ポリシー CSP - UserRights

ユーザー権限は、ユーザー アカウントまたはグループに割り当てられます。 ポリシーの名前は、問題のユーザー権利を定義し、値は常にユーザーまたはグループです。 値は、セキュリティ識別子 (SID) または文字列として表すことができます。 詳細については、「 既知の SID 構造体」を参照してください。

文字列は既知のアカウントやグループでサポートされていますが、文字列はさまざまな言語にローカライズされているため、SID を使用することをお勧めします。 ユーザー権限によっては AccessFromNetwork などを許可するものもあれば、DenyAccessFromNetwork などの機能を禁止するものがあります。

一般的な例

管理者グループと認証済みユーザー グループのユーザー権利 BackupFilesAndDirectories を設定する例を次に示します。

<SyncML xmlns="SYNCML:SYNCML1.2">

<SyncBody>
    <Replace>
      <CmdID>2</CmdID>
      <Item>
        <Meta>
          <Format>chr</Format>
          <Type>text/plain</Type>
        </Meta>
        <Target>
          <LocURI>./Device/Vendor/MSFT/Policy/Config/UserRights/BackupFilesAndDirectories</LocURI>
        </Target>
        <Data>Authenticated Users&#xF000;Administrators</Data>
      </Item>
    </Replace>
  <Final/>
  </SyncBody>
</SyncML>

データ フィールドの例を次に示します。 エンコードされた 0xF000 は、標準の区切り記号/区切り記号です。

  • SID を使用して Administrators グループにユーザー権限を付与します。

    <Data>*S-1-5-32-544</Data>
    
  • SID 経由で複数のグループ (管理者、認証済みユーザー) にユーザー権限を付与します。

    <Data>*S-1-5-32-544&#xF000;*S-1-5-11</Data>
    
  • SID と文字列を組み合わせて、複数のグループ (管理者、認証済みユーザー) にユーザー権限を付与します。

    <Data>*S-1-5-32-544&#xF000;Authenticated Users</Data>
    
  • 文字列を使用して、複数のグループ (認証されたユーザー、管理者) にユーザー権限を付与します。

    <Data>Authenticated Users&#xF000;Administrators</Data>
    
  • 空の入力は、そのユーザー権限を持つユーザーが構成されていないことを示します。

    <Data></Data>
    

カスタム プロファイルIntune使用して UserRights ポリシーを割り当てる場合は、CDATA タグ (<![CDATA[...]]>) を使用してデータ フィールドをラップする必要があります。 区切り記号または区切り記号として 0xF000 を使用して、CDATA タグ内で 1 つ以上のユーザー グループを指定できます。

&#xF000; は、 0xF000のエンティティ エンコードです。

たとえば、次の構文は、認証されたユーザーとレプリケーター のユーザー グループにユーザー権限を付与します。

<![CDATA[Authenticated Users&#xF000;Replicator]]>

たとえば、次の構文は、Contoso、user1、user2 の 2 つの特定のMicrosoft Entra ユーザーにユーザー権限を付与します。

<![CDATA[AzureAD\user1@contoso.com&#xF000;AzureAD\user2@contoso.com]]>

たとえば、次の構文では、アカウントまたはグループの SID を使用して、特定のユーザーまたはグループにユーザー権限を付与します。

<![CDATA[*S-1-12-1-430441778-1204322964-3914475434-3271576427&#xF000;*S-1-12-1-2699785510-1240757380-4153857927-656075536]]>

AccessCredentialManagerAsTrustedCaller

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 1803 [10.0.17134] 以降
./Device/Vendor/MSFT/Policy/Config/UserRights/AccessCredentialManagerAsTrustedCaller

このユーザー権限は、バックアップ/復元中に資格情報マネージャーによって使用されます。 Winlogon にのみ割り当てられるため、この特権を持つアカウントは必要ありません。 この権限が他のエンティティに与えられると、ユーザーの保存された資格情報が侵害される可能性があります。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
指定可能な値 リスト (区切り記号: 0xF000)

グループ ポリシー マッピング:

名前
名前 信頼された呼び出し元として資格情報マネージャーにアクセスする
パス Windows 設定 > セキュリティ設定 > ローカル ポリシー > ユーザー権利の割り当て

AccessFromNetwork

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 1803 [10.0.17134] 以降
./Device/Vendor/MSFT/Policy/Config/UserRights/AccessFromNetwork

このユーザー権利は、ネットワーク経由でコンピューターに接続できるユーザーとグループを決定します。 リモート デスクトップ サービスは、このユーザー権利の影響を受けません。

リモート デスクトップ サービスは、以前のバージョンの Windows Server でターミナル サービスと呼ばれていました。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
指定可能な値 リスト (区切り記号: 0xF000)

グループ ポリシー マッピング:

名前
名前 ネットワークからこのコンピューターにアクセスする
パス Windows 設定 > セキュリティ設定 > ローカル ポリシー > ユーザー権利の割り当て

ActAsPartOfTheOperatingSystem

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 1803 [10.0.17134] 以降
./Device/Vendor/MSFT/Policy/Config/UserRights/ActAsPartOfTheOperatingSystem

