DCOM: セキュリティ記述子定義言語 (SDDL) 構文でのコンピュータ起動制限 このポリシー設定は どのユーザーまたはグループが リモートまたはローカルで DCOM アプリケーションを起動またはアクティブ化できるかを決定します この設定は ...

DCOM: セキュリティ記述子定義言語 (SDDL) 構文でのコンピュータ起動制限  このポリシー設定は、どのユーザーまたはグループが、リモートまたはローカルで DCOM アプリケーションを起動またはアクティブ化できるかを決定します。この設定は、DCOM アプリケーションに使用するコンピュータの攻撃対象となる面を制御するために使用されます。  この設定を使用して、すべてのコンピュータに対するアクセス許可を、DCOM アプリケーションのユーザーに付与することができます。この設定を定義して、許可を与えられるユーザーまたはグループを指定すると、セキュリティ記述子フィールドに、それらのグループおよび特権の SDDL 表記が入力されます。セキュリティ記述子が空白のままにされた場合、ポリシー設定はテンプレートで定義されますが、強制はされません。ユーザーおよびグループには、ローカルからの起動、リモートからの起動、ローカルからのアクティブ化、およびリモートからのアクティブ化に関して、明示的な [許可] または [拒否] 特権を付与することができます。  このポリシーの結果作成されるレジストリ設定は、この領域の既存のレジストリ設定より優先されます。リモート プロシージャ コール サービス (RpcSs) は、コンピュータ制限のポリシー セクションの新しいレジストリ キーを調べます。これらのエントリは、OLE 下の既存のレジストリ キーよりも優先されます。  このグループ ポリシー設定で指定できる値は次のとおりです。  • 空白。これは、ローカル セキュリティ ポリシーでポリシー強制キーを削除することを表します。この値は、ポリシーを削除し、それを未定義の状態として設定します。空白値は、ACL エディタを使用してリストを空にし、[OK] をクリックすることによって設定できます。  • SDDL。これは、このポリシーを有効にするときに指定するグループおよび特権のセキュリティ記述子定義言語の表記です。  • 未定義。これが既定値です。  注 このバージョンの Windows の DCOM に行われた変更によって、管理者が DCOM アプリケーションにアクセスしてアクティブ化または起動する権限を拒否された場合、このポリシー設定を使用してコンピュータに対する DCOM のアクティブ化および起動を制御できます。管理者は、"DCOM: セキュリティ記述子定義言語 (SDDL) 構文でのコンピュータ起動制限" ポリシー設定を使用して、どのユーザーまたはグループが、ローカルおよびリモートでコンピュータ上の DCOM アプリケーションを起動およびアクティブ化できるかを指定できます。これにより、DCOM アプリケーションの制御が、管理者および指定されたユーザーに戻されます。これを実行するには、"DCOM: セキュリティ記述子定義言語 (SDDL) 構文でのコンピュータ起動制限" 設定を開き、[セキュリティの編集] をクリックします。含めるグループと、それらのグループに対するコンピュータ起動許可を指定します。これにより、設定が定義され、適切な SDDL 値が設定されます。   ユーザー アカウント制御: 組み込みの管理者アカウント用の管理者承認モード  このセキュリティ設定は、組み込みの管理者アカウント用の管理者承認モードの動作を決定します。  次のオプションがあります。  • 有効: 組み込みの管理者は管理者承認モードでログオンします。既定では、特権の昇格を必要とする操作はすべて、承認管理者に [許可] または [拒否] を選択するよう要求します。  • 無効: 組み込みの管理者は XP 互換モードでログオンし、既定で完全な管理者特権ですべてのアプリケーションを実行します。  既定値: 無効