グループ ポリシーを使用して MaxTokenSize レジストリ エントリを複数のコンピューターに追加する方法

この記事では、グループ ポリシーを使用して MaxTokenSize レジストリ エントリを複数のコンピューターに追加する方法について説明します。

適用対象:  Windows Server 2012R2、Windows Server 2008 R2 Service Pack 1
元の KB 番号:   938118

はじめに

Windows Server 2003、Windows Server 2008、Windows Server 2008 R2、または Windows Server 2012 を実行しているドメイン コントローラーでは、グループ ポリシーを使用して、次のレジストリ エントリを複数のコンピューターに追加できます。

キー: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
エントリ: MaxTokenSize
データ型: REG_DWORD
値: 48000

この記事では、この設定をドメインのすべてのメンバーに簡単にプッシュできるよう、その方法について説明します。 このプロセスは、ドメイン コントローラーが実行しているサーバー Windowsによって異なります。

注意

MaxTokenSize の最大許容値は 65535 バイトです。 ただし、HTTP の認証コンテキスト トークンの base64 エンコードのため、maxTokenSize レジストリ エントリを 48000 バイトを超える値に設定することをお勧めしません。 既定のWindows Server 2012 MaxTokenSize レジストリ エントリの既定値は 48000 バイトです。

詳細

グループ ポリシー オブジェクト (GPO) を使用して MaxTokenSize を構成する方法 (Windows Server 2003)

レジストリ エントリをドメイン内の複数のコンピューターに追加するには、Windows Server 2012を実行します。

  1. MaxTokenSize レジストリ エントリの管理用テンプレート (ADM) ファイルを作成します。 これを行うには、次の手順を実行します。

    1. 開始メモ帳。

    2. 次のテキストをコピーし、テキストを次のテキストに貼りメモ帳。

      クラス コンピューター

      CATEGORY !!KERB

      KEYNAME "SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters"
      POLICY !!MaxToken
      VALUENAME "MaxTokenSize"
      VALUEON NUMERIC 48000
      VALUEOFF 数値 0
      END POLICY

      END CATEGORY

      [文字列]
      KERB="Kerberos 最大トークン サイズ"
      MaxToken="Kerberos MaxTokenSize"

      注意

      MaxTokenSize レジストリ エントリの値は 48000 に設定されます。 これは推奨される値です。

    3. 設定を展開メモ帳 GPO を構成するために使用するドメイン コントローラーの %windir%\Inf\ フォルダーに MaxTokenSize.adm としてドキュメントを保存します。

    4. 終了メモ帳。

  2. ADM を GPO にインポートし、MaxTokenSize レジストリ エントリを目的の値に設定します。 これを行うには、次の手順を実行します。

    1. ドメイン レベルでリンクされている、またはコンピューター アカウントを含む組織単位 (OU) にリンクされている新しいグループ ポリシー オブジェクト (GPO) を作成します。 または、既に展開されている GPO を選択します。

    2. グループ ポリシー オブジェクト エディターを開きます。 これを行うには、[スタート] ボタン、[実行] をクリックし、「gpedit.msc」と入力し、[OK] をクリックします。

    3. コンソール ツリーで、[コンピューターの構成] を展開し、[管理用テンプレート] を展開し、[管理用テンプレート] をクリックします。

    4. [アクション] メニューの [すべてのタスク] をポイントし、[テンプレートの追加と削除] をクリックします。

    5. [追加] をクリックします。

    6. 手順 1 で作成した MaxTokenSize.adm ファイルをクリックして選択し、[開く] をクリックします。

    7. [閉じる] をクリックします。

    8. [表示] メニューの [フィルター] をクリックします。

    9. [完全に管理できるポリシー設定のみを表示する] チェック ボックスをオフにし、[OK] をクリックします。

    10. [管理用テンプレート] を展開し、[Kerberos の最大トークン サイズ] をクリックします。

    11. 右側のウィンドウで Kerberos MaxTokenSize を右クリックし、[プロパティ] をクリックして [プロパティ] ダイアログ ボックスを開きます。

    12. [有効] をクリックし、[OK] をクリックします。

      注意

      GPO を有効にするには、GPO の変更をドメイン内のすべてのドメイン コントローラーにレプリケートし、ポリシーを適用した後に影響を受けるコンピューターを再起動する必要があります。

