セキュリティ ポリシー設定

  • [アーティクル]

このリファレンス トピックでは、一般的なシナリオ、アーキテクチャ、セキュリティ設定のためのプロセスについて説明します。

セキュリティ ポリシー設定は、デバイスまたはネットワーク上のリソースを保護するために管理者が 1 台または複数台のデバイスで構成する規則です。ローカル グループ ポリシー エディター スナップインのセキュリティの設定拡張機能では、グループ ポリシー オブジェクト (GPO) の一部としてセキュリティ構成を定義することができます。GPO は、サイト、ドメイン、または組織単位の Active Directory コンテナーにリンクされ、GPO を使用すると、ドメインに参加している任意のデバイスから複数のデバイスのセキュリティ設定を管理できます。セキュリティ設定ポリシーは、組織内のドメイン コントローラー、サーバー、クライアントなどのリソースをセキュリティで保護するために、セキュリティ実装全体の一端として使います。

セキュリティ設定では、次の項目を制御できます。

  • ネットワークまたはデバイスに対するユーザー認証。

  • ユーザーにアクセスが許可されたリソース。

  • イベント ログにユーザーやグループの操作を記録するかどうか。

  • グループのメンバーシップ。

複数のデバイスのセキュリティ構成を管理するには、次のいずれかのオプションを使用できます。

  • GPO で特定のセキュリティ設定を編集します。

  • セキュリティ テンプレート スナップインを使用して、適用するセキュリティ ポリシーが含まれるセキュリティ テンプレートを作成し、グループ ポリシー オブジェクトにセキュリティ テンプレートをインポートします。セキュリティ テンプレートは、セキュリティ構成を表すファイルで、GPO にインポートしたり、ローカル デバイスに適用したり、セキュリティを分析するために使ったりできます。

セキュリティ構成の管理について詳しくは、「セキュリティ ポリシー設定の管理」をご覧ください。

ローカル グループ ポリシー エディターのセキュリティの設定拡張機能には、次の種類のセキュリティ ポリシーが含まれます。

  • アカウント ポリシー: これらのポリシーは、デバイス上で定義され、ユーザー アカウントがコンピューターまたはドメインを操作する方法に影響します。アカウント ポリシーには、次の種類のポリシーが含まれます。

    • パスワード ポリシー: これらのポリシーは、強制適用、有効期間などのパスワードの設定を決定します。パスワード ポリシーは、ドメイン アカウントに使います。

    • アカウント ロックアウト ポリシー: これらのポリシーは、システムからアカウントをロックアウトする条件と期間を決定します。アカウント ロックアウト ポリシーは、ドメインまたはローカル ユーザー アカウントに使います。

    • Kerberos ポリシー: これらのポリシーは、ドメイン ユーザー アカウントに使い、チケットの有効期間、強制適用などの Kerberos 関連の設定を決定します。

  • ローカル ポリシー: これらのポリシーは、コンピューターに適用されます。次の種類のポリシー設定が含まれます。

    • 監査ポリシー: コンピューターのセキュリティ ログへのセキュリティ イベントの記録を制御するセキュリティ設定を指定し、ログに記録するセキュリティ イベントの種類 (成功、失敗、またはその両方) を指定します。

        

      Windows 7 以降を実行しているデバイスの場合は、[ローカル ポリシー] の下にある [監査ポリシー] ではなく、[監査ポリシーの詳細な構成] の下にある設定を使用することをお勧めします。

       

    • ユーザー権利の割り当て: デバイスに対してログオンの権限または特権を持つユーザーまたはグループを指定します。

    • セキュリティ オプション: コンピューターのセキュリティ設定 (管理者やゲスト アカウントの名前、フロッピー ディスク ドライブや CD-ROM ドライブへのアクセス、ドライバーのインストール、ログオン プロンプトなど) を指定します。

  • セキュリティが強化された Windows ファイアウォール: デバイスとネットワーク間で通過を許可するネットワーク トラフィックを決定できるステートフル ファイアウォールの設定を使用して、ネットワーク上のデバイスを保護するための設定を指定します。

  • ネットワーク リスト マネージャー ポリシー: 1 台のデバイスまたは複数のデバイスでのネットワークの表示方法について、さまざまな構成を行うために使用できる設定を指定します。

  • 公開キー ポリシー: 特定の証明書パスとサービスの設定に加え、暗号化ファイル システム、データ保護、BitLocker ドライブ暗号化を制御する設定を指定します。

