ドメイン間Windows NT Active Directory ドメイン間の信頼を確立できないか、期待通り動作しない

この記事では、4.0 ベースのドメインWindows NT Active Directory ベースのドメインとの間の信頼構成の問題について説明します。

適用対象:  Windows 10 – すべてのエディション、Windows Server 2012 R2
元の KB 番号:   889030

現象

Microsoft Windows NT 4.0 ベースのドメインと Active Directory ベースのドメインの間で信頼を設定しようとする場合、次のいずれかの現象が発生する可能性があります。

  • 信頼が確立されていません。
  • 信頼は確立されますが、信頼は期待通りには機能しません。

さらに、次のエラー メッセージが表示される場合があります。

":アカウントは、このステーションからログインする権限 持てない" Domain_Name"ドメインに参加しようとして、次のエラーが発生しました。

アクセスが拒否されました。

ドメイン コントローラーに接続する必要はありません。

ログオンエラー: 不明なユーザー名またはパスワードが無効です。

Active Directory Users と Computers でオブジェクト ピッカーを使用して NT 4.0 ドメインから Active Directory ドメインにユーザーを追加すると、次のエラー メッセージが表示されることがあります。

現在の検索に一致するアイテムはありません。 検索パラメーターを確認し、もう一度やり直してください。

原因

この問題は、次のいずれかの領域で構成の問題が発生します。

  • 名前の解決
  • セキュリティの設定
  • ユーザー権限
  • Microsoft Windows 2000 または Microsoft Windows Server 2003 のグループ メンバーシップ

問題の原因を正しく特定するには、信頼構成のトラブルシューティングを行う必要があります。

解決方法

Active Directory Users and Computer でオブジェクト ピッカーを使用するときに"現在の検索と一致するアイテムはありません" というエラー メッセージが表示される場合は、NT 4.0 ドメインのドメイン コントローラーにネットワーク ユーザー権限の [このコンピューターにアクセスする] に Everyone が含まれる必要があります。 このシナリオでは、オブジェクトピッカーは信頼を越えて匿名で接続を試行します。 これらの設定を確認するには、「方法 3: ユーザー権限を確認する」セクションの手順に従います。

4.0 ベースのドメインWindows NT Active Directory 間の信頼構成の問題をトラブルシューティングするには、次の領域の正しい構成を確認する必要があります。

  • 名前の解決
  • セキュリティの設定
  • ユーザー権限
  • Microsoft Windows 2000 または Microsoft Windows Server 2003 のグループ メンバーシップ

これを行うには、次のメソッドを使用します。

方法 1: 名前解決の正しい構成を確認する

手順 1: LMHOSTS ファイルを作成する

ドメイン間の名前解決機能を提供するために、プライマリ ドメイン コントローラーに LMHOSTS ファイルを作成します。 LMHOSTS ファイルは、テキスト エディター (テキスト エディターなど) で編集できるテキスト ファイルメモ帳。 各ドメイン コントローラーの LMHOSTS ファイルには、他のドメイン コントローラーの TCP/IP アドレス、ドメイン名、および \0x1b エントリが含まれている必要があります。

LMHOSTS ファイルを作成した後、次の手順を実行します。

  1. 次のテキストに似たテキストが含まれるファイルを変更します。

    1.1.1.1 <NT_4_PDC_Name> #DOM: <NT_4_Domain_Name> #PRE
    1.1.1.1 " <NT_4_Domain> \ 0x1b"#PRE
    2.2.2.2 <Windows_2000_PDC_Name> #DOM: <Windows_2000_Domain_Name> #PRE
    2.2.2.2 \ "<2000_Domain> 0x1b"#PRE

    注意

    このエントリには、二重引用符 (" ") の間に合計 20 \ 文字とスペース0x1bがあります。 ドメイン名の後にスペースを追加して、15 文字を使用します。 16 番目の文字はバックスラッシュで、その後に "0x1b" の値が続き、合計で 20 文字になります。

  2. LMHOSTS ファイルへの変更が完了したら、ファイルをドメイン コントローラーの %SystemRoot% \ System32 Drivers Etc フォルダー \ \ に保存します。 LMHOSTS ファイルの詳細については 、%SystemRoot% System32 Drivers Etc フォルダーにある Lmhosts.sam サンプル ファイル \ \ を \ 参照してください。

