Microsoft ネットワーク サーバー: S4U2Self を試行して要求情報を取得する
[Microsoft ネットワーク サーバー: S4U2Self を試行して要求情報を取得する] セキュリティ ポリシー設定のベスト プラクティス、場所、値、管理、およびセキュリティに関する考慮事項について説明します。
リファレンス
このセキュリティ設定は、ユーザー要求を必要とするファイル共有にアクセスしようとする、Windows 8 より前のバージョンの Windows を実行しているクライアント デバイスをサポートします。この設定は、ローカル ファイル サーバーが Kerberos Service-for-User-to-Self (S4U2Self) 機能を使用して、ネットワーク クライアント プリンシパルの要求をクライアントのアカウント ドメインから取得しようとするかどうかを決定します。この設定は、ファイル サーバーがファイル アクセスの制御にユーザー要求を使用していて、ファイル サーバーによってサポートされるクライアント プリンシパルのアカウントが、Windows 8 または Windows Server 2012 より前のバージョンの Windows を実行しているクライアント コンピューターとドメイン コントローラーを含むドメインに存在する可能性がある場合にのみ有効にしてください。
このセキュリティ設定を有効にすると、Windows ファイル サーバーは認証済みのネットワーク クライアント プリンシパルのアクセス トークンを調べて、要求情報が存在するかどうかを判断します。要求が存在しない場合は、Kerberos S4U2Self 機能を使用して、クライアントのアカウント ドメインの Windows Server 2012 ドメイン コントローラーにアクセスし、要求が有効になっているクライアント プリンシパルのアクセス トークンを取得しようとします。要求が有効になっているトークンは、要求に基づくアクセス制御ポリシーが適用されているファイルまたはフォルダーにアクセスするために必要になる場合があります。
この設定が無効になっている場合、Windows ファイル サーバーは要求が有効になっているクライアント プリンシパルのアクセス トークンを取得しようとしません。
設定可能な値
既定
Windows ファイル サーバーは、認証済みのネットワーク クライアント プリンシパルのアクセス トークンを調べて、要求情報が存在するかどうかを判断します。
有効
[既定] と同じ。
無効
未定義
[無効] と同じ。
ベスト プラクティス
ユーザーが要求を必要とするかどうかをファイル サーバーが自動的に評価できるように、この設定は [既定] に設定してください。この設定は、ユーザー要求が含まれるローカル ファイル アクセス ポリシーがある場合にのみ、明示的に [有効] に構成する必要があります。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
次の表に、このポリシーの実際の値と有効な既定値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
| サーバーの種類または GPO | 既定値 |
|---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
未定義 |
DC の有効な既定の設定 |
無効 |
メンバー サーバーの有効な既定の設定 |
無効 |
クライアント コンピューターの有効な既定の設定 |
無効 |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能やツールについて説明します。
再起動の必要性
なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はデバイスを再起動しなくても有効になります。
グループ ポリシー
この設定は、ファイル サーバーがファイル アクセスの制御にユーザー要求を使用していて、ファイル サーバーによってサポートされるクライアント プリンシパルのアカウントが、Windows 8 または Windows Server 2012 より前のバージョンの Windows を実行しているクライアント コンピューターとドメイン コントローラーを含むドメインに存在する可能性がある場合にのみ有効にしてください。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
なし。このポリシー設定を有効にすると、Windows Server 2012 および Windows 8 より前の Windows オペレーティング システムに適用される要求ベースのアクセス制御ポリシーが設定されたファイルまたはフォルダーにアクセスするために、要求が有効になっているトークンを使用する特定のシナリオ向けの機能を Windows Server 2012 および Windows 8 で活用できるようになります。
対策
該当なし。
潜在的な影響
なし。