回復コンソール: 自動管理ログオンを許可する
[回復コンソール: 自動管理ログオンを許可する] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
リファレンス
このポリシー設定では、デバイスへのアクセスが許可される前に、ビルトイン Administrator アカウントのパスワードを指定する必要があるかどうかを決定します。この設定を有効にした場合、ビルトイン Administrator アカウントは回復コンソールで自動的にコンピューターにログオンします。パスワードは必要ありません。
回復コンソールは、再起動できないシステムのトラブルシューティングや修復を行う際に非常に役立ちます。ただし、このポリシー設定を有効にすると、ユーザーがコンソールに自動的にログオンできるため、危険です。すべてのユーザーが、サーバーにアクセスし、電源を切断してサーバーをシャットダウンして、サーバーを再起動し、[再起動] メニューから [回復コンソール] を選択して、サーバーを完全に制御できます。
設定可能な値
有効
ビルトイン Administrator アカウントは回復コンソールで自動的にコンピューターにログオンします。パスワードは必要ありません。
無効
自動管理ログオンは許可されません。
未定義
自動管理ログオンは許可されません。
ベスト プラクティス
- [回復コンソール: 自動管理ログオンを許可する] を [無効] に設定します。これによりユーザーは、回復コンソールのアカウントにアクセスするためにユーザー名とパスワードを入力することが必要になります。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
次の表に、このポリシーの実際の値と有効な既定値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
サーバーの種類または GPO | 既定値 |
---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
無効 |
DC の有効な既定の設定 |
無効 |
メンバー サーバーの有効な既定の設定 |
無効 |
クライアント コンピューターの有効な既定の設定 |
無効 |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能やツールについて説明します。
再起動の必要性
なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はデバイスを再起動しなくても有効になります。
グループ ポリシー
このポリシーの設定と展開をグループ ポリシーを使用して行った場合、そちらの方がローカル デバイス上の設定よりも優先されます
ポリシーの競合
なし。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
起動しないデバイスのトラブルシューティングや修復を行う必要がある場合、回復コンソールは非常に役立ちます。ただし、回復コンソールへの自動ログオンを許可すると、他のユーザーがサーバーを完全に制御できるようになります。
対策
[回復コンソール: 自動管理ログオンを許可する] の設定を無効にします。
潜在的な影響
ユーザーは、回復コンソールにアクセスするためにユーザー名とパスワードを入力することが必要になります。