認証後にクライアントを偽装ユーザーにこの特権を割り当てるとそのユーザーに代わって実行されるプログラムがクライアントを偽装できるようになりますこの種の偽装にこのユーザー権利が必要となるのは権限のないユーザーが作成したサービスに (リモート ...

認証後にクライアントを偽装

ユーザーにこの特権を割り当てると、そのユーザーに代わって実行されるプログラムがクライアントを偽装できるようになります。この種の偽装にこのユーザー権利が必要となるのは、権限のないユーザーが作成したサービスに (リモート プロシージャ コール (RPC) や名前付きパイプなどを使用して) クライアントを接続させ、次にそのクライアントを偽装することによって、管理者レベルまたはシステム レベルなど上位のアクセス許可を得ることを防ぐためです。

注意

このユーザー権利を割り当てると、セキュリティ上の問題が生じる可能性があります。このユーザー権利は、信頼できるユーザーのみに割り当ててください。

既定値:

Administrators
Local Service
Network Service
Service

注意: 既定では、サービス コントロール マネージャーによって開始されるサービスのアクセス トークンにビルトインの Service グループが追加されます。コンポーネント オブジェクト モデル (COM) サーバーが COM インフラストラクチャによって起動され、特定のアカウントで実行するよう構成されている場合も、サーバーのアクセス トークンに Service グループが追加されます。その結果、これらのサービスが開始するときにこのユーザー権利が与えられます。

また、次の条件のいずれかに該当するときは、ユーザーがアクセス トークンを偽装できます。

偽装しようとしているアクセス トークンがそのユーザー用のものである。
このログオン セッションで、明示的な資格情報を使用してネットワークにログオンすることにより、ユーザーがアクセス トークンを作成した。
要求されるレベルが "匿名" や "識別" など、"偽装" より下である。
このような要因があるため、通常はユーザーがこのユーザー権利を必要とすることはありません。

詳細については、Microsoft プラットフォーム ソフトウェア開発キット (SDK) で "SeImpersonatePrivilege" を検索してください。

警告

この設定を有効にすると、以前に偽装の特権があったプログラムはこの特権を失い、実行しなくなる可能性があります。

認証エントリが無効です 'Allowed Primary Server (%3)' の値の形式が有効ではありません FQDN 値と FQIDN 値のみがサポートされますワイルドカード文字 '*' は完全修飾の国際化ドメイン名の先頭で使用できます ... 認証チケットの要求: ユーザー名: %1 提供された領域名: %2 ユーザー ID: %3 サービス名: %4 サービス ID: %5 チケットオプション: %6 結果コード: %7 チケット暗号化の種類: %8 事前認証の種類: %9 クライアント ... 認証チケット要求の失敗: ユーザー名: %1 供給された領域名: %2 サービス名: %3 チケットオプション: %4 失敗コード: %5 クライアントアドレス: %6 認証レコードまたはアカウンティングレコードを構成されたアカウンティングデータストアに書き込めませんでしたログファイルの場所にアクセス可能であること空き領域があること書き込み可能であることおよびディレクトリまたは SQL サーバーが利用可能であることを確認してください ... 認証後にクライアントを偽装ユーザーにこの特権を割り当てるとそのユーザーに代わって実行されるプログラムがクライアントを偽装できるようになりますこの種の偽装にこのユーザー権利が必要となるのは権限のないユーザーが作成したサービスに (リモート ... 認証方法として事前共有キーを使用して接続先が同じインターフェイスが複数作成されているためインターフェイスを有効にできません接続先または認証方法を変更してからインターフェイスを有効にしてください認証方法の一覧に既に事前共有キーがあります規則は認証方法として複数の事前共有キーを持つことはできません認証方法はコンピューター間で信頼が確立される方法を指定します別のコンピューターとセキュリティをネゴシエートするときに次の認証方法が提供され使用されます認証方法を選択する必要があります有効な認証方法の例として匿名 Cert Kerberos NTLM PSK などがあります