 環境と SSLF 環境のパスワード ポリシーの設定について説明します。

パスワード ポリシーの設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。

コンピュータの構成\Windows の設定\セキュリティの設定\アカウント ポリシー\パスワード ポリシー

次の表に、このガイドで定義しているセキュリティ保護された 2 種類の環境に推奨されるパスワード ポリシーの設定を示します。各設定の詳細については、表の後の各サブセクションを参照してください。

表 2.1 パスワード ポリシーの推奨設定

設定 ドメイン コントローラの既定の設定 EC SSLF
パスワードの履歴を記録する 24 パスワード数 24 パスワード数 24 パスワード数
パスワードの有効期間 42 日間 90 日間 90 日間
パスワードの変更禁止期間 1 日 1 日 1 日
最小パスワード長 7 文字以上 8 文字以上 12 文字以上
パスワードは、複雑さの要件を満たす必要がある 有効 有効 有効
暗号化を元に戻せる状態でパスワードを保存する 無効 無効 無効
#### パスワードの履歴を記録する このポリシー設定では、1 つのユーザー アカウントで履歴に記録するパスワード数を指定します。ユーザーが一度使用したパスワードを再度使用するには、ここで指定されている数の回数だけパスワードを変更する必要があります。このポリシー設定で記録できるパスワードの数は 0 ~ 24 です。Windows XP の既定値は 0 ですが、ドメインの既定の設定は 24 です。このポリシー設定の効果を維持するには、\[パスワード変更禁止期間\] 設定を使用して、ユーザーがパスワードを頻繁に変更できないようにします。 このガイドで定義している 2 つのセキュリティ環境では、\[パスワードの履歴を記録する\] の値を \[24 パスワード数\] に設定します。 #### パスワードの有効期間 このポリシー設定の値の範囲は、1 ~ 999 日です (この値を 0 に設定すると、パスワードは無期限に有効となります)。このポリシー設定では、パスワードの有効期間を定義します。既定値は 42 日です。ほとんどのパスワードは割り出される可能性があります。したがって、パスワードを頻繁に変更すればするほど、攻撃者が割り出したパスワードを使用できる可能性は低くなります。ただし、パスワードの有効期間を短くすると、ヘルプ デスク サポートへの問い合わせ件数が増えるという問題が発生します。 このガイドで定義している 2 つのセキュリティ環境では、\[パスワードの有効期間\] の値を \[90 日\] に設定します。 #### パスワードの変更禁止期間 このポリシー設定では、1 つのパスワードの最低使用日数を指定します。この日数が経過した後でなければ、ユーザーはパスワードを変更できません。このポリシー設定の値の範囲は、1 ~ 998 日です(値を 0 に設定してパスワードを直ちに変更できるよう設定することもできます)。既定値は 0 日です。 \[パスワードの変更禁止期間\] 設定の値は、\[パスワードの有効期間\] 設定の値よりも短い日数に設定する必要があります。ただし、\[パスワードの有効期間\] 設定をパスワードが無期限に有効となる 0 日に設定した場合はこの限りではありません。\[パスワードの有効期間\] の値を 0 に設定した場合は、\[パスワードの変更禁止期間\] ポリシー設定の値を 0 ~ 999 日の範囲で自由に設定できます。 \[パスワードの履歴を記録する\] 設定の有効性を高めるには、この値を 0 よりも大きくします。\[パスワードの変更禁止期間\] 設定の値が 0 の場合、ユーザーはパスワードを次々に変更して、一度使用したパスワードをすぐに再使用できます。 このガイドで定義している 2 つのセキュリティ環境では、\[パスワードの変更禁止期間\] の値を \[1 日\] に設定します。この値により、ユーザーはパスワードを変更するまで丸 1 日待たなければならないため、同じパスワードが繰り返し再使用されるのを防ぐことができます。また、この値により、ユーザーはパスワードを再設定するまで少なくとも 1 日間は新しいパスワードを使用する必要があるので、そのパスワードを記憶しようとします。ユーザーが必ず \[パスワードの履歴を記録する\] 設定による制限を受けるという効果もあります。 #### 最小パスワード長 このポリシー設定では、ユーザー アカウントのパスワードを構成する最少の文字数を指定します。組織における最適なパスワード長の決定方法に関しては、さまざまな考え方がありますが、"パスワード" というよりも "パス フレーズ" という方が適切と思われます。Microsoft Windows 2000 以降のバージョンでは、かなり長いパス フレーズの指定も可能で、スペースを含めることもできます。したがって、"I want to drink a $5 milkshake" などのフレーズは有効なパス フレーズであり、乱数と英字から成る 8 文字または 10 文字の文字列よりもかなり強力であるだけでなく、覚えるのが比較的簡単です。ユーザーに対しては、パスワードの選択と維持の適切な方法について、特にパスワードの長さについて周知する必要があります。 EC 環境では、\[最小パスワード長\] の値を \[8 文字以上\] に設定します。このポリシー設定は、セキュリティを確保するには十分な長さで、なおかつユーザーが簡単に覚えられる短さです。SSLF 環境では、この値を \[12 文字以上\] に設定します。 #### パスワードは、複雑さの要件を満たす必要がある このポリシー設定では、すべての新しいパスワードが強力なパスワードに必要な基本要件を満たしているかどうかを確認します。既定では、Windows XP で \[無効\] に設定されていますが、Windows Server 2003 ドメインでは \[有効\] に設定されています。 パスワードが 1 文字長くなると、その複雑さは飛躍的に向上します。たとえば、7 文字のすべて小文字のアルファベットで構成されるパスワードには、267 (およそ 8 x 109、つまり 80 億) とおりの組み合わせがあります。1 秒間に 1,000,000 とおりの組み合わせを試した場合 (多くのパスワード解読ユーティリティの処理能力)、わずか 133 分で解読されてしまいます。7 文字のアルファベットで構成され、大文字と小文字が区別されるパスワードには、527 とおりの組み合わせがあります。句読点を含まない 7 文字の英数字で構成され、大文字と小文字が区別されるパスワードには、627 とおりの組み合わせがあります。8 文字のパスワードには、268 (つまり 2 x 1011) とおりの組み合わせがあります。これは、一見、膨大な数字に思えますが、1 秒間に 1,000,000 とおりの組み合わせがチェックされるとすると、すべての組み合わせを試すために要する時間は、わずか 59 時間です。Alt 文字やその他の特殊文字 (! や @ など) を使用してパスワードを作成すれば、解読時間は格段に長くなります。 これらのパスワード設定を適切に使用することで、ブルート フォース攻撃の成功率はゼロとはいかないまでも、格段に低くなります。 #### 暗号化を元に戻せる状態でパスワードを保存する このポリシー設定では、暗号化を元に戻せる状態でパスワードを保存するかどうかを指定します。この設定では、認証のためにユーザーのパスワードに関する情報が必要なプロトコルを使用するアプリケーションがサポートされます。暗号化を元に戻せる状態で保存されたパスワードは、プレーンテキストで保存されたパスワードと実質的に同じです。したがって、パスワード情報の保護よりアプリケーションの要件を優先する必要がない限り、このポリシー設定を有効にしないでください。このポリシー設定の既定値は \[無効\] です。 リモート アクセスまたはインターネット認証サービス (IAS) を介してチャレンジ ハンドシェイク認証プロトコル (CHAP) を使用する場合は、このポリシー設定を有効にする必要があります。また、Microsoft インターネット インフォメーション サービス (IIS) のダイジェスト認証を使用する場合も、このポリシーが必要です。 \[暗号化を元に戻せる状態でパスワードを保存する\] の値は必ず \[無効\] に設定してください。Windows Server 2003 の既定のドメイン GPO、およびワークステーションやサーバーのローカル セキュリティ ポリシーでは、無効になっています。このガイドで定義している 2 つのセキュリティ環境でも、\[無効\] に設定します。 #### ユーザーが不必要にパスワードを変更することを防ぐ この章の前半で説明したパスワード ポリシーに加え、組織によってはすべてのユーザーを集中管理する必要があります。ここでは、ユーザーが不必要にパスワードを変更することを防ぐ方法について説明します。 ユーザー パスワードの集中管理は、慎重に設計された Windows XP セキュリティ計画の基礎となる機能です。グループ ポリシーを使用して、前に説明したパスワードの変更禁止期間と有効期間を設定できます。ただし、パスワードの頻繁な変更を義務付けると、ユーザーが \[パスワードの履歴を記録する\] 設定を回避することが可能になります。また、長すぎるパスワードを求めると、パスワードを忘れたユーザーからヘルプ デスクへの問い合わせ件数が増えることになります。 パスワードの変更禁止期間が過ぎてから有効期限が切れるまでの間であれば、ユーザーは自分のパスワードをいつでも変更できます。ただし、セキュリティ強化 - 機能制限環境のセキュリティ設計では、パスワードが 42 日の有効期間に達した時点でオペレーティング システムでパスワードの変更が要求された場合にのみ、ユーザーがパスワードを変更できるようにする必要があります。この制御レベルを実現するには、**Ctrl** + **Alt** + **Del** キーを押すと表示される \[Windows のセキュリティ\] ダイアログ ボックスの \[パスワードの変更\] を無効にします。 この設定をドメイン全体に適用する場合は、グループ ポリシーを使用します。この設定を特定のユーザーに対して適用する場合は、レジストリを編集します。この構成の詳細については、https://support.microsoft.com/default.aspx?scid=324744 のマイクロソフト サポート技術情報 324744「[Windows Server 2003 でシステムからの要求時以外はユーザーによるパスワードの変更を禁止する方法](https://support.microsoft.com/default.aspx?scid=324744)」を参照してください。Windows 2000 ドメインが存在する場合は、https://support.microsoft.com/default.aspx?scid=309799 のマイクロソフト サポート技術情報 309799「[Windows 2000 でシステムからの要求時以外はユーザーによるパスワードの変更を禁止する方法](https://support.microsoft.com/default.aspx?scid=309799)」を参照してください。 [](#mainsection)[ページのトップへ](#mainsection) ### アカウント ロックアウト ポリシーの設定 アカウント ロックアウト ポリシーは、指定した期間内に一定の回数以上ログオンに失敗した場合、そのユーザー アカウントをロックして、ログオンできなくする Active Directory のセキュリティ機能です。ログオンの試行は、ドメイン コントローラによって追跡されます。許容試行回数と期間には、アカウント ロックアウトの設定で指定した値が適用されます。ロックアウトの期間を指定することもできます。 これらのポリシー設定は、攻撃者がユーザー パスワードを推測するのを阻止し、ネットワーク環境への攻撃が成功する確率を低下させることを目的としています。ただし、アカウント ロックアウト ポリシーを有効にすると、ネットワーク ユーザーのサポートの問題が増える可能性があります。次の設定を有効にする前に、組織で管理オーバーヘッドの増加に対応できることを確認してください。多くの組織にとって、コストを抑えながらセキュリティを確保するソリューションは、自動的にドメイン コントローラのセキュリティ イベント ログのスキャンを行い、攻撃者がユーザー アカウントのパスワードを推測しようとしていると思われるときに管理上の警告を生成することです。 アカウント ロックアウト ポリシー設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。 **コンピュータの構成\\Windows の設定\\セキュリティの設定\\アカウント ポリシー\\アカウント ロックアウトのポリシー** 次の表に、このガイドで定義している 2 つのセキュリティ環境に推奨されるアカウント ロックアウト ポリシーの設定を示します。各設定の詳細については、表の後の各サブセクションを参照してください。 **表 2.2 アカウント ロックアウト ポリシーの推奨設定**
設定 ドメイン コントローラの既定の設定 EC SSLF
ロックアウト期間 未定義 15 分 15 分
アカウントのロックアウトのしきい値 0 回ログオンに失敗 50 回ログオンに失敗 10 回ログオンに失敗
ロックアウト カウンタのリセット 未定義 15 分 15 分
#### ロックアウト期間 このポリシー設定では、アカウントのロックを解除し、ユーザーが再びログインできるようになるまでに必要な期間を指定します。この設定にて分単位で指定した期間内は、ロックされたアカウントを使用できなくなります。このポリシー設定の値を 0 に設定すると、管理者が解除するまでアカウントはロックされたままになります。このポリシー設定の Windows XP の既定値は \[未定義\] です。 このガイドで定義している EC 環境と SSLF 環境で、ヘルプ デスクへの問い合わせ件数を減らすと同時に、インフラストラクチャのセキュリティを保護するには、\[ロックアウト期間\] の値を \[15 分\] に設定します。 ロックが自動的に解除されないようにこのポリシー設定の値を設定しておくと一見安全に思えますが、間違ってロックされたアカウントのロック解除を求めるヘルプ デスクへの問い合わせ件数が増加する可能性があります。推奨設定値の 15 分は、ユーザーのアカウントがロックされた場合に再びログオンできるまでの待ち時間として妥当な長さであるという理由から決定されました。ユーザーがヘルプ デスクに問い合わせる必要があるのはコンピュータへのアクセスを回復する緊急の事情がある場合だけであることを理解してもらうために、このポリシーの設定内容をユーザーに対して説明する必要があります。 #### アカウントのロックアウトのしきい値 このポリシー設定では、ユーザーが何回ログオンに失敗した時点でそのアカウントをロックするかどうかを指定します。正規ユーザーが間違ったパスワードを入力した場合、パスワードを間違って覚えていた場合、またはコンピュータにログオンした状態で別のコンピュータを使用してパスワードを変更した場合、そのユーザーのアカウントがロックされます。コンピュータに間違ったパスワードを入力しても、ユーザーの認証処理は引き続き実行されますが、認証に必要なパスワードが間違っているので、そのユーザー アカウントはロックされてしまいます。正規ユーザーが誤ってロックされるのを防ぐには、アカウントのロックアウトのしきい値に大きい値を設定します。このポリシー設定の既定値は \[0 回ログオンに失敗\] です。この値では、アカウント ロックアウト機能が無効になります。 \[アカウントのロックアウトのしきい値\] の値は、EC 環境では \[50 回ログオンに失敗\]、SSLF 環境では \[10 回ログオンに失敗\] に設定します。 攻撃者は多数のアカウントでロックアウトを発生させることで、ロックアウトの状態をサービス拒否 (DoS) として利用できるので、組織では、特定された脅威と軽減したいリスクに基づいてこのポリシー設定を使用するかどうかを決定する必要があります。このポリシー設定で考えられるオプションは次の 2 つです。 - \[アカウントのロックアウトのしきい値\] を \[0 回ログオンに失敗\] に設定して、アカウントがロックアウトされないようにします。この設定値では、組織のアカウントをロックしようとする DoS 攻撃を阻止できます。