手順 2: LMHOSTS ファイルをキャッシュに読み込む

  1. [**スタート] ボタン、[**ファイル名を指定して実行] をクリックし 、「cmd」 と入力し 、[OK] をクリックします

  2. コマンド プロンプトで、「」と NBTSTAT -R 入力し、Enter キーを押します。 このコマンドは、LMHOSTS ファイルをキャッシュに読み込む。

  3. コマンド プロンプトで、「」と NBTSTAT -c 入力し、Enter キーを押します。 このコマンドは、キャッシュを表示します。 ファイルが正しく書き込まれた場合、キャッシュは次のようになります。

    NT4PDCName <03> UNIQUE 1.1.1.1 -1
    NT4PDCName <00> 1.1.1.1 -1
    NT4PDCName <20> 1.1.1.1 -1
    NT4DomainName <1C> GROUP 1.1.1.1 -1
    NT4DomainName <1B> UNIQUE 1.1.1.1 -1
    W2KPDCName <03> 2.2.2.2 -1
    W2KPDCName <00> UNIQUE 2.2.2.2 -1
    W2KPDCName <20> 2.2.2.2 -1
    W2KDomainName <1C> GROUP 2.2.2.2 -1
    W2KDomainName <1B> UNIQUE 2.2.2.2 -1

    ファイルがキャッシュに正しく設定されない場合は、次の手順に進みます。

手順 3: 4.0 ベースのコンピューターで LMHOSTS 参照が有効Windows NT確認する

ファイルがキャッシュに正しく設定されない場合は、4.0 ベースのコンピューターで LMHOSTS 参照が有効Windows NT確認します。 これを行うには、次の手順を実行します。

  1. [スタート] ボタンをクリックし、[設定] をポイントして、[コントロール パネル] をクリックします。
  2. [ネットワーク] をダブルクリック し、[プロトコル] タブを クリックし 、[TCP/IP プロトコル] をダブルクリックします
  3. [WINS アドレス ] タブをクリック、[LMHOSTS ルックアップを有効にする] チェック ボックスをオンにします。
  4. コンピューターを再起動します。
  5. 「LMHOSTS ファイルをキャッシュに読み込む」セクションの手順を繰り返します。
  6. ファイルがキャッシュに正しく設定されない場合は、LMHOSTS ファイルが %SystemRoot% \ System32 \ Drivers \ Etc フォルダーに存在し、ファイルが正しく書式設定されていることを確認します。

たとえば、ファイルの書式は、次の書式の例と同様に書式設定する必要があります。

1.1.1.1 NT4PDCName #DOM:NT4DomainName#PRE
1.1.1.1 "NT4DomainName \ 0x1b"#PRE
2.2.2.2 W2KPDCName #DOM:W2KDomainName#PRE
2.2.2.2 "W2KDomainName \ 0x1b"#PRE

注意

ドメイン名と文字列エントリには、引用符 (" ") 内に合計 20 文字と \ スペース0x1b必要があります。

手順 4: Ping コマンドを使用して接続をテストする

ファイルが各サーバーでキャッシュに正しく設定されている場合は、各サーバーのコマンドを使用して、サーバー間 Ping の接続をテストします。 これを行うには、次の手順を実行します。

  1. [**スタート] ボタン、[**ファイル名を指定して実行] をクリックし 、「cmd」 と入力し 、[OK] をクリックします

  2. コマンド プロンプトで、「」と Ping <Name_Of_Domain_Controller_You_Want_To_Connect_To> 入力し、Enter キーを押します。 コマンドが機能しない場合は、正しい IP アドレスが LMHOSTS ファイルに一覧表示 Ping されていることを確認します。

  3. コマンド プロンプトで、「」と net view <Name_Of_Domain_Controller_You_Want_To_Connect_To> 入力し、Enter キーを押します。 次のエラー メッセージが表示されます。

    システム エラー 5 が発生しました。 アクセスが拒否されました

    net view コマンドが次のエラー メッセージまたは他の関連するエラー メッセージを返す場合は、正しい IP アドレスが LMHOSTS ファイルに一覧表示されていることを確認します。

    システム エラー 53 が発生しました。 ネットワーク パスが見つかりませんでした

または、Windows (WINS) を構成して、LMHOSTS ファイルを使用せずに名前解決機能を有効にできます。

方法 2: セキュリティ設定の表示

通常、信頼構成の Active Directory 側には、接続の問題を引き起こすセキュリティ設定があります。 ただし、セキュリティ設定は、信頼の両側で検査する必要があります。

