グローバル オブジェクトの作成
[グローバル オブジェクトの作成] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
参考
このポリシー設定では、すべてのセッションに使えるグローバル オブジェクトを作成できるユーザーを指定します。ユーザーがこのユーザー権利を持っていなくても、ユーザー独自のセッションに固有のオブジェクトは作成できます。
グローバル オブジェクトは、ユーザーのセッション内で開始されなくても、任意の数のプロセスまたはスレッドで使えるように作成されたオブジェクトです。リモート デスクトップ サービスは、プロセス内でグローバル オブジェクトを使って、接続とアクセスを簡単にします。
定数: SeCreateGlobalPrivilege
設定可能な値
アカウントのユーザー定義一覧
以下に示す既定のアカウント
ベスト プラクティス
- すべてのユーザー アカウントにはこの権利を割り当てないでください。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\ユーザー権利の割り当て
既定値
既定では、Administrators グループのメンバーにはこの権利が付与されています。サポートされている Windows のローカル サービス アカウントとネットワーク サービス アカウントについても同様です。サービスは、以前のバージョンの Windows との下位互換性があります。
次の表に、実際のポリシー値と有効な既定のポリシー値を示します。既定値はポリシーのプロパティ ページにも表示されます。
サーバーの種類または GPO | 既定値 |
---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
管理者 ローカル サービス ネットワーク サービス サービス |
スタンドアロン サーバーの既定の設定 |
管理者 ローカル サービス ネットワーク サービス サービス |
ドメイン コントローラーの有効な既定の設定 |
管理者 ローカル サービス ネットワーク サービス サービス |
メンバー サーバーの有効な既定の設定 |
管理者 ローカル サービス ネットワーク サービス サービス |
クライアント コンピューターの有効な既定の設定 |
管理者 ローカル サービス ネットワーク サービス サービス |
ポリシー管理
このポリシー設定の有効化には、デバイスの再起動は必要ありません。
アカウントのユーザー権利の割り当てに対する変更はすべて、アカウントの所有者が次にログオンしたときに有効になります。
グループ ポリシー
設定は、グループ ポリシー オブジェクト (GPO) によって次の順番で適用されます。グループ ポリシーが次に更新された時に、ローカル コンピューターの設定が上書きされます。
ローカル ポリシー設定
サイト ポリシー設定
ドメイン ポリシー設定
OU ポリシー設定
ローカル設定が灰色表示されている場合は、GPO が現在その設定を制御していることを示します。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
注意
このユーザー権利が与えられているユーザー アカウントはシステムを完全に制御できるため、システムが侵害される可能性があります。この権利をすべてのユーザー アカウントには割り当てないことを強くお勧めします。
Windows では、ユーザーのアクセス トークンを調べ、ユーザー特権のレベルを特定します。ユーザーがローカル デバイスにログオンしたり、ネットワーク経由でリモート デバイスに接続したりすると、アクセス トークンが作成されます。特権を取り消すと、この変更はすぐに記録されますが、ユーザーが次回ログオンまたは接続するまで、ユーザーのアクセス トークンには反映されません。トークンを作成または変更できるユーザーは、現在ログオンしているすべてのアカウントのアクセス レベルを変更できます。権限の昇格やサービス拒否 (DoS) 条件の作成も可能になります。
対策
[トークン オブジェクトの作成] ユーザー権利をすべてのユーザーには割り当てないでください。このユーザー権利を必要とするプロセスでは、このユーザー権利が割り当てられた別のユーザー アカウントではなく、このユーザー権利がすでに含まれているローカル システム アカウントを使う必要があります。
考えられる影響
なし。既定のドメイン ポリシー構成は未定義です。