このユーザー権利を使用すると、プロセスは任意のユーザーを認証なしで偽装できます。 そのため、プロセスは、そのユーザーと同じローカル リソースにアクセスできます。 この特権を必要とするプロセスでは、この特権が特別に割り当てられた別のユーザー アカウントを使用するのではなく、この特権が既に含まれている LocalSystem アカウントを使用する必要があります。

注意

このユーザー権限を割り当てることは、セキュリティ 上のリスクになる可能性があります。 このユーザー権限を信頼されたユーザーにのみ割り当てます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
指定可能な値 リスト (区切り記号: 0xF000)

グループ ポリシー マッピング:

名前
名前 オペレーティング システムの一部として機能
パス Windows 設定 > セキュリティ設定 > ローカル ポリシー > ユーザー権利の割り当て

AdjustMemoryQuotasForProcess

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11、バージョン 24H2 [10.0.26100] 以降
./Device/Vendor/MSFT/Policy/Config/UserRights/AdjustMemoryQuotasForProcess

プロセスのメモリ クォータを調整する - この特権は、プロセスで使用できる最大メモリを変更できるユーザーを決定します。 この特権は、グループまたはユーザーごとにシステムをチューニングする場合に役立ちます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
指定可能な値 リスト (区切り記号: 0xF000)

グループ ポリシー マッピング:

名前
名前 プロセスのメモリ クォータの増加
パス Windows 設定 > セキュリティ設定 > ローカル ポリシー > ユーザー権利の割り当て

AllowLocalLogOn

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 1803 [10.0.17134] 以降
./Device/Vendor/MSFT/Policy/Config/UserRights/AllowLocalLogOn

このユーザー権利は、コンピューターにログオンできるユーザーを決定します。

この設定を変更すると、クライアント、サービス、アプリケーションとの互換性に影響する可能性があります。 この設定の互換性については、「Microsoft Web サイトでローカルでログオンを許可する (https://go.microsoft.com/fwlink/?LinkId=24268 )」を参照してください。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
指定可能な値 リスト (区切り記号: 0xF000)

グループ ポリシー マッピング:

名前
名前 ローカル ログオンを許可
パス Windows 設定 > セキュリティ設定 > ローカル ポリシー > ユーザー権利の割り当て

AllowLogOnThroughRemoteDesktop

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11、バージョン 24H2 [10.0.26100] 以降
./Device/Vendor/MSFT/Policy/Config/UserRights/AllowLogOnThroughRemoteDesktop

リモート デスクトップ サービスを使用したログオンを許可する - このポリシー設定は、リモート デスクトップ サービス接続を介してリモート デバイスのサインイン画面にアクセスできるユーザーまたはグループを決定します。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
指定可能な値 リスト (区切り記号: 0xF000)

グループ ポリシー マッピング:

名前
名前 リモート デスクトップ サービスを使ったログオンを許可
パス Windows 設定 > セキュリティ設定 > ローカル ポリシー > ユーザー権利の割り当て

BackupFilesAndDirectories

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 1803 [10.0.17134] 以降
./Device/Vendor/MSFT/Policy/Config/UserRights/BackupFilesAndDirectories

このユーザー権利は、ファイルとディレクトリをバックアップするときに、ファイル、ディレクトリ、レジストリ、およびその他の永続的なオブジェクトのアクセス許可をバイパスできるユーザーを決定します。 具体的には、このユーザー権限は、システム上のすべてのファイルとフォルダーに対して、問題のユーザーまたはグループに次のアクセス許可を付与することに似ています:フォルダーの走査/ファイルの実行、読み取り。

注意

このユーザー権限を割り当てることは、セキュリティ 上のリスクになる可能性があります。 このユーザー権限を持つユーザーはレジストリ設定とファイルを読み取ることができるので、このユーザー権限を信頼されたユーザーにのみ割り当てます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
指定可能な値 リスト (区切り記号: 0xF000)

グループ ポリシー マッピング:

名前
名前 ファイルとディレクトリのバックアップ
パス Windows 設定 > セキュリティ設定 > ローカル ポリシー > ユーザー権利の割り当て

BypassTraverseChecking

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11、バージョン 24H2 [10.0.26100] 以降
./Device/Vendor/MSFT/Policy/Config/UserRights/BypassTraverseChecking

このユーザー権利は、ユーザーが走査されたディレクトリに対するアクセス許可を持っていない可能性がある場合でも、ディレクトリ ツリーを走査できるユーザーを決定します。 この特権では、ディレクトリの内容を一覧表示することはユーザーに許可されません。ディレクトリを走査することのみが許可されます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
指定可能な値 リスト (区切り記号: 0xF000)

グループ ポリシー マッピング:

名前
名前 走査チェックのバイパス
パス Windows 設定 > セキュリティ設定 > ローカル ポリシー > ユーザー権利の割り当て

ChangeSystemTime

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 1803 [10.0.17134] 以降
./Device/Vendor/MSFT/Policy/Config/UserRights/ChangeSystemTime