手順 1: 2000 Server および Windows Server 2003 のセキュリティ設定Windows表示する

2000 Windows Server および Windows Server 2003 では、セキュリティ設定をグループ ポリシー、ローカル ポリシー、または適用されたセキュリティ テンプレートによって適用または構成できます。

不正確な読み取りを避けるためには、正しいツールを使用してセキュリティ設定の現在の値を決定する必要があります。

現在のセキュリティ設定を正確に読み取るためには、次の方法を使用します。

  • 2000 Windowsでは、セキュリティ構成と分析スナップインを使用します。

  • サーバー 2003 Windows、セキュリティ構成と分析スナップイン、またはポリシーの結果セット (RSoP) スナップインを使用します。

現在の設定を決定した後、設定を適用しているポリシーを識別する必要があります。 たとえば、Active Directory のグループ ポリシー、またはセキュリティ ポリシーを設定するローカル設定を決定する必要があります。

サーバー 2003 Windowsでは、セキュリティ値を設定するポリシーは RSoP ツールによって識別されます。 ただし、Windows 2000 では、グループ ポリシーとローカル ポリシーを表示して、セキュリティ設定を含むポリシーを決定する必要があります。

  • グループ ポリシー設定を表示するには、グループ ポリシーの処理中に Microsoft Windows 2000 セキュリティ構成クライアントのログ出力を有効にする必要があります。

  • アプリケーション ログイン イベント ビューアーを表示し、イベント ID 1000 とイベント ID 1202 を検索します。

次の 3 つのセクションでは、オペレーティング システムを識別し、収集した情報でオペレーティング システムについて確認する必要があるセキュリティ設定を一覧表示します。

Windows 2000

次の設定が次のように構成されていることを確認します。

RestrictAnonymous:

匿名接続の追加の制限
"なし。 既定のアクセス許可に依存する"

LM の互換性:

LAN Manager 認証レベル "送信 NTLM 応答のみ"

SMB 署名、SMB 暗号化、または両方:

クライアント通信にデジタル署名する (常に) DISABLED
クライアント通信にデジタル署名する (可能な場合) ENABLED
サーバー通信にデジタル署名する (常に) DISABLED
サーバー通信にデジタル署名する (可能な場合) ENABLED
セキュリティで保護されたチャネル: セキュリティで保護されたチャネル データをデジタルで暗号化または署名する (常に) DISABLED
セキュリティで保護されたチャネル: セキュリティで保護されたチャネル データをデジタルで暗号化する (可能な場合) DISABLED
セキュリティで保護されたチャネル: セキュリティで保護されたチャネル データにデジタル署名する (可能な場合) DISABLED
セキュリティで保護されたチャネル: 強力な (Windows 2000 以降) セッション キーが必要 DISABLED
Windows Server 2003

次の設定が次のように構成されていることを確認します。

RestrictAnonymous と RestrictAnonymousSam:

ネットワーク アクセス: 匿名 SID/名前変換を許可する ENABLED
ネットワーク アクセス: SAM アカウントの匿名列挙を許可しない DISABLED
ネットワーク アクセス: SAM アカウントと共有の匿名列挙を許可しない DISABLED
ネットワーク アクセス: 匿名ユーザーに全員のアクセス許可を適用する ENABLED
ネットワーク アクセス: 名前付きパイプには匿名でアクセスできます ENABLED
ネットワーク アクセス: 名前付きパイプと共有への匿名アクセスを制限する DISABLED

注意

既定では、[ネットワーク アクセス: 匿名 SID/名前の変換を許可する] 設定の値は、サーバー 2008 Windows無効になっています。

LM の互換性:

ネットワーク セキュリティ: LAN Manager 認証レベル "送信 NTLM 応答のみ"

SMB 署名、SMB 暗号化、または両方:

Microsoft ネットワーク クライアント: デジタル署名通信 (常に) DISABLED
Microsoft ネットワーク クライアント: 通信にデジタル署名する (サーバーが同意する場合) ENABLED
Microsoft ネットワーク サーバー: デジタル署名通信 (常に) DISABLED
Microsoft ネットワーク サーバー: 通信にデジタル署名する (クライアントが同意する場合) ENABLED
ドメイン メンバー: セキュリティで保護されたチャネル データをデジタルで暗号化または署名する (常に) DISABLED
ドメイン メンバー: セキュリティで保護されたチャネル データをデジタルで暗号化する (可能な場合) ENABLED
ドメイン メンバー: セキュリティで保護されたチャネル データにデジタル署名する (可能な場合) ENABLED
ドメイン メンバー: 強い (Windows 2000 以降) セッション キーが必要 DISABLED

