Windows 認証で使用されるグループ ポリシー設定
この IT プロフェッショナル向けリファレンスのトピックでは、認証プロセスでのグループ ポリシー設定の使用と影響について説明します。
ユーザー、コンピューター、およびサービス アカウントをグループに追加し、そのグループに認証ポリシーを適用することで、Windows オペレーティング システムで認証を管理できます。 これらのポリシーは、ローカル セキュリティ ポリシーおよび管理用テンプレートとして定義されます (グループ ポリシー設定とも言います)。 グループ ポリシーを使用すると、両方のセットを組織全体に構成および配布できます。
Note
Windows Server 2012 R2 で導入された機能を使用すると、保護されたアカウントで対象となるサービスまたはアプリケーションの認証ポリシー (一般に認証サイロと呼ばれる) を構成できます。 Active Directory でこれを行う方法については、「保護されたアカウントを構成する方法」を参照してください。
たとえば、組織の機能に基づいて、次のポリシーをグループに適用できます。
ローカルまたはドメインにログオンする
ネットワークを経由したログオン
アカウントのリセット
アカウントの作成
次の表に、認証に関連するポリシー グループの一覧と、これらのポリシーの構成に役立つドキュメントへのリンクを示します。
| ポリシー グループ | 場所 | 説明 |
|---|---|---|
| パスワード ポリシー | ローカル コンピューター ポリシー\コンピューターの構成\Windows の設定\セキュリティの設定\アカウント ポリシー | パスワード ポリシーは、パスワードの特性と動作に影響します。 パスワード ポリシーは、ドメイン アカウントまたはローカル ユーザー アカウントに使用されます。 これらのポリシーはパスワードの設定 (強制や有効期間など) を決定します。 具体的な設定の詳細については、「パスワード ポリシー」を参照してください。 |
| アカウント ロックアウトのポリシー | ローカル コンピューター ポリシー\コンピューターの構成\Windows の設定\セキュリティの設定\アカウント ポリシー | アカウント ロックアウト ポリシー オプションを使用すると、ログオン試行の失敗が設定した回数になるとアカウントが無効になります。 これらのオプションを使用すると、パスワードを破る試みを検出してブロックできます。 アカウント ロックアウト ポリシー オプションの詳細については、「アカウント ロックアウト ポリシー」を参照してください。 |
| Kerberos ポリシー | ローカル コンピューター ポリシー\コンピューターの構成\Windows の設定\セキュリティの設定\アカウント ポリシー | Kerberos 関連の設定には、チケットの有効期間と強制規則が含まれます。 Kerberos 認証プロトコルはローカル アカウントの認証に使用されないので、Kerberos ポリシーはローカル アカウント データベースには適用されません。 したがって、Kerberos ポリシー設定は、既定のドメイン グループ ポリシー オブジェクト (GPO) を使用してのみ構成でき、ドメイン ログオンに影響します。 ドメイン コントローラーの Kerberos ポリシー オプションの詳細については、「Kerberos ポリシー」を参照してください。 |
| 監査ポリシー | ローカル コンピューター ポリシー\コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\監査ポリシー | 監査ポリシーを使用すると、ファイルやフォルダーなどのオブジェクトへのアクセスを制御および理解したり、ユーザーとグループのアカウントとユーザーのログオンとログオフを管理したりすることができます。 監査ポリシーでは、監査するイベントのカテゴリを指定し、セキュリティ ログのサイズと動作を設定し、アクセスを監視するオブジェクトと監視するアクセスの種類を決定できます。 |
| ユーザー権利の割り当て | ローカル コンピューター ポリシー\コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\ユーザー権利の割り当て | 通常、ユーザー権利は、ユーザーが属するセキュリティ グループ (管理者、Power Users、ユーザーなど) に基づいて割り当てられます。 このカテゴリのポリシー設定は通常、アクセス方法とセキュリティ グループ メンバーシップに基づいて、コンピューターにアクセスするためのアクセス許可を付与または拒否するために使用されます。 |
| セキュリティ オプション | ローカル コンピューター ポリシー\コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション | 認証に関連するポリシーには、次のものが含まれます。 - デバイス |
| 資格情報の委任 | コンピュータの構成\管理用テンプレート\システム\資格情報の委任 | 資格情報の委任とは、他のシステム (特にドメイン内のメンバー サーバーとドメイン コントローラー) でローカル資格情報を使用できるメカニズムです。 これらの設定は、資格情報セキュリティ サポート プロバイダー (Cred SSP) を使用してアプリケーションに適用されます。 リモート デスクトップ接続はその一例です。 |
| KDC | コンピューターの構成\管理用テンプレート\システム\KDC | これらのポリシー設定は、ドメイン コントローラー上のサービス、キー配布センター (KDC) が Kerberos 認証要求を処理する方法に影響を与えます。 |
| Kerberos | コンピューターの構成\管理用テンプレート\システム\Kerberos | これらのポリシー設定は、要求、Kerberos 防御、複合認証、プロキシ サーバーの識別、およびその他の構成のサポートを処理するための Kerberos の構成方法に影響します。 |
| ログオン | コンピューターの構成\管理用テンプレート\システム\ログオン | これらのポリシー設定は、システムがユーザーにログオン エクスペリエンスを表示する方法を制御します。 |
| Net Logon | コンピューターの構成\管理用テンプレート\システム\Net Logon | これらのポリシー設定は、ドメイン コントローラー ロケーターの動作など、システムがネットワーク ログオン要求を処理する方法を制御します。 ドメイン コントローラー ロケーターがレプリケーション プロセスに適合する方法の詳細については、「サイト間のレプリケーションについて」を参照してください。 |
| 生体認証 | コンピューターの構成\管理用テンプレート\Windows コンポーネント\生体認証 | これらのポリシー設定では、通常、認証方法としての生体認証の使用を許可または拒否します。 生体認証の Windows 実装については、「Windows 生体認証フレームワークの概要」を参照してください。 |
| 資格情報ユーザー インターフェイス | コンピューターの構成\管理用テンプレート\Windows コンポーネント\資格情報ユーザー インターフェイス | これらのポリシー設定は、エントリ時点での資格情報を管理する方法を制御します。 |
| パスワード同期 | コンピューターの構成\管理用テンプレート\Windows コンポーネント\パスワード同期 | これらのポリシー設定は、システムが Windows と UNIX ベースのオペレーティング システム間のパスワードの同期を管理する方法を決定します。 詳細については、「パスワード同期」を参照してください。 |
| スマート カード | コンピューターの構成\管理用テンプレート\Windows コンポーネント\スマート カード | これらのポリシー設定は、システムがスマート カードログオンを管理する方法を制御します。 |
| Windows ログオン オプション | コンピューターの構成\管理用テンプレート\Windows コンポーネント\Windows ログオン オプション | これらのポリシー設定は、ログオンの機会をいつどのように利用できるのか制御します。 |
| Ctrl + Alt + Del オプション | コンピューターの構成\管理用テンプレート\Windows コンポーネント\Ctrl + Alt + Del オプション | これらのポリシー設定は、ログオン UI (セキュリティで保護されたデスクトップ) の機能 (タスク マネージャーやコンピューターのキーボード ロックなど) の外観とアクセシビリティに影響します。 |
| ログオン | コンピューターの構成\管理用テンプレート\Windows コンポーネント\ログオン | これらのポリシー設定は、ユーザーがログオンしたときにプロセスが実行できるかどうか、または実行できるプロセスを決定します。 |