このユーザー権利は、コンピューターの内部クロックの時刻と日付を変更できるユーザーとグループを決定します。 このユーザー権利が割り当てられているユーザーは、イベント ログの外観に影響を与えることができます。 システム時刻が変更されると、ログに記録されるイベントは、イベントが発生した実際の時刻ではなく、この新しい時刻を反映します。

注意

ユーザー権限を構成すると、以前にそれらのユーザー権限に割り当てられていた既存のユーザーまたはグループが置き換えられます。 システムでは、 ローカル サービス アカウント (SID S-1-5-19) に常に ChangeSystemTime 権限が必要です。 このポリシーで構成する必要がある他のアカウントに加えて、常に ローカル サービスを指定します。

ローカル サービス アカウントを含めない場合、要求は失敗し、次のエラーが発生します。

エラー コード シンボリック名 エラーの説明 ヘッダー
0x80070032 (16 進) ERROR_NOT_SUPPORTED 要求はサポートされていません。 winerror.h

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
指定可能な値 リスト (区切り記号: 0xF000)

グループ ポリシー マッピング:

名前
名前 システム時刻の変更
パス Windows 設定 > セキュリティ設定 > ローカル ポリシー > ユーザー権利の割り当て

ChangeTimeZone

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11、バージョン 24H2 [10.0.26100] 以降
./Device/Vendor/MSFT/Policy/Config/UserRights/ChangeTimeZone

このユーザー権利は、コンピューターがローカル時刻を表示するために使用するタイム ゾーン (コンピューターのシステム時刻とタイム ゾーン オフセット) を変更できるユーザーとグループを決定します。 システム時刻自体は絶対であり、タイム ゾーンの変更の影響を受けません。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
指定可能な値 リスト (区切り記号: 0xF000)

グループ ポリシー マッピング:

名前
名前 タイム ゾーンの変更
パス Windows 設定 > セキュリティ設定 > ローカル ポリシー > ユーザー権利の割り当て

CreateGlobalObjects

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 1803 [10.0.17134] 以降
./Device/Vendor/MSFT/Policy/Config/UserRights/CreateGlobalObjects

このセキュリティ設定は、すべてのセッションで使用できるグローバル オブジェクトをユーザーが作成できるかどうかを決定します。 このユーザー権限がない場合でも、ユーザーは自分のセッションに固有のオブジェクトを作成できます。 グローバル オブジェクトを作成できるユーザーは、他のユーザーのセッションで実行されるプロセスに影響を与える可能性があり、アプリケーションの障害やデータの破損につながる可能性があります。

注意

このユーザー権限を割り当てることは、セキュリティ 上のリスクになる可能性があります。 このユーザー権限を信頼されたユーザーにのみ割り当てます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
指定可能な値 リスト (区切り記号: 0xF000)

グループ ポリシー マッピング:

名前
名前 グローバル オブジェクトの作成
パス Windows 設定 > セキュリティ設定 > ローカル ポリシー > ユーザー権利の割り当て

CreatePageFile

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 1803 [10.0.17134] 以降
./Device/Vendor/MSFT/Policy/Config/UserRights/CreatePageFile

このユーザー権利は、内部アプリケーション プログラミング インターフェイス (API) を呼び出してページ ファイルのサイズを作成および変更できるユーザーとグループを決定します。 このユーザー権限はオペレーティング システムによって内部的に使用され、通常はユーザーに割り当てる必要はありません。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
指定可能な値 リスト (区切り記号: 0xF000)

グループ ポリシー マッピング:

名前
名前 ページ ファイルの作成
パス Windows 設定 > セキュリティ設定 > ローカル ポリシー > ユーザー権利の割り当て

CreatePermanentSharedObjects

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 1803 [10.0.17134] 以降
./Device/Vendor/MSFT/Policy/Config/UserRights/CreatePermanentSharedObjects

このユーザー権利は、オブジェクト マネージャーを使用してディレクトリ オブジェクトを作成するためにプロセスで使用できるアカウントを決定します。 このユーザー権利は、オペレーティング システムによって内部的に使用され、オブジェクト名前空間を拡張するカーネル モード コンポーネントに役立ちます。 カーネル モードで実行されているコンポーネントには既にこのユーザー権限が割り当てられているため、明示的に割り当てる必要はありません。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
指定可能な値 リスト (区切り記号: 0xF000)

グループ ポリシー マッピング:

名前
名前 永続的共有オブジェクトの作成
パス Windows 設定 > セキュリティ設定 > ローカル ポリシー > ユーザー権利の割り当て
適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 1803 [10.0.17134] 以降
./Device/Vendor/MSFT/Policy/Config/UserRights/CreateSymbolicLinks

このユーザー権利は、ユーザーがログオンしているコンピューターからシンボリック リンクを作成できるかどうかを決定します。

注意

この特権は、信頼されたユーザーにのみ付与する必要があります。 シンボリック リンクは、それらを処理するように設計されていないアプリケーションのセキュリティの脆弱性を公開する可能性があります。