  • ソフトウェアの制限のポリシー: ソフトウェアを識別するため、およびローカル デバイス、組織単位、ドメイン、またはサイト上でソフトウェアの機能を制御するための設定を指定します。

  • アプリケーション制御ポリシー: ファイルの固有 ID に基づいて組織内の特定のアプリケーションを実行できるユーザーまたはグループを制御するための設定を指定します。

  • ローカル コンピューター上の IP セキュリティ ポリシー: 暗号化セキュリティ サービスを使って IP ネットワーク上でセキュリティで保護されたプライベートな通信を実現するための設定を指定します。IPsec は、発信元 IP アドレスから宛先 IP アドレスへの信頼とセキュリティを確立します。

  • 監査ポリシーの詳細な構成: デバイスのセキュリティ ログに対してセキュリティ イベントのログ記録を制御する設定を指定します。"監査ポリシーの詳細な構成" の設定では、"ローカル ポリシー" の "監査ポリシー" の設定と比べて、監視する活動をより細かく制御できます。

ポリシーベースのセキュリティ設定の管理

グループ ポリシーのセキュリティの設定拡張機能は、ポリシーベースの統合管理インフラストラクチャを提供して、セキュリティ ポリシーを容易に管理および適用できるようにします。

グループ ポリシーと Active Directory ドメイン サービス (AD DS) を使って、セキュリティ設定ポリシーを定義し、ユーザー、グループ、ネットワーク サーバー、ネットワーク クライアントに適用できます。同じ機能を持つサーバー (Microsoft Web (IIS) サーバーなど) のグループを作成した後、グループ ポリシー オブジェクトを使って共通するセキュリティ設定をグループに適用できます。後でこのグループにサーバーを追加する場合に多くの共通するセキュリティ設定が自動的に適用されるため、展開と管理の労力が軽減されます。

セキュリティの設定ポリシーを使う一般的なシナリオ

セキュリティの設定ポリシーは、アカウント ポリシー、ローカル ポリシー、ユーザー権利の割り当て、レジストリ値、ファイルとレジストリのアクセス制御リスト (ACL)、サービスの開始モードなどのセキュリティの側面を管理するために使います。

セキュリティ戦略の一環として、組織内のさまざまな役割 (ドメイン コントローラー、ファイル サーバー、メンバー サーバー、クライアントなど) 専用のセキュリティの設定ポリシーが構成された GPO を作成できます。

役割に応じてデバイスをグループ化した組織単位 (OU) 構造を作成できます。OU の使用は、ネットワーク内の異なる役割に固有のセキュリティ要件を分離する方法として最適です。この方法では、サーバーまたはコンピューターの各クラスにカスタマイズされたセキュリティ テンプレートを適用することもできます。セキュリティ テンプレートを作成した後、OU ごとに新しい GPO を作成し、新しい GPO にセキュリティ テンプレート (.inf ファイル) をインポートします。

セキュリティ テンプレートを GPO にインポートすることにより、GPO が適用されるアカウントは、グループ ポリシー設定が更新されたときに自動的にテンプレートのセキュリティ設定を受け取ります。ワークステーションまたはサーバーでは、セキュリティ設定が一定の間隔 (最大で 30 分のランダム オフセット) で更新されます。ドメイン コントローラーでは、該当する GPO 設定のいずれかで変更が発生した場合、この処理は数分ごとに発生します。また、設定は、変更が発生したかどうかに関係なく、16 時間ごとに更新されます。

  

これらの更新設定は、オペレーティング システムのバージョンによって異なり、構成することができます。

 

グループ ポリシーベースのセキュリティ構成を管理の委任と組み合わせて使うことにより、特定のセキュリティ設定、権限、動作を OU 内のすべてのサーバーおよびコンピューターに確実に適用できます。この方法を使うと、将来変更が必要になった場合に複数のサーバーを簡単に更新できます。

他のオペレーティング システムのテクノロジへの依存

Windows Server 2008 以降のドメインのメンバーであるデバイスの場合、セキュリティ設定ポリシーは、次のテクノロジによって異なります。

  • Active Directory ドメイン サービス (AD DS)

    Windows ベースのディレクトリ サービスである AD DS は、ネットワーク上のオブジェクトに関する情報を格納して、管理者およびユーザーがこの情報を使用できるようにします。AD DS を使うと、管理者は、1 か所でネットワーク上のネットワーク オブジェクトを表示および管理できます。また、ユーザーは、シングル ログオンを使って、許可されたネットワーク リソースにアクセスできます。

