- - PR -
ユーザのインストール権限集中管理
1
| 投稿者 | 投稿内容 |
|---|---|
|
投稿日時: 2004-06-09 10:43
SEVENと申します。
ActiveDirectoryで構築しているドメインにおいて、特定のユーザ(通常はDomain Usersに所属)に対して、W2K・XPクライアント上にてアプリケーションをインストールする権限与える為には、 「そのクライアントのAdministratorsもしくはPowerUsersにそのユーザを追加する」 しかないのでしょうか? 上記の通りであれば、 ユーザのインストール権限を集中管理するには、 1.クライアントのローカルAdmin・PowerUserグループに事前にドメインの権限付与用グループを追加しておき、その権限付与用グループに権限を与えたいユーザを追加する。 2.「コンピュータの管理」-「別のコンピュータへ接続」を利用して、直接そのコンピュータのローカルAdmin・PowerUserグループにユーザを追加する。 ぐらいの方法しかないかなぁと思うのですが、上記以外にもグループポリシー等を用いてインストール権限のみを付与といった方法はあるのでしょうか? ご存知の方いらっしゃいましたらご教授お願いいたします。 |
|
投稿日時: 2004-06-09 12:47
インストール権限という定義が不明瞭ですが。
単体exeで動作するアプリであれば、Domain Users も、いわゆるインストール行為できてしまいます。それをインストールと称するのか分かりませんが。。。 AdministratorsもしくはPowerUsers っていうのは、Windows\System32 などに対してデフォルトで書き込み権限が与えられています。 よってそれらフォルダにDLLなどを流し込むソフトのインストールを制限できることになってます。 もし希望されることを何としてでもやるんであれば、Domain Users が書き込み権限を持っている全フォルダから実行権限を剥奪して、最低限必要なファイルにのみ実行権限を付与する、という方法くらいでしょうか。 インストール(exeを配置)は出来ても実行できなくする、という方法です。 まぁ、フロッピーに入っている exe を実行されてしまえばそれまでなんで、「マシンにexeファイルを配置し実行」ということを阻止することしかできまないと思います。 |
|
投稿日時: 2004-06-09 13:00
SEVENです。
ご返答ありがとうございます。 言葉足らずでした、すいません。 >インストール権限の定義 System32に書き込む様な(コンパネのアプリケーションと追加と削除欄に登録されるような)アプリケーションをインストール権限を指しています。 さすがにEXEファイル単体で動くものまで管理できない(したくない)ですから・・・。 普段はDomainUserレベルに設定してインストールを制限し、特定のタイミングで制限を解除したいと考えています。 |
|
投稿日時: 2004-06-09 19:53
各ビルトイングループにはファイル・フォルダやレジストリに関して、
デフォルトのアクセス権があります。 それらのアクセス権によって、実行できるタスクに差が出てくることになります。 したがって、それらをカスタマイズすることにより、たとえusersであっても PowerusersやAdministratorsにきわめて近い動作をさせることも可能です。 (明示的に特定のグループにのみ実行を許可している場合もあり どうあがいてもできないものもありますけど) プログラムのインストールに関しても単に %systemroot% や Program Files および HKLM\Softwareに書き込みができるように するだけで、usersでのインストールが可能になる場合もあります。 しかし、どんなにセキュリティを緩和しても、セットアッププログラムが 実行ユーザーがAdministratorsに属していることをチェックしているような タイプだと続行は無理です。 普段はusersにログオンさせていながら、ローカルで管理者タスクを実行したい といのはよくある要望です。 このような場合ATコマンドでlocalsystem権限でタスクを実行させる。 Run asを使う。あるいはフリーソフトのRunasa グループポリシーでソフトウェアの割り当てを行うなどが考えられます。 どれも一長一短があり、万能というわけではないのが悩みのたねですが。 |
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。