また、ユーザーが自分のアカウントを間違ってロックしてしまうことがないので、ヘルプ デスクへの問い合わせ件数が減少します。ただし、この設定値ではブルート フォース攻撃を阻止できません。次の防御についても検討する必要があります。 - すべてのユーザーが 8 文字以上の複雑なパスワードを使用することを要求するパスワード ポリシー。 - 環境内でアカウントのロックアウトが繰り返し発生した場合に管理者への警告が行われる、堅牢な監査メカニズム。たとえば、監査ソリューションは、ログオンの失敗を表すセキュリティイベント 539 を監視する必要があります。このイベントは、ログオンしようとしてアカウントがロックされたことを意味しています。 もう 1 つのオプションは次のとおりです。 - \[アカウントのロックアウトのしきい値\] を、ユーザーが何回かパスワードの入力を誤ってもアカウントがロックされず、ブルート フォース パスワード攻撃が発生した場合はアカウントがロックされるような値に設定します。EC 環境では \[50 回ログオンに失敗\]、SSLF 環境では \[10 回ログオンに失敗\] に設定することで、十分なセキュリティと使いやすさの両方を実現できます。この構成では、アカウントが誤ってロックされることが防止されるのでヘルプ デスクへの問い合わせ件数は減少しますが、前のオプションで説明した DoS 攻撃を阻止することはできません。 #### ロックアウト カウンタのリセット このポリシー設定では、\[アカウントのロックアウトのしきい値\] を 0 にリセットするまでの時間を指定します。このポリシー設定の既定値は \[未定義\] です。\[アカウントのロックアウトのしきい値\] を定義した場合、このリセット時間は、\[ロックアウト期間\] 設定の値以下に設定する必要があります。 このガイドで定義している EC 環境および SSLF 環境では、\[ロックアウト カウンタのリセット\] の値を \[15 分\] に設定します。 このポリシー設定を既定値のままにした場合、または非常に長い時間に設定した場合は、DoS 攻撃を受ける可能性が高くなります。前に説明したように、攻撃者は組織内のすべてのユーザーを対象にログオン失敗を故意に繰り返して、ユーザーのアカウントをロックします。アカウントのロックアウトをリセットするポリシーを指定しない場合は、すべてのアカウントを管理者が手動でロックを解除する必要があります。反対に、このポリシー設定に値を設定した場合、すべてのアカウントが自動的にロック解除されるまで、ユーザーはロックアウトされます。推奨設定値の 15 分は、ユーザーが再びログオンできるまでの待ち時間として妥当な長さであるという理由から決定されました。これにより、ヘルプ デスクへの問い合わせ件数を最小限に抑えることができます。ユーザーがヘルプ デスクに問い合わせる必要があるのはコンピュータへのアクセスを回復する緊急の事情がある場合だけであることを理解してもらうために、このポリシーの設定内容をユーザーに対して説明する必要があります。 [](#mainsection)[ページのトップへ](#mainsection) ### ユーザー権利の割り当ての設定 ユーザー権利については、「第 3 章 Windows XP クライアントのセキュリティ設定」で詳しく説明しています。ただし、\[ドメインにワークステーションを追加\] ユーザー権利はすべてのドメイン コントローラに割り当てる必要があるので、この章で説明します。メンバ サーバーおよびドメイン コントローラの設定の追加情報については、*『WindowsServer 2003セキュリティ ガイド』*の第 4 章と第 5 章を参照してください。 #### ドメインにワークステーションを追加 このポリシー設定では、ユーザーが特定のドメインにコンピュータを追加することを許可します。 **表 2.3 ユーザー権利の割り当ての推奨設定**
設定 ドメイン コントローラの既定の設定 EC SSLF
ドメインにワークステーションを追加 Authenticated Users Administrators Administrators
\[ドメインにワークステーションを追加\] 設定を有効にするには、ドメインのすべてのドメイン コントローラに適用される GPO 内のユーザーにこの権利を割り当てる必要があります。この権利を割り当てられたユーザーは、最大 10 台のワークステーションをドメインに追加できます。OU または Active Directory の Computers コンテナに対する \[コンピュータ オブジェクト作成\] アクセス許可を割り当てられているユーザーは、\[ドメインにワークステーションを追加\] ユーザー権利を割り当てられているかどうかに関係なく、ドメインにコンピュータを追加したり、ドメインにコンピュータを無制限に追加したりできます。 既定では、**Authenticated Users** グループのユーザーは、Active Directory ドメインに最大 10 台のコンピュータを追加できます。これらの新しいコンピュータ アカウントは、Computers コンテナに作成されます。 Active Directory ドメインでは、各コンピュータ アカウントは、ドメイン リソースに対する認証およびアクセスが可能なフル セキュリティ プリンシパルです。組織によっては、追跡、作成、および管理を一貫して行うことができるように、Active Directory 環境内のコンピュータ数を制限する必要がある場合があります。