ローカル ログオンを許可する
[ローカル ログオンを許可する] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
参考
このポリシー設定では、デバイスで対話型のセッションを開始することができるユーザーを決定します。ユーザーは、Windows ベースのメンバー デバイスまたはドメイン コント ローラーで実行されているリモート デスクトップ サービス セッション経由でログオンするには、このユーザー権利が必要です。
注
この権利を持たないユーザーも、[リモート デスクトップ サービスを使ったログオンを許可] 権利を持つ場合にはデバイスでリモートの対話型セッションを開始できます。
定数: SeInteractiveLogonRight
設定可能な値
アカウントのユーザー定義一覧
未定義
既定では、次のグループのメンバーには、ワークステーションやサーバーでこの権利があります。
Administrators
Backup Operators
Users
既定では、次のグループのメンバーには、ドメイン コントローラーでこの権利があります。
Account Operators
Administrators
Backup Operators
Print Operators
Server Operators
ベスト プラクティス
このユーザー権利は、デバイスのコンソールにログオンする必要がある正規のユーザーに制限してください。
既定のグループを選択的に削除する場合は、組織内の特定の管理役割に割り当てられているユーザーの能力を制限できます。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\ユーザー権利の割り当て
既定値
次の表に、サポートされている最新バージョンの Windows の実際のポリシー値と有効な既定のポリシー値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
| サーバーの種類または GPO | 既定値 |
|---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
Account Operators Administrators Backup Operators Print Operators Server Operators |
スタンドアロン サーバーの既定の設定 |
Administrators Backup Operators Users |
ドメイン コントローラーの有効な既定の設定 |
Account Operators Administrators Backup Operators Print Operators Server Operators |
メンバー サーバーの有効な既定の設定 |
Administrators Backup Operators Users |
クライアント コンピューターの有効な既定の設定 |
Administrators Backup Operators Users |
ポリシー管理
この変更を実装するためにデバイスを再起動する必要はありません。
アカウントのユーザー権利の割り当てに対する変更はすべて、アカウントの所有者が次にログオンしたときに有効になります。
この設定を変更すると、クライアント、サービス、アプリケーションとの互換性に影響が生じる可能性があります。コンポーネントで使用されるサービス アカウントや、メンバー デバイス上とドメインのドメイン コントローラー上のプログラムで使用されるサービス アカウントを既定のドメイン コントローラーのポリシーから削除するときは注意してください。同様に、ドメインのメンバー デバイスのコンソールにログオンするユーザーまたはセキュリティ グループを削除するとき、またはメンバー デバイスまたはワークグループ デバイスのローカル セキュリティ アカウント マネージャー (SAM) データベースで定義されたサービス アカウントを削除するときは注意してください。
ドメイン コントローラーにローカル ログオンする能力をユーザー アカウントに付与する場合は、そのユーザーを [ローカル ログオンを許可する] システム権利をすでに持つグループのメンバーにするか、またはこの権利をそのユーザー アカウントに付与する必要があります。
ドメインのドメイン コントローラーは、既定のドメイン コントローラーのグループ ポリシー オブジェクト (GPO) を共有します。アカウントに [ローカル ログオンを許可する] 権利を付与する場合、ドメインのすべてのドメイン コントローラーにローカル ログオンをそのアカウントに許可することになります。
GPO の [ローカル ログオンを許可する] の設定に Users グループが含まれる場合、すべてのドメイン ユーザーがローカル ログオンできます。組み込みの Users グループには、メンバーとして Domain Users が含まれます。
グループ ポリシー
グループ ポリシー設定は、GPO を通じて次の順番で適用されます。これにより、次回のグループ ポリシーの更新時にローカル コンピューターの設定が上書きされます。
ローカル ポリシー設定
サイト ポリシー設定
ドメイン ポリシー設定
OU ポリシー設定
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
[ローカル ログオンを許可する] ユーザー権利を持つすべてのアカウントがデバイスのコンソールにログオンできます。コンピューターのコンソールにログオンする必要がある正規のユーザーにこのユーザー権利を制限しない場合、承認されていないユーザーが特権を昇格するために、悪意のあるソフトウェアをダウンロードして実行する可能性があります。
対策
ドメイン コントローラーの場合は、[ローカル ログオンを許可する] ユーザー権利を Administrators グループのみに割り当てます。他のサーバー役割の場合は、Administrators だけでなく Backup Operators を追加することもできます。エンドユーザーのコンピューターの場合は、この権利を Users グループに割り当てることも必要です。
または、Account Operators、Server Operators、Guest などのグループに [ローカル ログオンを拒否する] ユーザー権利を割り当てることができます。
考えられる影響
これらの既定のグループを削除すると、環境内で特定の管理役割に割り当てられているユーザーの能力を制限できます。ASP.NET や IIS などのオプション コンポーネントをインストールしている場合は、 それらのコンポーネントで必要とされる他のアカウントに [ローカル ログオンを許可する] ユーザー権利を割り当てる必要がある場合があります。IIS では、このユーザー権利を IUSR_<ComputerName> アカウントに割り当てることが必要です。[ローカル ログオンを許可する] ユーザー権利の割り当てに加えた変更によって、委任されたアクティビティが悪影響を受けないことを確認する必要があります。