3.8.3 セキュリティポリシーエディタ
[セキュリティテンプレート]管理ツールを利用せずに適用ずみのセキュリティポリシーを修正する方法としては,Windows 2000に用意されているセキュリティポリシーエディタを用いる方法がある。Windows 2000には,コンピュータの役割に応じて,デフォルトで[ドメインコントローラセキュリティポリシー],[ドメインセキュリティポリシー],[ローカルセキュリティポリシー]が用意されている(Table 3-8)。
Table 3-8 セキュリティポリシーエディタと適用範囲
| 利用するセキュリティポリシーエディタ | 適用範囲 |
|---|---|
| ドメインセキュリティポリシー | Active Directoryのドメインコントローラ上で,ドメインの全メンバのセキュリティ設定を修正する |
| ドメインコントローラセキュリティポリシー | Active Directoryのドメインコントローラ上で,ドメインコントローラだけのセキュリティ設定を修正する |
| ローカルセキュリティポリシー | Windows 2000 Serverが実行されているコンピュータのセキュリティ設定を修正する |
| Windows 2000 Professionalが実行されていて,管理ツールパック(adminpak.msi)をインストールしているコンピュータのセキュリティ設定を修正する | |
| 上記以外 |
[ドメインコントローラセキュリティポリシー]には,次のポリシーが用意されている。
- アカウントポリシー
- パスワードのポリシー
- アカウントロックアウトのポリシー
- Kerberosポリシー
- ローカルポリシー
- 監査ポリシー
- ユーザー権利の割り当て
- セキュリティオプション
- イベントログ
- 制限されたグループ
- システムサービス
- レジストリ
- ファイルシステム
- 公開キーのポリシー
- 暗号化されたデータの回復エージェント
- 自動証明書要求の設定
- 信頼されたルート証明機関
- エンタープライズの信頼
- Active DirectoryのIPセキュリティポリシー
Fig.3-36 ドメインコントローラセキュリティポリシー(クリックで拡大可能)
[ドメインセキュリティポリシー]には,次のポリシーが用意されている。
- アカウントポリシー
- パスワードのポリシー
- アカウントロックアウトのポリシー
- Kerberosポリシー
- ローカルポリシー
- 監査ポリシー
- ユーザー権利の割り当て
- セキュリティオプション
- イベントログ
- 制限されたグループ
- システムサービス
- レジストリ
- ファイルシステム
- 公開キーのポリシー
- 暗号化されたデータの回復エージェント
- 自動証明書要求の設定
- 信頼されたルート証明機関
- エンタープライズの信頼
- Active DirectoryのIPセキュリティポリシー
変更されたドメインセキュリティポリシーは,次にグループポリシーの設定が更新されるタイミングで,ドメインに所属するアカウントに適用される。
ここで示した3つの管理ツールで設定を変更しても,セキュリティテンプレートを使って作成したセキュリティの構成ファイルは変更されない。
グループポリシーオブジェクトを削除しても,割り当てられたIPSecポリシーは削除されない。しかし,IPSecポリシーエージェントは必要なグループポリシーを発見することができないので,キャッシュされているコピーを使用する。グループポリシーのコピーは,(1) Active Directory,(2) スタンドアロンコンピュータ,(3) 一時的にドメインと接続できないローミング環境ではローカルのレジストリ,にキャッシュされている。したがって,グループポリシーオブジェクトを削除するときには,あらかじめIPSecポリシーの割り当てを解除しておかなければならない。
Fig.3-37 ドメインセキュリティポリシー(クリックで拡大可能)
Fig.3-37を参照するとわかるように,ドメインセキュリティポリシーやドメインコントローラセキュリティポリシーのなかには,完全に日本語化されていない個所がある。ローカルセキュリティポリシーの[ローカルコンピュータのIPセキュリティポリシー]は日本語化されているので,ドメインセキュリティポリシーやドメインコントローラセキュリティポリシーで意味がわからない項目があれば,ローカルセキュリティポリシーを参照するとよいだろう。
[ローカルセキュリティポリシー]は,ドメインコントローラ以外のWindows 2000を実行しているローカルコンピュータの[セキュリティの設定]ポリシーを構成する場合に使用する。もしそのコンピュータがドメインのメンバであれば,[ローカルセキュリティポリシー]の設定は[ドメインセキュリティポリシー]によって上書きされる可能性がある。[ローカルセキュリティポリシー]には,次のようなポリシーが用意されている。
- アカウントポリシー
- パスワードのポリシー
- アカウントロックアウトのポリシー
- ローカルポリシー
- 監査ポリシー
- ユーザー権利の割り当て
- セキュリティオプション
- 公開キーのポリシー
- 暗号化されたデータの回復エージェント
- ローカルコンピュータのIPセキュリティポリシー
Fig.3-38 ローカルセキュリティポリシー(クリックで拡大可能)
これらのセキュリティポリシーと,[グループポリシー]管理ツールにおける[セキュリティの設定]ポリシーとの違いを示すと,Table 3-9のようになる。
Table 3-9 セキュリティポリシーとグループポリシーの違い
| ポリシーの管理項目 | ポリシー |
ポリシー |
||||
|---|---|---|---|---|---|---|
| ドメインセキュリティポリシー | ドメインコントローラセキュリティポリシー | ローカルセキュリティポリシー | コンピュータ | ユーザー | ||
| アカウントポリシー | パスワードポリシー | ○ | ○ | ○ | ○ | × |
| アカウントロックアウトのポリシー | ○ | ○ | ○ | ○ | × | |
| Kerberosポリシー | ○ | ○ | ○ | ○ | × | |
| ローカルポリシー | 監査ポリシー | ○ | ○ | ○ | ○ | × |
| ユーザー権利の割り当て | ○ | ○ | ○ | ○ | × | |
| セキュリティオプション | ○ | ○ | ○ | ○ | × | |
| イベントログ | イベントログの設定 | ○ | ○ | × | ○ | × |
| 制限されたグループ | ○ | ○ | × | ○ | × | |
| システムサービス | ○ | ○ | × | ○ | × | |
セキュリティの設定を編集するには,次のように操作する。
- [スタート]メニューから[プログラム]−[管理ツール]を選択し,表示されたメニューから適切な管理ツールを選ぶ。Active Directoryのドメインコントローラ上でドメインに属する全ユーザーのセキュリティ設定を変更する場合は[ドメインセキュリティポリシー]を,Active Directoryのドメインコントローラ上でドメインコントローラだけのセキュリティ設定を変更する場合は[ドメインコントローラセキュリティポリシー]を,それ以外の場合は[ローカルセキュリティポリシー]を選択する。
- コンソールツリーで[アカウントポリシー]−[パスワードのポリシー]などのセキュリティ項目を展開する。あるいは,[セキュリティの設定]ノードを右クリックして[ポリシーのインポート]を選択し,定義ずみのセキュリティテンプレートから任意のテンプレートをインポートしてもかまわない。
- 変更したいセキュリティ属性をダブルクリックし,[このポリシーの設定をテンプレートで定義する]が有効になっていることを確認して[OK]ボタンを押す。
 |
Chapter 3(後編) 15/17 |  |