ドメインへのワークステーションの追加をユーザーに許可した場合、そのような管理作業は妨害される可能性があります。また、ユーザーは許可されていないドメイン コンピュータを新しく作成できるので、追跡するのがさらに困難なアクティビティが実行されてしまいます。 これらの理由から、このガイドで定義している 2 つの環境では、\[ドメインにワークステーションを追加\] ユーザー権利は、**Administrators** グループにのみ割り当てます。 [](#mainsection)[ページのトップへ](#mainsection) ### セキュリティ オプションの設定 アカウント ポリシーは、既定のドメイン ポリシーのポリシー設定など、ドメイン レベルでリンクされる GPO で定義する必要があります。ドメイン コントローラは、常にドメイン レベルの GPO からアカウント ポリシーを取得します。そのドメイン コントローラを含んでいる OU に適用されている GPO で別のアカウント ポリシーが設定されている場合でも同様です。 ドメイン レベルでは、アカウント ポリシーと同様の 3 つのセキュリティ オプションの設定を検討する必要があります。これらのセキュリティ オプションの設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。 **コンピュータの構成\\Windows の設定\\セキュリティの設定\\ローカル ポリシー\\セキュリティ オプション** 次の表に、このガイドで定義しているセキュリティ保護された 2 つの環境に推奨されるセキュリティ オプションの設定を示します。各設定の詳細については、表の後の各サブセクションを参照してください。 **表 2.4 セキュリティ オプションの推奨設定**
設定 ドメイン コントローラの既定の設定 EC SSLF
Microsoft ネットワーク サーバー:ログオン時間の有効期間が切れるとクライアントを切断する 未定義 有効 有効
ネットワーク アクセス:匿名の SID と名前の変換を許可する 未定義 無効 無効
ネットワーク セキュリティ:ログオン時間を経過した場合はユーザーを強制的にログオフさせる 無効 有効 有効
#### Microsoft ネットワーク サーバー:ログオン時間の有効期間が切れるとクライアントを切断する このポリシー設定では、ユーザー アカウントの有効なログオン時間外に、ローカル ネットワークに接続しているユーザーを切断するかどうかを決定します。このポリシー設定は、サーバー メッセージ ブロック (SMB) コンポーネントに影響を与えます。このポリシー設定を有効にすると、SMB サービスを使用しているクライアントのログオン時間が制限時間に達した時点で、そのクライアント コンピュータのセッションは強制的に切断されます。無効にすると、クライアントのログオン制限時間に達した後も、そのクライアント コンピュータのセッションはそのまま維持されます。このポリシー設定を有効にするときは、\[ネットワーク セキュリティ: ログオン時間を経過した場合はユーザーを強制的にログオフさせる\] 設定も有効にする必要があります。 **注 :**サーバー メッセージ ブロック (SMB) は Windows ネットワーク内の共有リソースの基盤です。したがって、SMB に影響する設定は、フォルダやプリンタなどの共有リソースに影響します。 組織でユーザーのログオン時間が決められている場合は、\[Microsoft ネットワーク サーバー: ログオン時間の有効期間が切れるとクライアントを切断する\] 設定を有効にします。そうしないと、ログオン時間外にネットワーク リソースにアクセスできないはずのユーザーが、有効期間内に確立されたセッションを通じてネットワーク リソースを引き続き使用できることになります。 組織でログオン時間を使用していない場合は、このポリシー設定を有効にしても効果はありません。ログオン時間を使用している場合は、ユーザーのログオンが制限時間に達した時点で、そのユーザー セッションは終了されます。 #### ネットワーク アクセス:匿名の SID と名前の変換を許可する \[ネットワーク アクセス: 匿名の SID と名前の変換を許可する\] では、匿名ユーザーが他のユーザーの SID を要求できるようにするかどうかを指定します。ドメイン コントローラでこのポリシー設定を有効にすると、管理者の SID 属性を知っているユーザーは、このポリシー設定が有効になっている別のコンピュータにアクセスし、その SID を使用して管理者のアカウント情報を取得できます。さらに、そのユーザーは、取得したアカウントを使用してパスワード推測攻撃を開始できます。*メンバ コンピュータ*の既定の設定は \[無効\] です。ただし、*ドメイン コントローラ*の既定の設定は \[有効\] です。このポリシー設定を無効にすると、次のシステムまたはユーザーは Windows Server 2003 ベースのドメインと通信できなくなる場合があります。 - Microsoft Windows NT® 4.0 ベースのリモート アクセス サービス サーバー - Windows NT 3.*x* ドメインまたは Windows NT 4.0 ドメインに配置されている Windows 2000 ベースのコンピュータで実行されているリモート アクセス サービス サーバー - Windows NT 3.*x* ベースのコンピュータまたは Windows NT 4.0 ベースのコンピュータで実行されている Microsoft SQL Server - Windows NT 3.