設定が正しく構成された後、コンピューターを再起動する必要があります。 コンピューターを再起動するまで、セキュリティ設定は適用されません。

コンピューターの再起動後、10 分待って、すべてのセキュリティ ポリシーが適用され、有効な設定が構成されていることを確認します。 Active Directory ポリシーの更新はドメイン コントローラーで 5 分ごとに行われ、更新プログラムによってセキュリティ設定の値が変更される可能性があるため、10 分待機することをお勧めします。 10 分後、セキュリティ構成と分析または別のツールを使用して、Windows 2000 および Windows Server 2003 のセキュリティ設定を確認します。

Windows NT 4.0

重要

このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 保護を強化するため、レジストリを変更する前にレジストリをバックアップします。 こうしておけば、問題が発生した場合にレジストリを復元できます。 レジストリをバックアップおよび復元する方法の詳細については、次の記事番号をクリックして、Microsoft サポート技術情報: 322756 Windows でレジストリをバックアップおよび復元する方法の記事を表示します。

Windows NT 4.0 では、Regedt32 ツールを使用してレジストリを表示することで、現在のセキュリティ設定を確認する必要があります。 これを行うには、次の手順を実行します。

  1. [ スタート] ボタン をクリックし 、[実行] をクリックし 、「regedt32」 と入力し 、[OK] をクリックします

  2. 次のレジストリ サブキーを展開し、RestrictAnonymous エントリに割り当てられている値を表示します。

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters

  3. 次のレジストリ サブキーを展開し、LM 互換性エントリに割り当てられている値を表示します。

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel

  4. 次のレジストリ サブキーを展開し、EnableSecuritySignature (サーバー) エントリに割り当てられている値を表示します。

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature

  5. 次のレジストリ サブキーを展開し、RequireSecuritySignature (サーバー) エントリに割り当てられている値を表示します。

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecuritySignature

  6. 次のレジストリ サブキーを展開し、RequireSignOrSeal エントリに割り当てられている値を表示します。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  7. 次のレジストリ サブキーを展開し、SealSecureChannel エントリに割り当てられている値を表示します。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  8. 次のレジストリ サブキーを展開し、SignSecureChannel エントリに割り当てられている値を表示します。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  9. 次のレジストリ サブキーを展開し、RequireStrongKey エントリに割り当てられている値を表示します。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

方法 3: ユーザー権限を確認する

2000 ベースのコンピューターで必要なユーザー Windowsを確認するには、次の手順を実行します。

  1. [ スタート] ボタンをクリックし、[ プログラム] をポイント し、[ 管理ツール] をポイントし、[ローカル セキュリティ ポリシー ] をクリックします
  2. [ローカル ポリシー] を展開し、[ユーザー権限の割 り当て] をクリックします
  3. 右側のウィンドウで、[ネットワークからこのコンピューターに アクセスする] をダブルクリックします
  4. [割り当て先]ボックスの一 覧の [すべての ユーザー] グループの横にある [ローカル ポリシー設定] チェック ボックスをオンにして 、[OK] をクリックします
  5. [ネットワークから このコンピューターへのアクセスを拒否する] をダブルクリックします
  6. [割り当て先] リストに原則グループが含られていないか確認し 、[OK] をクリックします。 たとえば、すべてのユーザー、認証済みユーザー、その他のグループが一覧に表示されないか確認します。
  7. [OK] を クリックし、[ローカル セキュリティ ポリシー] を終了します。

サーバー 2003 ベースのコンピューターでWindowsユーザー権限を確認するには、次の手順を実行します。

  1. [ スタート] ボタン をクリックし、[ 管理ツール] を ポイントし、[ドメイン コントローラー セキュリティ ポリシー ] をクリックします

  2. [ローカル ポリシー] を展開し、[ユーザー権限の割 り当て] をクリックします

  3. 右側のウィンドウで、[ネットワークからこのコンピューターに アクセスする] をダブルクリックします

  4. [すべてのユーザー] グループが [ネットワークからこのコンピューターにアクセス する] リストに含まれる必要 があります。

    [すべてのユーザー] グループが一覧に表示されていない場合は、次の手順を実行します。

    1. [ユーザー またはグループの追加] をクリックします
    2. [ユーザー名 とグループ名] ボックスに「すべてのユーザー」と入力し**、[OK] をクリックします**。
  5. [ネットワークから このコンピューターへのアクセスを拒否する] をダブルクリックします

