資格情報の移動を使用するには、組織のすべてのドメイン コントローラーが Windows Server 2008 R2、Windows Server 2008、または Windows Server 2003 Service Pack 1 (SP1) を実行している必要があります。さらに、資格情報の移動に使用するクライアントが Windows 7、Windows Vista、Windows XP Service Pack 2 (SP2)、Windows Server 2003 SP1、または Windows Server 2008 を実行している必要があります。

Active Directory 環境内で少なくとも 1 つのドメイン コントローラーが Windows Server 2008 R2 または Windows Server 2008 を実行している場合は、グループ ポリシーを使用して資格情報の移動を構成できます。

Windows Server 2008 R2 または Windows Server 2008 を実行しているドメイン コントローラーがない場合は、グループ ポリシーを使用して資格情報を構成する前に、次の手順を実行する必要があります。

  1. Active Directory ドメイン サービス (AD DS) を準備します。ユーザーの証明書、キー、データ保護アプリケーション プログラミング インターフェイス (DPAPI) マスター キーを格納できるように AD DS を準備する必要があります。

  2. 移動プロファイルのディレクトリを除外します。移動プロファイルが使用されている場合、資格情報の移動と競合しないように、一部のディレクトリを移動から除外する必要があります。

  3. グループ ポリシー ADM テンプレートをインストールします。資格情報の移動を有効にするために、クライアント コンピューターに適切なレジストリ値を設定するグループ ポリシー ADM テンプレートを使用します。

Windows Server 2003 を実行しているドメイン コントローラーを使用しているネットワークの場合、これらの準備手順については、証明書サービス クライアントの資格情報の移動の構成とトラブルシューティングに関するページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkID=85332) を参照してください。

この手順を実行するには、Enterprise Admins または Domain Admins、あるいはそれらと同等のメンバーシップが最低限必要となります。詳細については、「役割ベースの管理を実装する」を参照してください。

グループ ポリシーを使用してドメインの資格情報の移動を構成するには

  1. Windows Server 2008 R2 または Windows Server 2008 を実行しているドメイン コントローラーで、[スタート] ボタンをクリックし、[管理ツール] をポイントして、[グループ ポリシーの管理] をクリックします。

  2. コンソール ツリーで、編集する [既定のドメイン ポリシー] グループ ポリシー オブジェクト (GPO) が含まれているフォレストおよびドメインの [グループ ポリシー オブジェクト] をダブルクリックします。

  3. [既定のドメイン ポリシー] GPO を右クリックし、[編集] をクリックします。

  4. グループ ポリシー管理コンソール (GPMC) で、[ユーザーの構成]、[Windows の設定]、[セキュリティの設定] の順に移動し、[公開キーのポリシー] をクリックします。

  5. [証明書サービス クライアント - 資格情報の移動] をダブルクリックします。

  6. 資格情報の移動を構成するには [有効] をクリックし、この機能を使用しないようにするには [無効] をクリックします。

  7. [有効] をクリックした場合は、次のオプションをカスタマイズすることもできます。

    • 廃棄済み (tombstone) 資格情報の最大有効期間 (日): このオプションでは、ローカルで削除された証明書またはキーについての移動資格情報を AD DS に残しておく期間を定義できます。

    • ユーザー 1 人あたりの移動資格情報の最大数: このオプションでは、資格情報の移動で使用できる証明書およびキーの最大数を定義できます。

    • 移動資格情報の最大サイズ (バイト): このオプションでは、指定したサイズを超える資格情報の移動を制限できます。

    • 格納されたユーザー名およびパスワードの移動: このオプションでは、保存されたユーザー名とパスワードを資格情報の移動ポリシーに含めるか除外するかを指定できます。

  8. [OK] をクリックして変更を確定します。

多くの組織では、手順 7. に示した資格情報の移動に関する既定のオプションをそのまま使用できます。ただし、多数のユーザーと資格情報が存在する組織の場合は、資格情報の移動が Active Directory データベースのサイズに影響することがあります。資格情報の移動による Active Directory データベースへの影響を予測するのに役立つ情報については、証明書サービス クライアント資格情報の移動の構成とトラブルシューティングに関するページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkID=85332) を参照してください。

その他の参照情報

目次