*x* ドメインまたは Windows NT 4.0 ドメインに配置されている Windows 2000 ベースのコンピュータで実行されている SQL Server - Windows Server 2003 ドメイン コントローラを含むアカウント ドメインのユーザー アカウントに対して、ファイル、共有フォルダ、およびレジストリ オブジェクトへのアクセス許可を割り当てる Windows NT 4.0 リソース ドメインのユーザー #### ネットワーク セキュリティ:ログオン時間を経過した場合はユーザーを強制的にログオフさせる \[ネットワーク セキュリティ:ログオン時間を経過した場合はユーザーを強制的にログオフさせる\] 設定では、ユーザー アカウントの有効なログオン時間外に、ローカル ネットワークに接続しているユーザーを切断するかどうかを決定します。このポリシー設定は SMB コンポーネントに影響します。 このポリシー設定を有効にすると、SMB サーバーを使用しているユーザーのログオン時間が制限値に達した時点で、そのクライアント コンピュータのセッションは強制的に切断され、ユーザーは次の許可されたアクセス時間までシステムにログオンできなくなります。無効にすると、ユーザーのログオン時間が制限値に達した後でも、クライアント コンピュータの現在のセッションはそのまま維持されます。ドメイン アカウントに適用するには、このポリシー設定をドメイン ルートにリンクされる GPO で定義する必要があります。 [](#mainsection)[ページのトップへ](#mainsection) ### Kerberos ポリシー Kerberos V 5 認証プロトコルのポリシーは、ドメインのメンバ コンピュータではなく、ドメイン コントローラで設定します。このポリシー設定では、チケットの有効期間や制限の強制などの Kerberos プロトコル関連の設定を指定します。Kerberos 設定は、ローカル コンピュータ ポリシーには存在しません。ほとんどの環境では、これらの設定の既定値を変更しないでください。このガイドでは、既定の Kerberos ポリシーを変更しません。これらの設定の詳細については、https://go.microsoft.com/fwlink/?LinkId=15159 の関連ガイド『[*脅威とその対策 : Windows Server 2003 と Windows XP のセキュリティ設定*](https://www.microsoft.com/japan/technet/security/guidance/serversecurity/tcg/tcgch01n.mspx)』を参照してください。 [](#mainsection)[ページのトップへ](#mainsection) ### OU レベルのグループ ポリシー OU レベルのグループ ポリシーに含まれるセキュリティ設定は、OU 固有のものです。これらの設定には、コンピュータの設定とユーザーの設定の両方が含まれます。管理を容易にする一方でセキュリティを強化する方法については、このガイドのその他のセキュリティ設定とは別に、ソフトウェア制限ポリシー (SRP) に関するセクションで説明します。「第 6 章 Windows XP クライアントのソフトウェア制限ポリシー」では、SRP について詳しく説明します。 #### グループ ポリシーのセキュリティ設定 ユーザー環境にある Windows XP コンピュータのカテゴリごとに GPO を作成する必要があります。このガイドでは、コンピュータ カテゴリごとにカスタマイズされた GPO を適用するために、ラップトップ コンピュータとデスクトップ コンピュータは個別の OU に分割されています。 #### ソフトウェア制限ポリシーの設定 環境で SRP 設定を構成するための専用 GPO を作成します。SRP 設定をその他のグループ ポリシー設定とは別に設定する理由はいくつかあります。まず、SRP は他のグループポリシー設定とは概念的に異なります。SRP では、オプションの有効化や無効化、または値の設定は行いません。SRP では、管理者が、サポートする一連のアプリケーション、適用する制限、および例外の処理方法を指定する必要があります。また、SRP 設定を使用すると、運用環境で SRP ポリシーを実装する際に重大な過失があった場合でも、迅速にシステムを回復できます。管理者は、他のセキュリティ設定に影響を与えることなく、SRP 設定が定義されている GPO を一時的に無効にできます。 [](#mainsection)[ページのトップへ](#mainsection) ### グループ ポリシー ツール Windows XP には、GPO の操作を容易にするツールがいくつか付属しています。ここでは、これらのツールについて簡単に説明します。これらのツールの詳細については、Windows XP のオンライン ヘルプを参照してください。 #### グループ ポリシーを強制的に更新する Active Directory は定期的にグループ ポリシーを更新しますが、Windows XP Professional に付属しているコマンドライン ツールである Gpupdate を使用すると、クライアント コンピュータのバージョンを強制的に更新できます。このツールは、クライアント コンピュータでローカルで実行する必要があります。 このツールを使用してローカル コンピュータを更新するには、コマンド プロンプトで次のコマンドを実行します。 `gpupdate /force`