  6. [ネットワークからこのコンピューターへのアクセスを拒否する] ボックスの一覧に原則グループが存在しないか確認し 、[OK] をクリックします。 たとえば、すべてのユーザー、認証済みユーザー、その他のグループが一覧に表示されないか確認します。

  7. [OK] をクリックし、ドメイン コントローラー のセキュリティ ポリシーを閉じます。

サーバー 4.0 ベースのコンピューター Windows NTユーザー権限を確認するには、次の手順を実行します。

  1. [ スタート] ボタンをクリックし、[ プログラム] を ポイントし、[管理ツール] ポイントし、[ ドメインのユーザー マネージャー] をクリックします

  2. [ポリシー] メニューの [ ユーザー権限] をクリックします

  3. [右] リストで 、[ネットワークから このコンピューターにアクセスする] をクリックします

  4. [許可 する] ボックス で、[すべてのユーザー] グループが追加されている必要があります。

    Everyone グループが追加されていない場合は、次の手順を実行します。

    1. [追加] をクリックします。
    2. [名前] ボックスの 一覧で、[ すべてのユーザー] をクリックし、[ 追加] をクリックし 、[OK] をクリックします
  5. [OK] を クリックし、[ユーザー マネージャー] を終了します。

方法 4: グループ メンバーシップを確認する

ドメイン間で信頼が設定されているが、ダイアログ ボックスで他のドメイン オブジェクトが見つからないので、あるドメインから別のドメインに原則ユーザー グループを追加できない場合は、"pre-Windows 2000 互換アクセス" グループに正しいメンバーシップがない可能性があります。

Windows 2000 ベースのドメイン コントローラーと Windows Server 2003 ベースのドメイン コントローラーで、必要なグループ メンバーシップが構成されていることを確認します。

2000 ベースのドメイン Windowsでこれを行うには、次の手順を実行します。

  1. [ スタート] ボタンをクリックし、[ プログラム] をポイント し、[管理ツール] ポイントし 、[Active Directory ユーザーとコンピューター] をクリックします

  2. [組み込み] をクリックし 、[2000 互換アクセス グループWindowsをダブルクリックします。

  3. [メンバー ] タブを クリックし、[メンバー] グループが [メンバー] リストに表示されている 必要 があります。

  4. [すべてのユーザー] グループが [メンバー] リストに表示されていない 場合は、 次の手順を実行します。

    1. [**スタート] ボタン、[**ファイル名を指定して実行] をクリックし 、「cmd」 と入力し 、[OK] をクリックします
    2. コマンド プロンプトで、「」と net localgroup "Pre-Windows 2000 Compatible Access" everyone /add 入力し、Enter キーを押します。

必要なグループ メンバーシップが Windows Server 2003 ベースのドメイン コントローラーで構成されていることを確認するには、ポリシー設定の [ネットワーク アクセス: すべてのユーザーに匿名ユーザーに適用する] ポリシー設定が無効になっているかどうか確認する必要があります。 分からない場合は、グループ ポリシー オブジェクト エディターを使用して、"ネットワーク アクセス: すべてのユーザーのアクセス許可を匿名ユーザーに適用する" ポリシー設定の状態を確認します。 これを行うには、次の手順を実行します。

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に、「gpedit.msc」と入力し、[OK] をクリックします。

  2. 次のフォルダーを展開します。

    ローカル コンピューター ポリシー
    コンピューターの構成
    Windows の設定
    セキュリティ 設定
    ローカル ポリシー

  3. [ セキュリティ オプション] を クリックし、右側のウィンドウで [ネットワーク アクセス : すべてのユーザーのアクセス許可を匿名ユーザーに適用する] をクリックします。

  4. [セキュリティ設定] 列の値 が [無効] または [ 有効] になっている場合注意してください

サーバー 2003 ベースのドメイン コントローラーで必要なグループ メンバーシップWindows確認するには、次の手順を実行します。

  1. [ スタート] ボタンをクリックし、[ プログラム] をポイント し、[管理ツール] ポイントし 、[Active Directory ユーザーとコンピューター] をクリックします