この設定は、コマンド ライン ユーティリティで操作して、マシンで許可されているシンボリックリンクの種類を制御できる symlink ファイルシステム設定と組み合わせて使用できます。 「fsutil behavior set symlinkevaluation /?」 と入力します。 fsutil およびシンボリック リンクに関する詳細情報を取得するには、コマンド ラインで を参照してください。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
指定可能な値 リスト (区切り記号: 0xF000)

グループ ポリシー マッピング:

名前
名前 シンボリック リンクの作成
パス Windows 設定 > セキュリティ設定 > ローカル ポリシー > ユーザー権利の割り当て

CreateToken

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 1803 [10.0.17134] 以降
./Device/Vendor/MSFT/Policy/Config/UserRights/CreateToken

このユーザー権利は、プロセスが内部アプリケーション プログラミング インターフェイス (API) を使用してアクセス トークンを作成するときに、ローカル リソースへのアクセスを取得するために使用できるトークンを作成するためにプロセスで使用できるアカウントを決定します。 このユーザー権限は、オペレーティング システムによって内部的に使用されます。 必要でない限り、ローカル システム以外のユーザー、グループ、またはプロセスにこのユーザー権限を割り当てないでください。

注意

このユーザー権限を割り当てることは、セキュリティ 上のリスクになる可能性があります。 システムを引き継ぐ必要のないユーザー、グループ、またはプロセスには、このユーザー権限を割り当てないでください。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
指定可能な値 リスト (区切り記号: 0xF000)

グループ ポリシー マッピング:

名前
名前 トークン オブジェクトの作成
パス Windows 設定 > セキュリティ設定 > ローカル ポリシー > ユーザー権利の割り当て

DebugPrograms

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 1803 [10.0.17134] 以降
./Device/Vendor/MSFT/Policy/Config/UserRights/DebugPrograms

このユーザー権利は、デバッガーを任意のプロセスまたはカーネルにアタッチできるユーザーを決定します。 独自のアプリケーションをデバッグしている開発者は、このユーザー権利を割り当てる必要はありません。 新しいシステム コンポーネントをデバッグする開発者は、このユーザー権限を必要とします。 このユーザー権利は、機密性が高い重要なオペレーティング システム コンポーネントへの完全なアクセスを提供します。

注意

このユーザー権限を割り当てることは、セキュリティ 上のリスクになる可能性があります。 このユーザー権限を信頼されたユーザーにのみ割り当てます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
指定可能な値 リスト (区切り記号: 0xF000)

グループ ポリシー マッピング:

名前
名前 プログラムのデバッグ
パス Windows 設定 > セキュリティ設定 > ローカル ポリシー > ユーザー権利の割り当て

DenyAccessFromNetwork

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 1803 [10.0.17134] 以降
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyAccessFromNetwork

このユーザー権利は、ネットワーク経由でコンピューターにアクセスできないようにするユーザーを決定します。 このポリシー設定は、ユーザー アカウントが両方のポリシーの対象である場合、ネットワーク ポリシー設定からこのコンピューターにアクセスする設定よりも優先されます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
指定可能な値 リスト (区切り記号: 0xF000)

グループ ポリシー マッピング:

名前
名前 ネットワークからのこのコンピューターへのアクセスを拒否する
パス Windows 設定 > セキュリティ設定 > ローカル ポリシー > ユーザー権利の割り当て

DenyLocalLogOn

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 1803 [10.0.17134] 以降
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyLocalLogOn

このセキュリティ設定は、プロセスをサービスとして登録できないようにするサービス アカウントを決定します。

このセキュリティ設定は、システム、ローカル サービス、またはネットワーク サービス アカウントには適用されません。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
指定可能な値 リスト (区切り記号: 0xF000)

グループ ポリシー マッピング:

名前
名前 サービスとしてのログオン権限を拒否する
パス Windows 設定 > セキュリティ設定 > ローカル ポリシー > ユーザー権利の割り当て

DenyLogOnAsBatchJob

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11、バージョン 24H2 [10.0.26100] 以降
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyLogOnAsBatchJob

このセキュリティ設定は、バッチ ジョブとしてログオンできないアカウントを決定します。 このポリシー設定は、ユーザー アカウントが両方のポリシーの対象である場合、バッチ ジョブとしてのログオン ポリシー設定よりも優先されます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
指定可能な値 リスト (区切り記号: 0xF000)

グループ ポリシー マッピング:

名前
名前 バッチ ジョブとしてのログオン権限を拒否する
パス Windows 設定 > セキュリティ設定 > ローカル ポリシー > ユーザー権利の割り当て

DenyLogOnAsService

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11、バージョン 24H2 [10.0.26100] 以降
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyLogOnAsService

サービスとしてのログオンを拒否する - このセキュリティ設定は、プロセスをサービスとして登録できないようにするサービス アカウントを決定します。 このポリシー設定は、アカウントが両方のポリシーの対象である場合、サービスとしてのログオン ポリシー設定よりも優先されます。

このセキュリティ設定は、システム、ローカル サービス、またはネットワーク サービス アカウントには適用されません。 既定値: なし。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
指定可能な値 リスト (区切り記号: 0xF000)

グループ ポリシー マッピング:

