- - PR -
ADのクライアント展開でユーザーの権限について困っています
1
| 投稿者 | 投稿内容 | ||||
|---|---|---|---|---|---|
|
投稿日時: 2004-12-11 15:22
いつも参考にさせていただいております。
Windows2003Serverでのクライアント展開を進めているのですが、下記の様にユーザーの 権限についてどうしようか困っています。 各ユーザーのIDで各PCでプログラムインストールやセキュリティーパッチの適用を行い たいのでローカルに対してAdmin権限を寄与したいと思っています。 そこでADの「Domain Users」をローカルPCのAdministratorsに追加したところ、当然 うまく行ったのですが、コンピューターA,Bとあった場合、Aにログインしたユーザーが Bに対して隠し共有を使用してネットワーク経由でアクセスできてしまう事が判りました。 これはちょっとまずいので下記の様に考えています。 案1.「Domain Users」では無く各ユーザーのIDをローカルAdmiinstratorsに追加 課題→PC利用者が変更になる毎に修正する必要がある 案2.ローカルPCのServerサービスを停止する 課題→PC間でのファイル共有が出来ない。 案3.ローカルのPowerUsersに「Domain Users」を追加する 課題→これでも各ユーザーでインストール作業やパッチ配布が出来なくなる やりたい事がなかなか思うように出来なくてMSのADは色々と大変です(涙) 何か良い智恵ございませんか? 個人的にはグループポリシーを使用して案1の個人IDをローカルPCのADMINにする 方法が良いかなと思っています。 やりたい事は 1.ローカルPCに対しては管理者権限を設定したい 2.ネットワークアクセスでローカルPCに対しては筒抜けにならないようなセキュリティー を設けたい となります。ちょっと矛盾してますかね。 | ||||
|
投稿日時: 2004-12-11 21:03
Domain users グループをローカルのAdministratorsに追加すれば、
当然管理共有をとおしてお互いのドライブにアクセスできる状態になると思います。 そうではなく、 Domain users に属するドメインのユーザーアカウント(Domain usersグループではなく) を個別にローカルのAdministratorsに属させればいいだけの話では? あと、エンドユーザーに管理者権限を与えるのがはたしてよいのかということも あわせて考える必要があると思います。 パッチの適用ならばSUSでも構築すれば、制限ユーザーがログオンしている状態で パッチを適用することは可能ですし。 SMSのように管理者が集中的に末端のパッチ管理をする方法もあります。 あと重大なパッチ以外は宛てないと割り切ることも重要です。 サービスパックはグループポリシーでリモートインストールのように割り当てることも 可能です。 むしろパッチをあてること自体よりも、管理者ユーザーがログオンしている状態で ネットサーフィンをされるほうがはるかに危険です。 http://www.eu.microsoft.com/windows2000/ja/advanced/help/windows_security_whynot_admin.htm 制限ユーザーならば、不正なスクリプト等に遭遇して実行したとしてもシステムフォルダ や自プロファイル以外のレジストリへの書き込み権がないのですから、不正プログラム に侵食されることを相当防げるはずです。 パッチの多くはコンピュータがルーターを介さず直接接続されている場合に DOS攻撃などでハングアップさせられたりすることを防止するものも多いです。 ルーター接続なら宛てなくとも支障のないものも結構あると思います。 パッチ管理も無論重要ですが、その他の操作一般や、組織内でのポリシーを見直すことも 重要です。 | ||||
|
投稿日時: 2004-12-11 21:06
案1 のことですね すみません。 しかし、おっしゃるようなことをするにはこの方法しかないと思います。 | ||||
|
投稿日時: 2004-12-11 21:36
有償のクライアント管理ソフト導入で解決できますが、まぁそれは置いといて。。。
そもそもなぜ隠し共有で別クライアントにアクセスできては危険なのでしょうか? それは重要なデータをローカル保存しているからではないのでしょうか? 基本的に重要なデータはアクセス権が設定されたサーバに保存、とすれば 守るべき情報資産はクライアントPCに存在しないはずですが。 テンポラリファイルも存在するユーザフォルダは、暗号化かけとけば安全ですし。 というわけで、クライアントPCで管理者権限あっても大丈夫と割り切ってます。 ただし不慣れなユーザが設定変更するのは避けたいので、グループポリシーで色んな 制限をかけます。例えばコンパネやレジストリエデタを使わせないとか。 | ||||
|
投稿日時: 2004-12-12 00:14
まるちねすさん,zousanさん
ご支援ありがとうございます。 今考えていることを実現する為にはやはり案1の個別にADMIN追加してあげるしか方法は なさそうですね。 PC台数が多いのでちょっと大変かなと・・・ 確かにPowerUserと割り切っても良いのですが、今まで出来ていたことを出来なくするのは なかなか説明に苦慮するところなのです。 ユーザーは便利に使いたいし、システム管理部門はセキュリティーも十分考慮しなければ ならないですし、その辺り セキュリティーと利便性の兼ね合いの問題ですね。 ユーザーにAdmin権限を与えたい理由は、ユーザーローカルで導入したいアプリがあり 結局はAdmin権限を与えたほうが良いと言うことなんです。 まぁ8,9割りはPowerUserクラスで業務は出来るんですが・・上記にあるとおり説明が 難しくユーザーとの板ばさみにあいそうです(笑) zousanさん >有償のクライアント管理ソフト導入で解決できますが、まぁそれは置いといて。。。 これって具体的なソフトって何でしょうか?差し支えなければお教えいただけませんか? 話がずれてしまいましたが、ローカルデーターですが基本的に保存されてますね。 | ||||
|
投稿日時: 2004-12-12 08:06
>有償のクライアント管理ソフト導入で解決
自治体あたりで今大流行のソフトで、ユーザは一般権限としておいて、パッチ適用やアプリインストール時に自動的に管理者権限で実行するものです。 SMSは大掛かり過ぎてお勧めできないので、安い順にAssetViewとかQNDとかCat3、などなどになるでしょう。 | ||||
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。