  2. [組み込み] をクリックし 、[2000 互換アクセス グループWindowsをダブルクリックします。

  3. [メンバー] タブをクリックします。

  4. [ネットワーク アクセス : 匿名ユーザーに全員のアクセス許可を適用する] ポリシー設定が無効になっている場合は、[すべてのユーザー、 匿名ログオン] グループが [メンバー] リストに表示されている 必要 があります。 [ネットワーク アクセス: すべてのユーザーのアクセス許可を匿名ユーザーに適用する] ポリシー設定が有効になっている場合は、[すべてのユーザー] グループが [メンバー] リストに 表示されている必要 があります。

  5. [すべてのユーザー] グループが [メンバー] リストに表示されていない 場合は、 次の手順を実行します。

    1. [**スタート] ボタン、[**ファイル名を指定して実行] をクリックし 、「cmd」 と入力し 、[OK] をクリックします
    2. コマンド プロンプトで、「」と net localgroup "Pre-Windows 2000 Compatible Access" everyone /add 入力し、Enter キーを押します。

方法 5: ファイアウォール、スイッチ、ルーターなどのネットワーク デバイスによる接続を確認する

次のエラー メッセージに似たエラー メッセージを受信し、LMHOST ファイルが正しいと確認した場合、ドメイン コントローラー間のポートがブロックされているファイアウォール、ルーター、またはスイッチによって問題が発生する可能性があります。

ドメイン コントローラーに接続する必要がない

ネットワーク デバイスをトラブルシューティングするには、PortQry コマンド ライン ポート スキャナー バージョン 2.0 を使用して、ドメイン コントローラー間のポートをテストします。

PortQry バージョン 2 の詳細については、次の記事番号をクリックして、マイクロソフト サポート技術情報の記事を表示します。

832919 PortQry バージョン 2.0 の新機能

ポートの構成方法の詳細については、次の記事番号をクリックして、Microsoft サポート技術情報の記事を表示します。

179442 ドメインと信頼のファイアウォールを構成する方法

方法 6: 問題のトラブルシューティングに役立つ追加情報を収集する

前の方法で問題の解決に役立たなかった場合は、次の追加情報を収集して、問題の原因のトラブルシューティングに役立ちます。

  • 両方のドメイン コントローラーで Netlogon ログを有効にします。 Netlogon ログを完了する方法の詳細については、次の記事番号をクリックして、「Microsoft サポート技術情報: 109626 Net Logon サービスのデバッグ ログを有効にする」の記事を表示します。

  • 問題が発生すると同時に、両方のドメイン コントローラーでトレースをキャプチャします。

詳細

次のグループ ポリシー オブジェクト (GPO) の一覧は、該当するオペレーティング システムの対応するレジストリ エントリとグループ ポリシーの場所を示しています。

  • The RestrictAnonymous GPO:

    • Windows NTの場所:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
    • Windows 2000 および Windows Server 2003 レジストリの場所:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows 2000 グループ ポリシー: コンピューターの構成Windows 設定セキュリティ 設定セキュリティ オプション 匿名接続の追加 \ \ \ の制限
    • WindowsServer 2003 グループ ポリシー: コンピューター構成Windows 設定セキュリティ 設定 セキュリティ オプション ネットワーク アクセス: SAM アカウントと共有の匿名列挙 \ \ \ を許可しない
  • The RestrictAnonymousSAM GPO:

    • WindowsServer 2003 レジストリの場所:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • WindowsServer 2003 グループ ポリシー: コンピューター構成Windows 設定セキュリティ 設定 セキュリティ オプション ネットワーク アクセス: SAM アカウントと共有の匿名列挙 \ \ を許可しない
  • The EveryoneIncludesAnonymous GPO:

    • WindowsServer 2003 レジストリの場所:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • WindowsServer 2003 グループ ポリシー: コンピューターの構成Windows 設定セキュリティ 設定 セキュリティ オプション ネットワーク アクセス: 匿名ユーザーに対してすべてのアクセス許可を \ \ \ 適用する
  • LM 互換 GPO:

    • Windows NT、Windows 2000、およびサーバー 2003 Windowsの場所:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel

    • Windows 2000 グループ ポリシー: コンピューター構成Windows 設定セキュリティ 設定 \ \ \ オプション: LAN Manager 認証レベル

    • WindowsServer 2003 グループ ポリシー: コンピューター構成Windows 設定セキュリティ 設定 \ セキュリティ オプション ネットワーク \ \ \ セキュリティ: LAN Manager 認証レベル

