システムのシャットダウン
[システムのシャットダウン] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
リファレンス
このセキュリティ設定では、デバイスにローカルにログオンしているユーザーが Windows をシャットダウンできるかどうかを決定します。
ドメイン コントローラーをシャットダウンすると、ドメイン コントローラーは、ログオン要求の処理、グループ ポリシーの設定の処理、ライトウェイト ディレクトリ アクセス プロトコル (LDAP) クエリへの応答などの操作に利用できなくなります。操作マスターの役割 (フレキシブル シングル マスター操作または FSMO の役割とも呼ばれます) が割り当てられているドメイン コントローラーをシャットダウンすると、プライマリ ドメイン コントローラー (PDC) エミュレーター マスターによって実行される新しいパスワードのログオン要求の処理などの、重要なドメイン機能が無効になる場合があります。
休止状態のサポートを有効にする操作、電源管理設定を設定する操作、シャットダウンを取り消す操作を実行するには、[システムのシャットダウン] ユーザー権利が必要になります。
定数: SeShutdownPrivilege
設定可能な値
アカウントのユーザー定義一覧
既定値
未定義
ベスト プラクティス
メンバー サーバーに対する [システムのシャットダウン] ユーザー権利が Administrators と Backup Operators のみに割り当てられ、ドメイン コントローラーに対するユーザー権利が Administrators のみに割り当てられていることを確認します。これらの既定のグループを削除すると、環境内で特定の管理役割に割り当てられているユーザーの権限が制限される場合があります。委任されたタスクが悪影響を受けないことを確認します。
ドメイン コントローラーをシャットダウンする権限は、ごく少数の信頼できる管理者に制限する必要があります。システムをシャットダウンするにはサーバーにログオンする権限が必要になりますが、ドメイン コントローラーをシャットダウンすることを許可するアカウントとグループには注意する必要があります。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\ユーザー権利の割り当て
既定値
既定では、この設定は、ドメイン コントローラー上では Administrators、Backup Operators、Server Operators、Print Operators であり、スタンドアロン サーバー上では Administrators および Backup Operators です。
次の表に、サポートされる最新バージョンの Windows の実際のポリシー値と有効な既定のポリシー値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
| サーバーの種類または GPO | 既定値 |
|---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
Administrators Backup Operators Server Operators Print Operators |
スタンドアロン サーバーの既定の設定 |
Administrators Backup Operators |
ドメイン コントローラーの有効な既定の設定 |
Administrators Backup Operators Server Operators Print Operators |
メンバー サーバーの有効な既定の設定 |
Administrators Backup Operators |
クライアント コンピューターの有効な既定の設定 |
Administrators Backup Operators Users |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能、ツール、ガイダンスについて説明します。
このポリシー設定を有効にするために、コンピューターを再起動する必要はありません。
アカウントのユーザー権利の割り当てに対する変更はすべて、アカウントの所有者が次にログオンしたときに有効になります。
グループ ポリシー
このユーザー権利は、[リモート コンピューターからの強制シャットダウン] と同じ効果を持ちません。詳しくは、「リモート コンピューターからの強制シャットダウン」をご覧ください。
設定は、グループ ポリシー オブジェクト (GPO) によって次の順番で適用されます。これにより、次回のグループ ポリシーの更新時にローカル コンピューターの設定が上書きされます。
ローカル ポリシー設定
サイト ポリシー設定
ドメイン ポリシー設定
OU ポリシー設定
ローカル設定が灰色表示されている場合、その設定は現在 GPO に制御されています。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
ドメイン コントローラーをシャットダウンする権限は、ごく少数の信頼できる管理者に制限する必要があります。[システムのシャットダウン] ユーザー権利にはサーバーにログオンする権限が必要になりますが、ドメイン コントローラーをシャットダウンすることを許可するアカウントとグループには注意する必要があります。
ドメイン コントローラーをシャットダウンすると、ドメイン コントローラーは、ログオン要求の処理、グループ ポリシーの設定の処理、ライトウェイト ディレクトリ アクセス プロトコル (LDAP) クエリへの応答などの操作に利用できなくなります。操作マスターの役割を持つドメイン コントローラーをシャットダウンした場合、PDC マスターによって実行される新しいパスワードのログオン要求の処理などの、重要なドメイン機能を無効にできます。
その他のサーバーの役割 (特に管理者以外のユーザーが RD セッション ホスト サーバーなどのサーバーにログオンする権利を持つ役割) の場合、サーバーを再起動する正当な理由を持たないユーザーからこのユーザー権利を切り離すことが重要です。
対策
メンバー サーバーに対する [システムのシャットダウン] ユーザー権利が Administrators グループと Backup Operators グループのみに割り当てられ、ドメイン コントローラーに対するユーザー権利が Administrators グループのみに割り当てられていることを確認します。
潜在的な影響
[システムのシャットダウン] ユーザー権利からこれらの既定のグループを削除すると、環境内で割り当てられている役割の委任された権限が制限される場合があります。委任されたアクティビティが悪影響を受けないことを確認する必要があります。