ディレクトリ サービス データの同期化
[ディレクトリ サービス データの同期化] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
リファレンス
このポリシー設定では、オブジェクトとプロパティの保護に関係なく、すべてのディレクトリ サービス データを同期する権限を持つユーザーとグループを決定します。この特権は、LDAP ディレクトリ同期 (dirsync) サービスを使うために必要です。同期処理はドメイン コントローラーのシステム アカウントのコンテキストで実行されるため、ドメイン コントローラーは、本来このユーザー権利を備えています。
定数: SeSyncAgentPrivilege
設定可能な値
アカウントのユーザー定義一覧
未定義
ベスト プラクティス
- [ディレクトリ サービス データの同期化] ユーザー権利がどのアカウントにも割り当てられていないことを確認します。この特権を必要とするのはドメイン コントローラーだけであり、ドメイン コントローラーは本来この特権を備えています。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\ユーザー権利の割り当て
既定値
既定ではこの設定は、ドメイン コントローラー上およびスタンドアロン サーバー上では未定義です。
次の表に、実際のポリシー値と有効な既定のポリシー値を示します。既定値はポリシーのプロパティ ページにも表示されます。
サーバーの種類または GPO | 既定値 |
---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
未定義 |
ドメイン コントローラーの有効な既定の設定 |
有効 |
メンバー サーバーの有効な既定の設定 |
無効 |
クライアント コンピューターの有効な既定の設定 |
無効 |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能、ツール、ガイダンスについて説明します。
このポリシー設定を有効にするために、デバイスを再起動する必要はありません。
アカウントのユーザー権利の割り当てに対する変更はすべて、アカウントの所有者が次にログオンしたときに有効になります。
グループ ポリシー
設定は、グループ ポリシー オブジェクト (GPO) によって次の順番で適用されます。これにより、次回のグループ ポリシーの更新時にローカル コンピューターの設定が上書きされます。
ローカル ポリシー設定
サイト ポリシー設定
ドメイン ポリシー設定
OU ポリシー設定
ローカル設定が灰色表示されている場合、その設定は現在 GPO に制御されています。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
[ディレクトリ サービス データの同期化] ユーザー権利は、ドメイン コントローラーに影響します (ドメイン コントローラーのみがディレクトリ サービス データを同期できる必要があります)。同期処理はドメイン コントローラーのシステム アカウントのコンテキストで実行されるため、ドメイン コントローラーは、本来このユーザー権利を備えています。このユーザー権利を持つ攻撃者は、ディレクトリ内に保存されているすべての情報を表示できます。また、攻撃者はこの情報の一部を使ってさらに攻撃を行ったり、電話番号や住所などの機密データを公開したりできます。
対策
[ディレクトリ サービス データの同期化] ユーザー権利がどのアカウントにも割り当てられていないことを確認します。
潜在的な影響
なし。既定の構成は [未定義] です。