名前
名前 サービスとしてのログオン権限を拒否する
パス Windows 設定 > セキュリティ設定 > ローカル ポリシー > ユーザー権利の割り当て

DenyRemoteDesktopServicesLogOn

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 1803 [10.0.17134] 以降
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyRemoteDesktopServicesLogOn

このユーザー権利は、リモート デスクトップ サービス クライアントとしてログオンすることを禁止されているユーザーとグループを決定します。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
指定可能な値 リスト (区切り記号: 0xF000)

グループ ポリシー マッピング:

名前
名前 リモート デスクトップ サービスを使ったログオンを拒否
パス Windows 設定 > セキュリティ設定 > ローカル ポリシー > ユーザー権利の割り当て

EnableDelegation

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 1803 [10.0.17134] 以降
./Device/Vendor/MSFT/Policy/Config/UserRights/EnableDelegation

このユーザー権利は、ユーザーまたはコンピューター オブジェクトに対して [委任の信頼] 設定を設定できるユーザーを決定します。 この権限が付与されているユーザーまたはオブジェクトには、ユーザーまたはコンピューター オブジェクトのアカウント制御フラグへの書き込みアクセス権が必要です。 委任のために信頼されている (またはユーザー コンテキストの下で) コンピューターで実行されているサーバー プロセスは、クライアント アカウントに委任されたアカウント制御フラグが設定されていない限り、クライアントの委任された資格情報を使用して別のコンピューター上のリソースにアクセスできます。

注意

このユーザー権利または信頼された委任設定を誤用すると、着信クライアントを偽装し、資格情報を使用してネットワーク リソースにアクセスするトロイの木馬プログラムを使用して、ネットワークが高度な攻撃に対して脆弱になる可能性があります。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
指定可能な値 リスト (区切り記号: 0xF000)

グループ ポリシー マッピング:

名前
名前 コンピューターとユーザー アカウントに委任時の信頼を付与
パス Windows 設定 > セキュリティ設定 > ローカル ポリシー > ユーザー権利の割り当て

GenerateSecurityAudits

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 1803 [10.0.17134] 以降
./Device/Vendor/MSFT/Policy/Config/UserRights/GenerateSecurityAudits

このユーザー権利は、セキュリティ ログにエントリを追加するためにプロセスで使用できるアカウントを決定します。 セキュリティ ログは、未承認のシステム アクセスをトレースするために使用されます。 このユーザー権利を誤用すると、多くの監査イベントが生成され、攻撃の証拠が隠されたり、サービス拒否が発生したりする可能性があります。 セキュリティ監査をログに記録できない場合は、システムを直ちにシャットダウンするセキュリティ ポリシー設定が有効になっています。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
指定可能な値 リスト (区切り記号: 0xF000)

グループ ポリシー マッピング:

名前
名前 セキュリティ監査の生成
パス Windows 設定 > セキュリティ設定 > ローカル ポリシー > ユーザー権利の割り当て

ImpersonateClient

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 1803 [10.0.17134] 以降
./Device/Vendor/MSFT/Policy/Config/UserRights/ImpersonateClient

このユーザー権限をユーザーに割り当てると、そのユーザーの代わりに実行されているプログラムがクライアントを偽装できるようになります。 この種の偽装に対してこのユーザー権限を要求すると、未承認のユーザーがクライアントに (たとえば、リモート プロシージャ コール (RPC) または名前付きパイプ) を作成したサービスに接続し、そのクライアントを偽装することを促すのを防ぐことができます。これにより、承認されていないユーザーのアクセス許可を管理レベルまたはシステム レベルに昇格させることができます。

注意

このユーザー権限を割り当てることは、セキュリティ 上のリスクになる可能性があります。 このユーザー権限を信頼されたユーザーにのみ割り当てます。

既定では、Service Control Manager によって開始されるサービスには、組み込みのサービス グループがアクセス トークンに追加されます。 COM インフラストラクチャによって開始され、特定のアカウントで実行するように構成されているコンポーネント オブジェクト モデル (COM) サーバーにも、アクセス トークンにサービス グループが追加されます。 その結果、これらのサービスは、ユーザーが起動したときにこのユーザーを適切に取得します。 さらに、次のいずれかの条件が存在する場合、ユーザーはアクセス トークンを偽装することもできます。 1) 偽装されているアクセス トークンは、このユーザー用です。 2) ユーザーは、このログオン セッションで、明示的な資格情報を使用してネットワークにログオンしてアクセス トークンを作成しました。 3) 要求されたレベルが、匿名や識別など、偽装よりも小さい。 これらの要因により、ユーザーは通常、このユーザー権利を必要としません。

Warning

この設定を有効にすると、以前に権限借用特権を持っていたプログラムが失われ、実行されない可能性があります。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
指定可能な値 リスト (区切り記号: 0xF000)

グループ ポリシー マッピング:

名前
名前 認証後にクライアントを偽装
パス Windows 設定 > セキュリティ設定 > ローカル ポリシー > ユーザー権利の割り当て

IncreaseProcessWorkingSet

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11、バージョン 24H2 [10.0.26100] 以降
./Device/Vendor/MSFT/Policy/Config/UserRights/IncreaseProcessWorkingSet