  • グループ ポリシー

    AD DS 内のインフラストラクチャでは、Windows Server を実行しているデバイス上のユーザーとコンピューターの設定をディレクトリベースで構成管理できます。グループ ポリシーを使って、ポリシー設定、レジストリベースのポリシー、ソフトウェアのインストール、スクリプト、フォルダー リダイレクト、リモート インストール サービス、Internet Explorer のメンテナンス、セキュリティなど、ユーザーとコンピューターのグループの構成を定義できます。

  • ドメイン ネーム システム (DNS)

    インターネットとプライベート TCP/IP ネットワーク上のドメイン名を検索するために使用される階層的な名前付けシステム。DNS は、DNS ドメイン名から IP アドレスへのマッピング、および IP アドレスからドメイン名へのマッピングを行うためのサービスを提供します。これにより、ユーザー、コンピューター、アプリケーションは、IP アドレスではなく完全修飾ドメイン名を使って DNS を照会してリモート システムを指定できます。

  • Winlogon

    対話型ログオンのサポートを提供する Windows オペレーティング システムの一部。Winlogon は、3 つのコンポーネント (Winlogon 実行可能ファイル、資格情報プロバイダー、任意の数のネットワーク プロバイダー) で構成される対話型ログオン モデルを軸に設計されています。

  • セットアップ

    セキュリティの構成は、Windows Server のクリーン インストール中または以前のバージョンからのアップグレード中にオペレーティング システムのセットアップ プロセスと通信します。

  • セキュリティ アカウント マネージャー (SAM)

    ログオン プロセス中に使用される Windows サービス。SAM は、ユーザーが所属するグループを含むユーザー アカウント情報を保持します。

  • ローカル セキュリティ機関 (LSA)

    ユーザーを認証してローカル システムにログオンする、保護されたサブシステム。LSA には、総称的にシステムのローカル セキュリティ ポリシーと呼ばれる、システム上のローカル セキュリティのすべての側面に関する情報も保持されます。

  • Windows Management Instrumentation (WMI)

    Microsoft Windows オペレーティング システムの 1 つの機能である WMI は、Web-Based Enterprise Management (WBEM) を Microsoft が実装したものです。WBEM とは、エンタープライズ環境で管理情報にアクセスするための標準技術を確立する業界の取り組みの 1 つです。WMI は、管理された環境内でオブジェクトに関する情報へのアクセスを提供します。アプリケーションは、WMI と WMI アプリケーション プログラミング インターフェイス (API) を介して、Common Information Model (CIM) リポジトリ内の静的な情報とさまざまな種類のプロバイダーによって管理されている動的な情報を照会および変更できます。

  • ポリシーの結果セット (RSoP)

    ポリシー設定の計画とデバッグを容易にするために WMI を使う、強化されたグループ ポリシーのインフラストラクチャ。RSoP は、予想される状況下でグループ ポリシーの拡張機能によって実行されることが想定される操作と、実際の状況下で拡張機能によって実行された操作を明らかにするパブリック メソッドを提供します。これにより、管理者は、ユーザーまたはデバイスに適用される (または適用される可能性がある) ポリシー設定の組み合わせを簡単に確認することができます。

  • サービス コントロール マネージャー (SCM)

    サービスの開始モードとセキュリティの構成に使います。

  • レジストリ

    レジストリの値とセキュリティの構成に使います。

  • ファイル システム

    セキュリティの構成に使います。

  • ファイル システムの変換

    管理者がファイル システムを FAT から NTFS に変換するときにセキュリティが設定されます。

  • Microsoft 管理コンソール (MMC)

    セキュリティの設定ツールのユーザー インターフェイスは、ローカル グループ ポリシー エディター MMC スナップインの拡張機能です。

セキュリティの設定ポリシーとグループ ポリシー

ローカル グループ ポリシー エディターのセキュリティの設定拡張機能は、セキュリティ構成マネージャー ツール セットの一部です。セキュリティの設定には、構成エンジン、分析エンジン、テンプレートとデータベース インターフェイス レイヤー、セットアップ統合ロジック、secedit.exe コマンド ライン ツールの各コンポーネントが関連します。セキュリティ構成エンジンは、それが実行されるシステムのセキュリティ構成エディターに関連するセキュリティ要求を処理します。分析エンジンは、特定の構成のシステムのセキュリティを分析し、結果を保存します。テンプレートとデータベース インターフェイス レイヤーは、テンプレートまたはデータベース (内部記憶域用) との間の読み取りおよび書き込み要求を処理します。ローカル グループ ポリシー エディターのセキュリティの設定拡張機能は、ドメインベースのコンピューターまたはローカル デバイスからのグループ ポリシーを処理します。セキュリティ構成ロジックは、セットアップと統合され、クリーン インストールまたはより新しい Windows オペレーティング システムへのアップグレードのためのシステム セキュリティを管理します。セキュリティ情報は、テンプレート (.inf ファイル) または Secedit.sdb データベースに保存されます。

