DCOM: セキュリティ記述子定義言語 (SDDL) 構文でのコンピューター起動制限 このポリシー設定は どのユーザーまたはグループが リモートまたはローカルで DCOM アプリケーションを起動またはアクティブ化できるかを決定します この設定は ...

DCOM: セキュリティ記述子定義言語 (SDDL) 構文でのコンピューター起動制限

このポリシー設定は、どのユーザーまたはグループが、リモートまたはローカルで DCOM アプリケーションを起動またはアクティブ化できるかを決定します。この設定は、DCOM アプリケーションに使用するコンピューターの攻撃対象となる面を制御するために使用されます。

この設定を使用して、すべてのコンピューターに対するアクセス許可を、DCOM アプリケーションのユーザーに付与することができます。この設定を定義して、許可を与えられるユーザーまたはグループを指定すると、セキュリティ記述子フィールドに、それらのグループおよび特権の SDDL 表記が入力されます。セキュリティ記述子が空白のままにされた場合、ポリシー設定はテンプレートで定義されますが、強制はされません。ユーザーおよびグループには、ローカルからの起動、リモートからの起動、ローカルからのアクティブ化、およびリモートからのアクティブ化に関して、明示的な [許可] または [拒否] 特権を付与することができます。

このポリシーの結果作成されるレジストリ設定は、この領域の既存のレジストリ設定より優先されます。リモート プロシージャ コール サービス (RpcSs) は、コンピューター制限のポリシー セクションの新しいレジストリ キーを調べます。これらのエントリは、OLE 下の既存のレジストリ キーよりも優先されます。

このグループ ポリシー設定で指定できる値は次のとおりです。

 空白。これは、ローカル セキュリティ ポリシーでポリシー強制キーを削除することを表します。この値は、ポリシーを削除し、それを未定義の状態として設定します。空白値は、ACL エディターを使用してリストを空にし、[OK] をクリックすることによって設定できます。

 SDDL。これは、このポリシーを有効にするときに指定するグループおよび特権のセキュリティ記述子定義言語の表記です。

 未定義。これが既定値です。

注
このバージョンの Windows の DCOM に行われた変更によって、管理者が DCOM アプリケーションにアクセスしてアクティブ化または起動する権限を拒否された場合、このポリシー設定を使用してコンピューターに対する DCOM のアクティブ化および起動を制御できます。管理者は、"DCOM: セキュリティ記述子定義言語 (SDDL) 構文でのコンピューター起動制限" ポリシー設定を使用して、どのユーザーまたはグループが、ローカルおよびリモートでコンピューター上の DCOM アプリケーションを起動およびアクティブ化できるかを指定できます。これにより、DCOM アプリケーションの制御が、管理者および指定されたユーザーに戻されます。これを実行するには、"DCOM: セキュリティ記述子定義言語 (SDDL) 構文でのコンピューター起動制限" 設定を開き、[セキュリティの編集] をクリックします。含めるグループと、それらのグループに対するコンピューター起動許可を指定します。これにより、設定が定義され、適切な SDDL 値が設定されます。