Windows TIPS
[Management]
  Windows TIPS TOPへ
Windows TIPS全リストへ
内容別分類一覧へ

ユーザー権利の設定を確認/変更する

解説をスキップして操作方法を読む

デジタルアドバンテージ 打越 浩幸
2006/04/15
 
対象OS
Windows 2000
Windows XP
Windows Server 2003
Windows OSでは、OSの機能ごとに、どのユーザーに対して利用を許可するかを設定することができる。これをユーザー権利の割り当てという。
この設定が正しくないと、OSのサービスや機能が利用できなくなる可能性がある。
ユーザー権利の内容を確認/編集するには、ローカル・セキュリティ・ポリシー・ツールを利用する。
 
解説

アカウントごとに利用できる機能を決める「ユーザー権利」とは?

 Windows OSのユーザーやグループの管理ツールで定義されたアカウントには、それぞれのアカウントに応じて、OSの機能のうち、何が利用できるかが決められている。単にプログラムをインストールや実行するといった単純なものだけではなく、例えばAdministratorsグループのアカウントならば、システムをシャットダウンしたり、バックアップしたりできるといった機能のことである。一般ユーザー(Usersグループのアカウント)では、このような操作は(デフォルトでは)禁止されている。

 このような、利用できるWindows OSの機能のことを「ユーザー権利(User Rights)」といい、この権利を管理することを「ユーザー権利の割り当て(User Rights Assignment)」という。ユーザー権利には、「特権」と「ログオンの権利」の2つがある。「特権」とは、ある特定の操作(例:シャットダウン)を実行することができる権限のことであり、「ログオンの権利」とは、例えばネットワーク経由でコンピュータにログオンするといった、ログオンに関する権限のことである。

 あるアカウントごとに何ができるかとか、サービスの動作がうまくいかない場合に、アカウントに対してどのような権利が割り当てられているか(もしくは、割り当てがうまくいっていないのか)などを確認するためには、ユーザー権利の割り当ての設定内容を確認するとよい。本TIPSでは、この確認のためのツールの利用方法について解説する。ただし、OSのすべての機能がこれで管理できるわけではなく、機能によっては、あらかじめ(組み込み)アカウントに対して内部的に割り当てられており、ユーザーが変更することはできない。

操作方法

 ユーザーの権利を確認するには、[管理ツール]の[ローカル セキュリティ ポリシー]を起動し、[セキュリティの設定]−[ローカル ポリシー]−[ユーザー権利の割り当て]を選択する。グループ・ポリシーを使ってローカルの設定を上書きしたければ、グループ・ポリシー・エディタで[コンピュータの構成]−[Windows の設定]−[セキュリティの設定]−[ローカル ポリシー]−[ユーザー権利の割り当て]を開き、同様に設定すればよい。

ユーザー権利の確認/設定ツール
ユーザー権利を確認/設定するには、[管理ツール]の[ローカル セキュリティ ポリシー]を起動するか、グループ・ポリシーで[コンピュータの構成]−[Windows の設定]−[セキュリティの設定]−[ローカル ポリシー]−[ユーザー権利の割り当て]を設定すればよい。これはドメイン・コントローラになっているWindows Server 2003 R2サーバにおけるローカル・セキュリティ・ポリシーのツール画面の例。多くの項目がグループ・ポリシーによってあらかじめ制御されており、変更することができない。
  これを選択する。
  ユーザー権利で利用可能な項目の一覧。項目名の左端に表示されているアイコンは、その項目が編集可能かどうかを表している。コンピュータが2台並んでいるアイコン(例:一番上の「オペレーティング システムの……」)は、その項目がグループ・ポリシーによって制御されていて、編集できないことを表している。編集したければ、ローカル・セキュリティ・ポリシーではなく、グループ・ポリシーで変更する。青い数字が書かれたアイコン(例:2番目の「グローバル オブジェクトの……」)は、ローカル・セキュリティ・ポリシーで変更可能な項目。
  設定されている内容。項目ごとに、ユーザーやグループのアカウントを指定する。

 画面の右側のペイン()に表示されているのが利用可能な設定項目の一覧で、その右側()に表示されているのが、設定されている内容の一覧である。デフォルトでは、例えば「グローバル オブジェクトの作成」という権利は、AdministratorsとSERVICEというアカウントに許可されている。Windows 2000の管理ツールの場合は、現在設定されている内容の一覧(ローカル側の設定一覧)だけでなく、グループ・ポリシーで設定されている内容の一覧も同時に表示されている(グループ・ポリシーによる設定があれば、そちらが優先される)。

 期待した動作が利用できない(ユーザー権利が実行できない)場合は、ここに表示されている権利と登録されているアカウントを確認するとよいだろう。

 どれか1つ項目を選んでダブルクリックすると、次のようなダイアログが表示される。

項目の内容確認/編集
設定されている内容を確認したり、変更したりするには、特定の項目をダブルクリックしてこのダイアログを表示する。グループ・ポリシーによって制御されている場合は、内容は確認できるが、新たに追加や削除はできない(ボタンがグレー・アウト状態になっている)。
  項目名。
  この権利に対して割り当てられているユーザー/グループ・アカウント。デフォルトでは何も割り当てられていない項目も多い。
  追加するにはこれをクリックする。
  削除するにはこれをクリックする。

 各項目の詳細な意味については、OSのオンライン・ヘルプを参照していただきたい。End of Article

関連記事(Windows Server Insider)
Windows TIPS:Administratorとは?
Windows TIPS:アクセス制御リストACLとは?
Windows TIPS:セキュリティ設定を記述するSDDL文字列とは?
Windows TIPS:デフォルトのローカル・グループを知る
 
関連リンク
セキュリティ設定およびユーザー権利の割り当てを変更すると、クライアント、サービス、およびプログラムの互換性がなくなる(マイクロソフト サポート技術情報)
 
「Windows TIPS」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間