プロセス ワーキング セットを増やします。 この特権は、プロセスのワーキング セットのサイズを増減できるユーザー アカウントを決定します。 プロセスのワーキング セットは、物理 RAM メモリ内のプロセスに現在表示されているメモリ ページのセットです。 これらのページは常駐であり、ページ フォールトをトリガーせずにアプリケーションで使用できます。 ワーキング セットの最小サイズと最大サイズは、プロセスの仮想メモリ ページング動作に影響します。

Warning

プロセスのワーキング セット サイズを大きくすると、システムの残りの部分で使用できる物理メモリの量が減少します。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
指定可能な値 リスト (区切り記号: 0xF000)

グループ ポリシー マッピング:

名前
名前 プロセス ワーキング セットの増加
パス Windows 設定 > セキュリティ設定 > ローカル ポリシー > ユーザー権利の割り当て

IncreaseSchedulingPriority

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 1803 [10.0.17134] 以降
./Device/Vendor/MSFT/Policy/Config/UserRights/IncreaseSchedulingPriority

このユーザー権利は、別のプロセスに対する Write Property アクセス権を持つプロセスを使用して、他のプロセスに割り当てられた実行優先度を高めることができるアカウントを決定します。 この特権を持つユーザーは、タスク マネージャーのユーザー インターフェイスからプロセスのスケジューリング優先順位を変更できます。

Warning

[スケジュールの優先順位を上げる] ユーザー権利から Window Manager\Window Manager グループを削除すると、特定のアプリケーションとコンピューターが正しく機能しません。 特に、INK ワークスペースは、Windows 10バージョン 1903 以降を実行し、Intel GFX ドライバーを使用する統合メモリ アーキテクチャ (UMA) のノート PC とデスクトップ コンピューターでは正しく機能しません。

影響を受けるコンピューターでは、ユーザーが Microsoft Edge、Microsoft PowerPoint、Microsoft OneNote で使用される INK ワークスペースに描画すると、表示が点滅します。 点滅は、手描き入力関連のプロセスが Real-Time 優先順位を繰り返し使用しようとしたが、アクセス許可が拒否されているために発生します。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
指定可能な値 リスト (区切り記号: 0xF000)

グループ ポリシー マッピング:

名前
名前 スケジューリング優先順位の繰り上げ
パス Windows 設定 > セキュリティ設定 > ローカル ポリシー > ユーザー権利の割り当て

LoadUnloadDeviceDrivers

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 1803 [10.0.17134] 以降
./Device/Vendor/MSFT/Policy/Config/UserRights/LoadUnloadDeviceDrivers

このユーザー権利は、カーネル モードでデバイス ドライバーまたはその他のコードを動的に読み込んでアンロードできるユーザーを決定します。 このユーザー権利は、プラグ アンド プレイデバイス ドライバーには適用されません。 この特権を他のユーザーに割り当てないようにすることをお勧めします。

注意

このユーザー権限を割り当てることは、セキュリティ 上のリスクになる可能性があります。 システムを引き継ぐ必要のないユーザー、グループ、またはプロセスには、このユーザー権限を割り当てないでください。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
指定可能な値 リスト (区切り記号: 0xF000)

グループ ポリシー マッピング:

名前
名前 デバイス ドライバーのロードとアンロード
パス Windows 設定 > セキュリティ設定 > ローカル ポリシー > ユーザー権利の割り当て

LockMemory

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 1803 [10.0.17134] 以降
./Device/Vendor/MSFT/Policy/Config/UserRights/LockMemory

このユーザー権利は、プロセスを使用してデータを物理メモリに保持できるアカウントを決定します。これにより、システムがディスク上の仮想メモリにデータをページングできなくなります。 この特権を行使すると、利用可能なランダム アクセス メモリ (RAM) の量が減少することで、システムのパフォーマンスに大きな影響を与える可能性があります。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
指定可能な値 リスト (区切り記号: 0xF000)

グループ ポリシー マッピング:

名前
名前 メモリ内のページのロック
パス Windows 設定 > セキュリティ設定 > ローカル ポリシー > ユーザー権利の割り当て

LogOnAsBatchJob

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11、バージョン 24H2 [10.0.26100] 以降
./Device/Vendor/MSFT/Policy/Config/UserRights/LogOnAsBatchJob

このセキュリティ設定により、ユーザーはバッチ キュー機能を使用してログオンでき、古いバージョンの Windows との互換性のためにのみ提供されます。 たとえば、ユーザーがタスク スケジューラを使用してジョブを送信すると、タスク スケジューラはそのユーザーを対話型ユーザーとしてではなくバッチ ユーザーとしてログに記録します。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
指定可能な値 リスト (区切り記号: 0xF000)

グループ ポリシー マッピング:

名前
名前 バッチ ジョブとしてログオン
パス Windows 設定 > セキュリティ設定 > ローカル ポリシー > ユーザー権利の割り当て

LogOnAsService

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11、バージョン 24H2 [10.0.26100] 以降
./Device/Vendor/MSFT/Policy/Config/UserRights/LogOnAsService