次の図に、セキュリティの設定と関連する機能を示します。

セキュリティの設定ポリシーと関連する機能

セキュリティ ポリシー関連のコンポーネント

  • Scesrv.dll

    コア セキュリティ エンジン機能を提供します。

  • Scecli.dll

    セキュリティ構成エンジンにクライアント側インターフェイスを提供し、データをポリシーの結果セット (RSoP) に提供します。

  • Wsecedit.dll

    ローカル グループ ポリシー エディターのセキュリティの設定拡張機能。セキュリティの設定のユーザー インターフェイスをサポートするために scecli.dll が wsecedit.dll に読み込まれます。

  • Gpedit.dll

    ローカル グループ ポリシー エディター MMC スナップイン。

セキュリティの設定拡張機能のアーキテクチャ

ローカル グループ ポリシー エディターのセキュリティの設定拡張機能は、次の図に示すように、セキュリティ構成マネージャー ツールの一部です。

セキュリティの設定のアーキテクチャ

セキュリティ ポリシー設定のアーキテクチャ

セキュリティ設定の構成と分析ツールには、セキュリティ設定ポリシーのローカル コンピューター (ドメイン メンバー以外) とグループ ポリシーベースの構成と分析を提供するセキュリティ構成エンジンが含まれます。セキュリティ構成エンジンは、セキュリティ ポリシー ファイルの作成もサポートしています。セキュリティ構成エンジンの主な機能は、scecli.dll と scesrv.dll です。

次の一覧では、これらのセキュリティ構成エンジンの主な機能と他のセキュリティの設定に関連する機能について説明します。

  • scesrv.dll

    この .dll は services.exe でホストされ、ローカル システムのコンテキストで実行されます。scesrv.dll は、インポート、構成、分析、ポリシーの伝達などの、セキュリティ構成マネージャーのコアとなる機能を提供します。

    Scesrv.dll は、LSA、SAM、レジストリなどの対応するシステム API を呼び出すことによって、さまざまなセキュリティに関連するシステム パラメーターの構成と分析を実行します。

    Scesrv.dll は、インポート、エクスポート、構成、分析などの API を公開します。Scesrv.dll は、要求が LRPC (Windows XP) 経由で行われたかどうかを確認し、そうでない場合は呼び出しを失敗させます。

    セキュリティの設定拡張機能の構成要素間の通信は、次の方法で行われます。

    • コンポーネント オブジェクト モデル (COM) 呼び出し

    • ローカル リモート プロシージャ コール (LRPC)

    • ライトウェイト ディレクトリ アクセス プロトコル (LDAP)

    • Active Directory サービス インターフェイス (ADSI)

    • サーバー メッセージ ブロック (SMB)

    • Win32 API

    • Windows Management Instrumentation (WMI) 呼び出し

    ドメイン コントローラー上で、scesrv.dll は、SAM とドメイン コントローラー間で同期する必要がある LSA に加えられた変更の通知を受け取ります。Scesrv.dll は、インプロセスの scecli.dll テンプレート変更 API を使って、既定のドメイン コントローラー ポリシー GPO にこれらの変更を組み込みます。

    また、Scesrv.dll は、構成および分析操作も実行します。

  • Scecli.dll

    これは、scesrv.dll のクライアント側のインターフェイスまたはラッパーです。scecli.dll は、MMC スナップインをサポートするために Wsecedit.dll に読み込まれます。Scecli.dll は、既定のシステム セキュリティのほか、セットアップ API の .inf ファイルによってインストールされたファイル、レジストリ キー、およびサービスのセキュリティを構成するために、セットアップによって使用されます。