  • EnableSecuritySignature (クライアント) GPO:

    • Windows 2000 および Windows Server 2003 レジストリの場所:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters\EnableSecuritySignature
    • Windows 2000 グループ ポリシー: コンピューター構成Windows 設定セキュリティ 設定オプション: クライアント通信にデジタル署名する (可能な \ \ \ 場合)
    • WindowsServer 2003 グループ ポリシー: コンピューター構成 Windows 設定 セキュリティ 設定 セキュリティ オプション Microsoft ネットワーク クライアント: デジタル署名通信 (サーバーが同意する場合 \ \ \ \ )
  • RequireSecuritySignature (クライアント) GPO:

    • Windows 2000 および Windows Server 2003 レジストリの場所:HKey_Local_Machine\System\CurrentControlSet\Services\LanManWorkstation\Parameters\RequireSecuritySignature
    • Windows 2000 グループ ポリシー:コンピューター構成\Windows 設定\セキュリティ 設定\セキュリティ オプション: クライアント通信にデジタル署名する (常に)
    • WindowsServer 2003: Computer Configuration\Windows 設定\Security 設定\Security Options\Microsoft ネットワーク クライアント: デジタル署名通信 (常に)
  • EnableSecuritySignature (サーバー) GPO:

    • Windows NTの場所:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
    • Windows 2000 および Windows Server 2003 レジストリの場所:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
    • Windows 2000 グループ ポリシー:サーバー通信に デジタル署名する (可能な場合)
    • WindowsServer 2003 グループ ポリシー: Microsoft ネットワーク サーバー: デジタル署名通信 (クライアントが同意する場合)
  • RequireSecuritySignature (サーバー) GPO:

    • Windows NTの場所:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecurityS ignature
    • Windows 2000 および Windows Server 2003 レジストリの場所:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\Require SecuritySignature
    • Windows 2000 グループ ポリシー:サーバー通信にデジタル署名する (常に)
    • WindowsServer 2003 グループ ポリシー: Microsoft ネットワーク サーバー : デジタル署名通信 (常に)
  • The RequireSignOrSeal GPO:

    • Windows NT、Windows 2000、およびサーバー 2003 Windowsの場所:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 グループ ポリシー: セキュリティで保護されたチャネル データをデジタルで暗号化または 署名する (常に)
    • WindowsServer2003 グループ ポリシー: ドメイン メンバー: セキュリティで保護されたチャネル データをデジタルで暗号化または署名 する (常に)
  • The SealSecureChannel GPO:

    • Windows NT、Windows 2000、およびサーバー 2003 Windowsの場所:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 グループ ポリシー: セキュリティで保護されたチャネル: セキュリティで保護されたチャネル データをデジタルで 暗号化する (可能な場合)
    • WindowsServer 2003 グループ ポリシー: ドメイン メンバー: セキュリティで保護されたチャネル データをデジタルで暗号化 する (可能な場合)
  • The SignSecureChannel GPO:

    • Windows NT、Windows 2000、およびサーバー 2003 Windowsの場所:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 グループ ポリシー: セキュリティで保護されたチャネル: セキュリティで保護されたチャネル データ にデジタル署名する (可能な場合)
    • WindowsServer 2003 グループ ポリシー:ドメイン メンバー: セキュリティで保護 されたチャネル データにデジタル署名する (可能な場合)
  • The RequireStrongKey GPO:

    • Windows NT、Windows 2000、およびサーバー 2003 Windowsの場所:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 グループ ポリシー: セキュリティで保護されたチャネル: 強 い (Windows以降) セッション キーが必要
    • WindowsServer 2003 グループ ポリシー: ドメイン メンバー: 強 い (Windows 2000 以降) セッション キーが必要

Windows Server 2008

Windows Server 2008 を実行しているドメイン コントローラーでは、Windows NT 4.0 ポリシーと互換性のある暗号化アルゴリズムの既定の動作で問題が発生する可能性があります。 この設定により、Windows オペレーティング システムとサードパーティ クライアントの両方が弱い暗号化アルゴリズムを使用して、NETLOGON セキュリティ チャネルを Windows Server 2008 ベースのドメイン コントローラーに確立できません。

関連情報

詳細については、次の記事番号をクリックして、Microsoft サポート技術情報の記事を表示します。

823659 設定とユーザー権限の割り当てを変更するときに発生する可能性があるクライアント、サービス、およびプログラムの非互換性