このセキュリティ設定により、セキュリティ プリンシパルはサービスとしてログオンできます。 サービスは、サービスとしてログオンする権限が組み込まれているローカル システム、ローカル サービス、またはネットワーク サービス アカウントで実行するように構成できます。 別のユーザー アカウントで実行されるサービスには、権限を割り当てる必要があります。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
指定可能な値 リスト (区切り記号: 0xF000)

グループ ポリシー マッピング:

名前
名前 サービスとしてログオン
パス Windows 設定 > セキュリティ設定 > ローカル ポリシー > ユーザー権利の割り当て

ManageAuditingAndSecurityLog

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 1803 [10.0.17134] 以降
./Device/Vendor/MSFT/Policy/Config/UserRights/ManageAuditingAndSecurityLog

このユーザー権利は、ファイル、Active Directory オブジェクト、レジストリ キーなど、個々のリソースのオブジェクト アクセス監査オプションを指定できるユーザーを決定します。 このセキュリティ設定では、ユーザーがファイルとオブジェクトのアクセスの監査を一般的に有効にすることはできません。 監査されたイベントは、イベント ビューアーのセキュリティ ログに表示できます。 この特権を持つユーザーは、セキュリティ ログを表示およびクリアできます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
指定可能な値 リスト (区切り記号: 0xF000)

グループ ポリシー マッピング:

名前
名前 監査とセキュリティ ログの管理
パス Windows 設定 > セキュリティ設定 > ローカル ポリシー > ユーザー権利の割り当て

ManageVolume

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 1803 [10.0.17134] 以降
./Device/Vendor/MSFT/Policy/Config/UserRights/ManageVolume

このユーザー権利は、リモートデフラグなど、ボリュームでメンテナンス タスクを実行できるユーザーとグループを決定します。 このユーザー権利を割り当てる場合は注意が必要です。 このユーザー権利を持つユーザーは、ディスクを探索し、他のデータを含むメモリにファイルを拡張できます。 拡張ファイルを開くと、ユーザーは取得したデータを読み取って変更できる可能性があります。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
指定可能な値 リスト (区切り記号: 0xF000)

グループ ポリシー マッピング:

名前
名前 ボリュームの保守タスクを実行
パス Windows 設定 > セキュリティ設定 > ローカル ポリシー > ユーザー権利の割り当て

ModifyFirmwareEnvironment

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 1803 [10.0.17134] 以降
./Device/Vendor/MSFT/Policy/Config/UserRights/ModifyFirmwareEnvironment

このユーザー権利は、ファームウェア環境の値を変更できるユーザーを決定します。 ファームウェア環境変数は、x86 ベース以外のコンピューターの不揮発性 RAM に格納される設定です。 設定の効果はプロセッサによって異なります。 x86 ベースのコンピューターでは、このユーザー権利を割り当てることで変更できるファームウェア環境の値は、システムによってのみ変更する必要がある最後の既知の良好な構成設定です。 Itanium ベースのコンピューターでは、ブート情報は不揮発性 RAM に格納されます。 bootcfg.exe を実行するには、このユーザー権限をユーザーに割り当てる必要があります。また、[システムのプロパティ] の [スタートアップと回復] で [既定のオペレーティング システム] 設定を変更する必要があります。 すべてのコンピューターで、Windows をインストールまたはアップグレードするには、このユーザー権利が必要です。

このセキュリティ設定は、[システムのプロパティ] の [詳細設定] タブに表示されるシステム環境変数とユーザー環境変数を変更できるユーザーには影響しません。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
指定可能な値 リスト (区切り記号: 0xF000)

グループ ポリシー マッピング:

名前
名前 ファームウェア環境値の修正
パス Windows 設定 > セキュリティ設定 > ローカル ポリシー > ユーザー権利の割り当て

ModifyObjectLabel

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 1803 [10.0.17134] 以降
./Device/Vendor/MSFT/Policy/Config/UserRights/ModifyObjectLabel

このユーザー権利は、ファイル、レジストリ キー、または他のユーザーが所有するプロセスなど、オブジェクトの整合性ラベルを変更できるユーザー アカウントを決定します。 ユーザー アカウントで実行されているプロセスは、そのユーザーが所有するオブジェクトのラベルを、この特権を持たない下位レベルに変更できます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
指定可能な値 リスト (区切り記号: 0xF000)

グループ ポリシー マッピング:

名前
名前 オブジェクト ラベルの変更
パス Windows 設定 > セキュリティ設定 > ローカル ポリシー > ユーザー権利の割り当て

ProfileSingleProcess

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 1803 [10.0.17134] 以降
./Device/Vendor/MSFT/Policy/Config/UserRights/ProfileSingleProcess

このユーザー権利は、パフォーマンス監視ツールを使用してシステム プロセスのパフォーマンスを監視できるユーザーを決定します。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
指定可能な値 リスト (区切り記号: 0xF000)

グループ ポリシー マッピング:

名前
名前 単一プロセスのプロファイル
パス Windows 設定 > セキュリティ設定 > ローカル ポリシー > ユーザー権利の割り当て

ProfileSystemPerformance

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11、バージョン 24H2 [10.0.26100] 以降
./Device/Vendor/MSFT/Policy/Config/UserRights/ProfileSystemPerformance

このセキュリティ設定は、パフォーマンス監視ツールを使用してシステム プロセスのパフォーマンスを監視できるユーザーを決定します。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
指定可能な値 リスト (区切り記号: 0xF000)

グループ ポリシー マッピング:

名前
名前 システム パフォーマンスのプロファイル
パス Windows 設定 > セキュリティ設定 > ローカル ポリシー > ユーザー権利の割り当て

RemoteShutdown

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 1803 [10.0.17134] 以降
./Device/Vendor/MSFT/Policy/Config/UserRights/RemoteShutdown

このユーザー権利は、ネットワーク上のリモートの場所からコンピューターをシャットダウンできるユーザーを決定します。 このユーザー権利を誤用すると、サービス拒否が発生する可能性があります。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
指定可能な値 リスト (区切り記号: 0xF000)

グループ ポリシー マッピング:

名前
名前 リモート コンピューターからの強制シャットダウン
パス Windows 設定 > セキュリティ設定 > ローカル ポリシー > ユーザー権利の割り当て

ReplaceProcessLevelToken

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11、バージョン 24H2 [10.0.26100] 以降
./Device/Vendor/MSFT/Policy/Config/UserRights/ReplaceProcessLevelToken

このセキュリティ設定は、あるサービスが別のサービスを開始できるように、CreateProcessAsUser() アプリケーション プログラミング インターフェイス (API) を呼び出すことができるユーザー アカウントを決定します。 このユーザー権利を使用するプロセスの例として、タスク スケジューラがあります。 タスク スケジューラの詳細については、「タスク スケジューラの概要」を参照してください。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
指定可能な値 リスト (区切り記号: 0xF000)

グループ ポリシー マッピング:

名前
名前 プロセス レベル トークンの置き換え
パス Windows 設定 > セキュリティ設定 > ローカル ポリシー > ユーザー権利の割り当て

RestoreFilesAndDirectories

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 1803 [10.0.17134] 以降
./Device/Vendor/MSFT/Policy/Config/UserRights/RestoreFilesAndDirectories

このユーザー権利は、バックアップされたファイルとディレクトリを復元するときにファイル、ディレクトリ、レジストリ、およびその他の永続的なオブジェクトのアクセス許可をバイパスできるユーザーを決定し、有効なセキュリティ プリンシパルをオブジェクトの所有者として設定できるユーザーを決定します。 具体的には、このユーザー権利は、システム上のすべてのファイルとフォルダーに対して、問題のユーザーまたはグループに次のアクセス許可を付与することに似ています:フォルダーの走査/ファイルの実行、書き込み。

注意

このユーザー権限を割り当てることは、セキュリティ 上のリスクになる可能性があります。 このユーザー権限を持つユーザーはレジストリ設定を上書きしたり、データを非表示にしたり、システム オブジェクトの所有権を取得したりできるため、信頼できるユーザーにのみこのユーザー権限を割り当てます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
指定可能な値 リスト (区切り記号: 0xF000)

グループ ポリシー マッピング:

名前
名前 ファイルとディレクトリの復元
パス Windows 設定 > セキュリティ設定 > ローカル ポリシー > ユーザー権利の割り当て

ShutDownTheSystem

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11、バージョン 24H2 [10.0.26100] 以降
./Device/Vendor/MSFT/Policy/Config/UserRights/ShutDownTheSystem

このセキュリティ設定は、コンピューターにローカルでログオンしているユーザーが、シャットダウン コマンドを使用してオペレーティング システムをシャットダウンできるユーザーを決定します。 このユーザー権利を誤用すると、サービス拒否が発生する可能性があります。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
指定可能な値 リスト (区切り記号: 0xF000)

グループ ポリシー マッピング:

名前
名前 システムのシャットダウン
パス Windows 設定 > セキュリティ設定 > ローカル ポリシー > ユーザー権利の割り当て

TakeOwnership

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 1803 [10.0.17134] 以降
./Device/Vendor/MSFT/Policy/Config/UserRights/TakeOwnership

このユーザー権利は、Active Directory オブジェクト、ファイルとフォルダー、プリンター、レジストリ キー、プロセス、スレッドなど、システム内のセキュリティ保護可能なオブジェクトの所有権を取得できるユーザーを決定します。

注意

このユーザー権限を割り当てることは、セキュリティ 上のリスクになる可能性があります。 オブジェクトの所有者はそれらを完全に制御できるため、このユーザー権限を信頼されたユーザーにのみ割り当てます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
指定可能な値 リスト (区切り記号: 0xF000)

グループ ポリシー マッピング:

名前
名前 ファイルとその他のオブジェクトの所有権の取得
パス Windows 設定 > セキュリティ設定 > ローカル ポリシー > ユーザー権利の割り当て

ポリシー構成サービス プロバイダー