    セキュリティの構成と分析のユーザー インターフェイスのコマンドライン バージョンである secedit.exe は、scecli.dll を使います。

    Scecli.dll は、グループ ポリシーのクライアント側拡張機能を実装します。

    Scesrv.dll は、グループ ポリシー セキュリティ設定をローカル デバイスに適用するために、scecli.dll を使って該当するグループ ポリシーのファイルを SYSVOL からダウンロードします。

    Scecli.dll は、セキュリティ ポリシーの適用を WMI (RSoP) に記録します。

    Scesrv.dll ポリシー フィルターは、scecli.dll を使って、SAM と LSA が変更されたときに既定のドメイン コントローラー ポリシー GPO を更新します。

  • Wsecedit.dll

    グループ ポリシー オブジェクト エディター スナップインのセキュリティの設定拡張機能。このツールを使用して、サイト、ドメイン、または組織単位のグループ ポリシー オブジェクトのセキュリティ設定を構成します。また、セキュリティの設定を使ってセキュリティ テンプレートを GPO にインポートすることもできます。

  • Secedit.sdb

    これは、ロールバック用の永続的な設定のテーブルを含む、ポリシーを伝達するための永続的なシステム データベースです。

  • ユーザー データベース

    ユーザー データベースは、セキュリティの構成または分析のために管理者によって作成されるシステム データベース以外のすべてのデータベースです。

  • .Inf テンプレート

    これらは、宣言型のセキュリティ設定を含むテキスト ファイルです。これらのテンプレートは、構成または分析の前にデータベースに読み込まれます。グループ ポリシー セキュリティ ポリシーは、ドメイン コントローラーの SYSVOL フォルダー内の .inf ファイルに格納されます。ここで、グループ ポリシー セキュリティ ポリシーは、(ファイルのコピーを使って) ダウンロードされ、ポリシーの伝達中にシステム データベースに結合されます。

セキュリティの設定ポリシーのプロセスと相互作用

ドメインに参加している、グループ ポリシーが管理されるデバイスの場合、セキュリティの設定はグループ ポリシーと組み合わせて処理されます。すべての設定を構成できるわけではありません。

グループ ポリシーの処理

コンピューターが起動され、ユーザーがログオンすると、コンピューター ポリシーとユーザー ポリシーが次の順序で適用されます。

  1. ネットワークが起動されます。リモート プロシージャ コール システム サービス (RPCSS) と Multiple Universal Naming Convention Provider (MUP) が起動されます。

  2. デバイスに対してグループ ポリシー オブジェクトの順序指定された一覧が取得されます。この一覧は、次の要因に左右される場合があります。

    • デバイスがドメインに所属しているかどうか (つまり、Active Directory を介したグループ ポリシーの適用対象になるかどうか)。

    • Active Directory でのデバイスの場所。

    • グループ ポリシー オブジェクトの一覧が変更されたかどうか。グループ ポリシー オブジェクトの一覧が変更されていない場合は処理は実行されません。

  3. コンピューター ポリシーが適用されます。これらは、収集された一覧の "コンピューターの構成" の設定です。これは、既定で同期的に、ローカル、サイト、ドメイン、組織単位、子の組織単位の順序で実行されます。コンピューター ポリシーの処理中は、ユーザー インターフェイスは表示されません。

  4. スタートアップ スクリプトが実行されます。これは、既定で非表示状態で同期的に実行されます。1 つのスクリプトが完了するかタイムアウトした後で次のスクリプトが開始される必要があります。既定のタイムアウトは 600 秒です。いくつかのポリシー設定を使ってこの動作を変更できます。

  5. ユーザーは、Ctrl + Alt + Del を押してログオンします。

  6. ユーザーが検証されると、ユーザー プロファイルが読み込まれます。これは、有効なポリシー設定によって管理されます。

  7. ユーザーに対してグループ ポリシー オブジェクトの順序指定された一覧が取得されます。この一覧は、次の要因に左右される場合があります。

    • ユーザーがドメインに所属しているかどうか (つまり、Active Directory を介したグループ ポリシーの適用対象になるかどうか)。

    • ループバック ポリシーの処理が有効になっているかどうかと、有効になっている場合はループバック ポリシー設定の状態 (結合または置換)。

    • Active Directory でのユーザーの場所。

    • グループ ポリシー オブジェクトの一覧が変更されたかどうか。グループ ポリシー オブジェクトの一覧が変更されていない場合は処理は実行されません。

  8. ユーザー ポリシーが適用されます。これらは、収集された一覧の "ユーザーの構成" の設定です。これは、既定で同期的に、ローカル、サイト、ドメイン、組織単位、子の組織単位の順序で実行されます。ユーザー ポリシーの処理中は、ユーザー インターフェイスは表示されません。