Gpupdate を実行すると、次の確認情報が表示されます。

C:\Documents and Settings\administrator.MSSLAB>gpupdate  
/force ポリシーを最新の情報に更新しています
...User ポリシーの更新が完了しました。
Computer ポリシーの更新が完了しました。
ポリシーの処理でエラーが発生していないかチェックするには、
イベントログを参照してください。
C:\Documents and Settings\administrator.MSSLAB>

ユーザーベースのグループ ポリシーの場合、ポリシーのテストに使用するコンピュータから一度ログオフしてから再度ログオンする必要があります。コンピュータのポリシーはただちに更新されます。

Gpupdate で使用できる他のオプションを表示するには、コマンド プロンプトで次のコマンドを実行します。

gpupdate /?

ポリシーの結果セットを表示する

Windows XP には、ユーザー環境のコンピュータに適用するポリシー、それらのポリシーの適用時期、および適用順位を確認するためのツールが 2 つ付属しています。

  • [RSoP] スナップイン。このツール (RSoP.msc) は、MMC のスナップイン ツールで、コンピュータに適用されているすべてのポリシーの集合設定を表示します。このツールは、ローカルまたはリモートのコンピュータから実行できます。RSoP ツールでは、各ポリシー設定に対するコンピュータ設定およびソース GPO が表示されます。

  • Gpresult。グループ ポリシーが最後にコンピュータに適用された時期、コンピュータに適用されたGPO の内容、および適用の順序に関する統計を表示するコマンドライン ツールです。このツールは、フィルタを通して適用された GPO に関する情報も表示します。Gpresult ツールは、ローカルまたはリモートのクライアント コンピュータで使用できます。