Windows Server 2008 および Windows Server 2008 R2 で GPO を使用して MaxTokenSize レジストリ エントリを構成する方法

Windows Server 2008 ドメインおよび Windows Server 2008 R2 ドメインでは、レジストリ Client-Side 拡張機能を使用して、ドメイン内の複数のコンピューターに MaxTokenSize レジストリ値を展開できます。 GPO で MaxTokenSize 値の設定を作成するには、次の手順を実行します。

  1. [スタート] ボタンをクリックし、[実行] をクリックし、「gpmc.msc」と入力し、[OK] をクリックしてグループ ポリシー管理コンソールを開きます。
  2. グループ ポリシー管理コンソールで、ドメイン レベルでリンクされている、またはコンピューター アカウントを含む OU にリンクされている新しい GPO を作成します。 または、既に展開されている GPO を選択することもできます。
  3. GPO を右クリックし、[編集] をクリックして [グループ ポリシー管理エディター] ウィンドウを開きます。
  4. [コンピューターの構成] を展開し、[基本設定] を展開し、[コンピューターの構成] Windows 設定。
  5. [レジストリ] を右クリックし、[新規] をポイントし、[レジストリ アイテム] をクリックします。 [新しいレジストリのプロパティ] ダイアログ ボックスが表示されます。
  6. [アクション] ボックスの一覧で、[作成] をクリックします。
  7. [ハイブ] ボックスの一覧で、[次のHKEY_LOCAL_MACHINE。
  8. [キー パス] ボックスの一覧で、[SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters] をクリックします。
  9. [値名] ボックスに「MaxTokenSize」と入力します。
  10. [値の種類] ボックスで、[値の種類] チェック ボックスREG_DWORD選択します。
  11. [値のデータ] ボックスに「48000」と入力します。
  12. [基本] の横にある [10 進数] チェック ボックスをオンにします。
  13. [OK] をクリックします。

注意

GPO を有効にするには、GPO の変更をドメイン内のすべてのドメイン コントローラーにレプリケートし、ポリシーを適用した後に影響を受けるコンピューターを再起動する必要があります。

アプリケーションで GPO を使用して MaxTokenSize レジストリ エントリを構成するWindows Server 2012

MaxTokenSize レジストリ エントリの値を、Windows Server 2012ベースのドメイン コントローラーを持つドメインに展開するには、次の手順を実行します。

  1. サーバー マネージャーを開き、[ツール] をクリックし、[グループ ポリシーの管理] をクリックしてグループ ポリシー管理コンソールを開きます。
  2. グループ ポリシー管理コンソールで、ドメイン レベルでリンクされている、またはコンピューター アカウントを含む OU にリンクされている新しい GPO を作成します。 または、既に展開されている GPO を選択します。
  3. GPO を右クリックし、[編集] をクリックして [グループ ポリシー管理エディター] ウィンドウを開きます。
  4. [コンピューターの構成] を展開し、[ポリシー] を展開し、[管理用テンプレート] を展開します。
  5. [システム] を展開し、[Kerberos] をクリックします。
  6. 右側のウィンドウで [最大 Kerberos SSPI コンテキスト トークン バッファー サイズを設定する] を右クリックし、[編集] をクリックします。
  7. [有効] をクリックし、[最大サイズ] ボックスに「48000」と入力します。
  8. [OK] をクリックします。

注意

  • GPO を有効にするには、GPO の変更をドメイン内のすべてのドメイン コントローラーにレプリケートし、ポリシーを適用した後に影響を受けるコンピューターを再起動する必要があります。

  • [最大 Kerberos SSPI コンテキスト トークン バッファー サイズの設定] ポリシー設定は、Windows Server 2012 および Windows 8。 ポリシー設定は、Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2 でサポートされます。 このグループ ポリシー設定を使用するには、RSAT ツールがインストールされている Windows Server 2012または Windows 8で GPO を編集する必要があります。

関連情報

MaxTokenSize レジストリ エントリの詳細については、次の記事番号をクリックして、マイクロソフト サポート技術情報の記事を表示します。
327825ユーザー が多数のグループに属している場合の Kerberos 認証に関する問題の新しい解決