  9. ログオン スクリプトが実行されます。グループ ポリシーベースのログオン スクリプトは、既定で非表示状態で同期的に実行されます。ユーザー オブジェクト スクリプトは最後に実行されます。

  10. グループ ポリシーに指定されているオペレーティング システム ユーザー インターフェイスが表示されます。

グループ ポリシー オブジェクトの記憶域

グループ ポリシー オブジェクト (GPO) は、仮想オブジェクトであり、グローバル一意識別子 (GUID) によって識別され、ドメイン レベルで保存されます。GPO のポリシー設定情報は、次の 2 つの場所に格納されます。

  • Active Directory 内のグループ ポリシー コンテナー。

    グループ ポリシー コンテナーは、バージョン情報、GPO の状態、他のコンポーネントの設定の一覧などの GPO のプロパティを含む Active Directory コンテナーです。

  • ドメインのシステム ボリューム フォルダー (SYSVOL) 内のグループ ポリシー テンプレート。

    グループ ポリシー テンプレートは、.admx ファイルで指定されたポリシー データ、セキュリティ設定、スクリプト ファイル、およびインストールできるアプリケーションに関する情報を含むファイル システム フォルダーです。グループ ポリシー テンプレートは、domain\Policies サブフォルダー内の SYSVOL フォルダーにあります。

GROUP_POLICY_OBJECT 構造体は、GPO 一覧内の GPO に関する情報を提供します。このような情報には、GPO のバージョン番号、GPO の Active Directory の部分を示す文字列へのポインター、GPO のファイル システムの部分へのパスを指定する文字列へのポインターがあります。

グループ ポリシーの処理順序

グループ ポリシー設定は次の順序で処理されます。

  1. ローカル グループ ポリシー オブジェクト。

    Windows XP 以降の Windows オペレーティング システムが実行されている各デバイスには、ローカルに格納されるグループ ポリシー オブジェクトが 1 つあります。

  2. サイト。

    次に、サイトにリンクされているすべてのグループ ポリシー オブジェクトが処理されます。処理は、同期的に指定した順序で実行されます。

  3. ドメイン。

    複数のドメインにリンクされたグループ ポリシー オブジェクトの処理は、同期的に、指定した順序で実行されます。

  4. 組織単位。

    Active Directory 階層の最上部にある組織単位にリンクされているグループ ポリシー オブジェクトが最初に処理され、次にその子の組織単位にリンクされているグループ ポリシー オブジェクトが処理されます。最後に、ユーザーまたはデバイスを含む組織単位にリンクされているグループ ポリシー オブジェクトが処理されます。

Active Directory 階層の各組織単位のレベルでは、1 つまたは複数のグループ ポリシー オブジェクトをリンクすることができます (グループ ポリシー オブジェクトをリンクしないこともできます)。複数のグループ ポリシー オブジェクトが組織単位にリンクされている場合、その処理は、同期的に、指定した順序で実行されます。

この順序では、ローカル グループ ポリシー オブジェクトが最初に処理され、コンピューターまたはユーザーが直接のメンバーである組織単位にリンクされているグループ ポリシー オブジェクトが最後に処理されて、前のグループ ポリシー オブジェクトが上書きされます。

これは、既定の処理順序です。管理者は、この順序の例外を指定できます。サイト、ドメイン、または組織単位にリンクされているグループ ポリシー オブジェクト (ローカル グループ ポリシー オブジェクトでありません) を、そのサイト、ドメイン、または組織単位に対して [強制] に設定すると、どのポリシー設定も上書きできなくなります。すべてのサイト、ドメイン、または組織単位において、グループ ポリシーの継承を選択的に [継承のブロック] としてマークすることができます。ただし、[強制] に設定されているグループ ポリシー オブジェクトのリンクは常に適用され、ブロックすることはできません。