グループ ポリシー管理コンソール

グループ ポリシー管理コンソール(GPMC)は、Windows Server 2003 Service Pack 1 のオプションのコンポーネントとして使用できる MMC のスナップインです。グループ ポリシー関連のすべてのタスクの管理に使用します。GPMC を使用すると、GPO の適用の計画、実行、展開、報告、スクリプト化、およびトラブルシューティングを行うことができます。詳細については、https://www.microsoft.com/japan/windowsserver2003/gpmc/default.mspx の「グループ ポリシー管理コンソールによる企業システムの管理」を参照してください。

ページのトップへ

まとめ

グループ ポリシーは、Windows Server 2003 ドメインおよび Windows 2000 ドメインのユーザーおよびコンピュータの環境を制御できる Active Directory ベースの機能です。グループ ポリシーを環境内の Windows XP デスクトップに適用する前に、ドメインで特定の準備作業を行う必要があります。

環境でドメイン コントローラのグループ ポリシー オブジェクト (GPO) に格納されているグループ ポリシー設定は、Active Directory 構造内にあるサイト、ドメイン、および OU にリンクしています。Active Directory 構造、およびその中で設定するさまざまな設計オプションがセキュリティに与える影響を理解したうえでグループポリシーを適用することが重要です。

グループ ポリシーは、Windows XP のセキュリティ保護には不可欠なツールです。この章では、ネットワーク全体で一貫したセキュリティ ポリシーを中央から一括して適用および維持するためのグループ ポリシーの使用方法について詳しく説明しました。

また、さまざまなレベルのグループ ポリシーに関する情報、および環境内のグループ ポリシーを更新するために使用できる特別なツールについても説明しました。

関連情報

次のリンクにアクセスすると、Windows XP Professional のセキュリティに関する詳細な情報を参照できます。

  • Active Directory の管理および設計の詳細については、https://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/plan/addeladm.mspx のホワイト ペーパー「Design Considerations for Delegation of Administration in Active Directory」(英語情報) を参照してください。

  • Active Directory の設計の詳細については、https://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/plan/bpaddsgn.mspx のホワイト ペーパー「Best Practice Active Directory Design for Managing Windows Networks」(英語情報) を参照してください。

  • グループ ポリシーの詳細については、https://www.microsoft.com/japan/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/gpfeat.mspx のホワイト ペーパー「ステップバイステップ ガイド : Windows Server 2003 のグループ ポリシー機能」を参照してください。
    また、https://www.microsoft.com/japan/windowsserver2003/technologies/management/grouppolicy/default.mspx にある、Windows Server 2003 のグループ ポリシーのホーム ページも参照してください。

  • Windows XP のセキュリティの詳細については、https://www.microsoft.com/WindowsXP/pro/techinfo/productdoc/resourcekit.asp の「Microsoft Windows XP Professional Resource Kit Documentation」(英語情報) を参照してください。

  • Windows XP のセキュリティ機能の概要については、https://www.microsoft.com/japan/technet/prodtechnol/winxppro/evaluate/xpsec.mspx のホワイト ペーパー「Windows XP Professional および Windows XP Home Edition のセキュリティ最新情報」を参照してください。

  • 管理用テンプレートの詳細については、https://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/management/gp/admtgp.mspx のホワイト ペーパー「Using Administrative Template Files with Registry-Based Group Policy」(英語情報) を参照してください。

  • グループ ポリシー管理コンソール (GPMC) の詳細については、https://www.microsoft.com/japan/windowsserver2003/gpmc/default.mspx の「グループ ポリシー管理コンソールによる企業システムの管理」を参照してください。

  • Group Update ツール (Gpupdate) の詳細については、https://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/refrgp.mspx (英語情報) を参照してください。

  • ポリシーの結果セット (RSoP) ツールの詳細については、https://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/rspoverview.mspx (英語情報) を参照してください。

  • グループ ポリシー結果ツール (Gpresult) の詳細については、https://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/gpresult.mspx (英語情報) を参照してください。

  • Active Directory での権限の委任方法については、https://www.microsoft.com/resources/documentation/Windows/2000/server/reskit/en-us/distrib/dsca_pt3_stbp.asp にある、*『Windows 2000 Resource Kits』*の「Distributed Security」の計画に関するセクション (英語情報) を参照してください。

ページのトップへ