セキュリティ設定ポリシーの処理

グループ ポリシーの処理のコンテキストでは、セキュリティの設定ポリシーは次の順序で処理されます。

  1. グループ ポリシーの処理中に、グループ ポリシー エンジンによって、適用するセキュリティ設定ポリシーが判定されます。

  2. セキュリティ設定ポリシーが GPO 内に存在する場合、グループ ポリシーによって、セキュリティの設定のクライアント側拡張機能が起動されます。

  3. セキュリティの設定拡張機能により、特定のドメイン コントローラーなどの適切な場所からポリシーがダウンロードされます。

  4. セキュリティ設定の拡張機能により、優先順位の規則に従ってすべてのセキュリティ設定ポリシーがマージされます。この処理は、前の「グループ ポリシーの処理順序」で説明したように、グループ ポリシーの処理順序、つまり、ローカル、サイト、ドメイン、組織単位 (OU) の順に実行されます。特定のデバイスに対して複数の GPO が有効であり、ポリシーの競合がない場合は、ポリシーは累積的にマージされます。

    この例では、次の図に示す Active Directory 構造を使います。OU2 のメンバーである 1 台のコンピューターがあります。この OU2 には GroupMembershipPolGPO GPO がリンクされています。同時に、このコンピューターは、階層内の上位にある OU1 にリンクされている UserRightsPolGPO GPO の対象になります。この場合、競合するポリシーが存在しないため、UserRightsPolGPO および GroupMembershipPolGPO GPO の両方に含まれているすべてのポリシーをデバイスが受信します。

    複数の GPO およびセキュリティ ポリシーのマージ

    複数の GPO およびセキュリティ ポリシーのマージ

  5. 結果のセキュリティ ポリシーは、セキュリティ設定データベース secedit.sdb に格納されます。セキュリティ エンジンにより、セキュリティ テンプレート ファイルが取得され、secedit.sdb にインポートされます。

  6. セキュリティ設定ポリシーがデバイスに適用されます。

次の図は、セキュリティ設定ポリシーの処理を示しています。

セキュリティ設定ポリシーの処理

セキュリティ ポリシー設定のプロセスと相互作用

ドメイン コントローラーでのセキュリティ ポリシーのマージ

パスワード ポリシー、Kerberos、および一部のセキュリティ オプションは、ドメインのルート レベルでリンクされている GPO からのみマージされます。これは、ドメイン内のすべてのドメイン コントローラー間でこれらの設定の同期を保つための措置です。次のセキュリティ オプションがマージされます。

  • ネットワーク セキュリティ: ログオン時間を経過した場合はユーザーを強制的にログオフさせる

  • アカウント: Administrator アカウントの状態

  • アカウント: Guest アカウントの状態

  • アカウント: Administrator アカウント名の変更

  • アカウント: Guest アカウント名の変更

管理者がネットワーク アカウントを使用して加えたセキュリティ ポリシーの変更を既定のドメイン ポリシー GPO にマージするための別の方法があります。ローカル セキュリティ機関 (LSA) API を使用して加えられたユーザー権利の変更は、既定のドメイン コントローラー ポリシー GPO に対してフィルター処理されます。

ドメイン コントローラーに関する特別な考慮事項

操作マスターの役割 (フレキシブル シングル マスター操作または FSMO とも呼ばれます) を持つプライマリ ドメイン コントローラー (PDC) にアプリケーションをインストールし、そのアプリケーションがユーザー権利またはパスワード ポリシーに変更を加えた場合、これらの変更を伝達して、ドメイン コントローラーの間で同期処理が実行されるようにする必要があります。Scesrv.dll は、ドメイン コントローラー間で同期する必要があるセキュリティ アカウント マネージャー (SAM) および LSA に加えられた変更の通知を受け取ると、scecli.dll テンプレート変更 API を使用して、その変更を既定のドメイン コントローラー ポリシー GPO に組み込みます。

セキュリティ設定が適用されるタイミング

セキュリティ設定ポリシーを編集した場合、次のタイミングで、グループ ポリシー オブジェクトにリンクされている組織単位内のコンピューターで設定が更新されます。

  • デバイスの再起動時。

  • ワークステーションまたはサーバーの場合は 90 分ごと。ドメイン コントローラーの場合は 5 分ごと。この更新間隔は構成できます。

  • 既定では、GPO が変更されていない場合でも、グループ ポリシーによって提供されているセキュリティ ポリシー設定も 16 時間 (960 分) ごとに適用されます。

セキュリティの設定ポリシーの永続化

もともと設定に適用されていたポリシーでその設定が定義されなくなった場合でも、セキュリティ設定を保持することができます。

セキュリティの設定は、次の場合に保持される場合があります。

  • 設定がこれまでデバイスで定義されたことがない。

  • 設定がレジストリのセキュリティ オブジェクト用である。

  • 設定がファイル システムのセキュリティ オブジェクト用である。

ローカル ポリシーまたはグループ ポリシー オブジェクトによって適用されるすべての設定は、コンピューター上のローカル データベースに格納されます。セキュリティ設定が変更されるたびに、コンピューターはセキュリティ設定値をローカル データベースに保存します。ローカル データベースは、コンピューターに適用されたことのあるすべての設定の履歴を保持します。ポリシーでセキュリティ設定を定義し、その後、その設定の定義が存在しなくなった場合、その設定ではデータベース内の以前の値が使用されます。以前の値がデータベースに存在しない場合、設定は元に戻されず、定義されたままになります。この動作は、"タトゥーイング" と呼ばれることもあります。

レジストリとファイル セキュリティの設定では、その設定が他の値に設定されるまで、グループ ポリシーによって適用された値が維持されます。

ポリシーを適用するために必要なアクセス許可

グループ ポリシー オブジェクトの設定をユーザー、グループ、コンピューターに適用するには、グループ ポリシーの適用アクセス許可と読み取りアクセス許可の両方が必要です。

セキュリティ ポリシーのフィルター処理

既定では、すべての GPO で、Authenticated Users グループに対する "読み取り" および "グループ ポリシーの適用" の両方が許可されます。Authenticated Users グループには、ユーザーとコンピューターの両方が含まれます。セキュリティ設定ポリシーは、コンピューターベースです。グループ ポリシー オブジェクトを適用する (または適用しない) クライアント コンピューターを指定するために、グループ ポリシー オブジェクトに対する "グループ ポリシーの適用" アクセス許可または "読み取り" アクセス許可を拒否することができます。これらのアクセス許可を変更すると、GPO のスコープを、サイト、ドメイン、または OU 内の特定のコンピューターのセットに制限することができます。

  

ドメイン コントローラーでは、セキュリティ ポリシーが適用されなくなる可能性があるため、セキュリティ ポリシーのフィルターを使わないでください。

 

セキュリティ設定が含まれている GPO の移行

状況によっては、ドメイン環境間で GPO を移行することが必要になる場合があります。2 つの最も一般的なシナリオとして、テスト環境から運用環境への移行と、運用環境から運用環境への移行があります。GPO のコピー処理は、一部の種類のセキュリティ設定に影響を与えます。

1 つの GPO のデータは複数の場所にさまざまな形式で格納されます。たとえば、一部のデータは Active Directory に格納され、その他のデータはドメイン コントローラーの SYSVOL 共有に格納されます。あるポリシー データがあるドメインで有効であっても、GPO のコピー先となるドメインではそのデータが無効になる場合があります。たとえば、セキュリティ ポリシーの設定に格納されているセキュリティ識別子 (SID) は、多くの場合、ドメインに固有です。このように、GPO のコピー操作は、フォルダーを 1 台のデバイスから別のデバイスにコピーするだけで済むような簡単なことではありません。

次のセキュリティ ポリシーは、セキュリティ プリンシパルを含む可能性があるため、これらをドメイン間で適切に移動するためには追加の作業が必要になる場合があります。

  • ユーザー権利の割り当て

  • 制限されたグループ

  • サービス

  • ファイル システム

  • レジストリ

  • GPO DACL (コピー操作中に保持することを選んだ場合)

データが正しくコピーされたことを確認するために、グループ ポリシー管理コンソール (GPMC) を使うことができます。ドメイン間で GPO を移行するときに GPMC を使うことで、すべての関連データを適切にコピーできます。GPMC では、移行テーブルも提供されます。この移行テーブルを使って、移行プロセスの一部として、ドメイン固有のデータを新しい値に更新できます。GPMC を使用すると、GPO の移行操作に関連する複雑さの多くが覆い隠され、GPO のコピー、バックアップなどの操作を簡単かつ信頼性の高い方法で実行できます。

このセクションの内容

トピック 説明

セキュリティ ポリシー設定の管理

この記事では、ローカル デバイスや小規模または中規模の組織全体でのセキュリティ ポリシー設定を管理するためのさまざまな方法について説明します。

セキュリティ ポリシー設定を構成します

ローカル デバイス上、ドメインに参加しているデバイス上、およびドメイン コント ローラー上のセキュリティ ポリシー設定を構成する手順について説明します。

セキュリティ ポリシー設定のリファレンス

このセキュリティ設定のリファレンスでは、設定オプションやセキュリティに関する考慮事項を含め、セキュリティ ポリシーの実装と管理の方法について説明します。