- PR -

W2K Serverの管理者アカウント

1
投稿者投稿内容
どなるど
会議室デビュー日: 2002/12/04
投稿数: 5
投稿日時: 2003-03-18 16:24
同一ドメインに参加するServerA, ServerBという2台のWindows2000サーバがあります。
それぞれの管理者アカウントが、
ServerA\admin
ServerB\admin
で、パスワードが2台とも同じとき、
各サーバの「コンピュータの管理」ツールから「別のサーバへ接続」を使って
互いのサーバの設定等を変更できてしまいます。
「ローカルセキュリティーポリシー」等見ても、これを防ぐ手立てが見つからないのですが
どこかに設定できる手段(パスワードの変更をせず)はあるのでしょうか。
それともパスワードを変更しないとダメでしょうか。
ラフィン
ぬし
会議室デビュー日: 2002/05/23
投稿数: 809
お住まい・勤務地: 外野
投稿日時: 2003-03-19 12:33
「便利だからポストに鍵を置いておきたいけど誰かに勝手にお風呂は勝手に入られては困る」ってな感じかも。

2つのサーバーの管理者アカウントを同名・同パスワードで設定することは「1つのアカウントで両方管理します」と宣言しているようなものかと思います。セキュリティを気にしないでいい前提で横着する場合には便利ですが、セキュリティを少しでも気にしないといけないのであれば、他にいかなる前提条件がついたとしてもやらない方が良いのではないかと思います。
どなるど
会議室デビュー日: 2002/12/04
投稿数: 5
投稿日時: 2003-03-19 14:02
ありがとうございます。
NT4.0の頃からの考えでServerA¥adminとServerB¥adminは違う鍵だと思っていましたが
2000では、
「ServerA¥admin, password」と
「ServerB¥admin, password」は
同一の組み合わせと判断されてしまうということですね。。
(逆にこれでセキュリティ的によいのかとも思ってしまいますが・・)
少ないと思いますが、たまたまどこかのサーバと同じ組み合わせだった場合もアウトですよね。
サーバが増えるたびに大変、ということですね。(+_+)
井上孝司
ぬし
会議室デビュー日: 2001/09/08
投稿数: 668
お住まい・勤務地: 東京都
投稿日時: 2003-03-19 16:32
井上です。

ちなみに、ドメインの Administrator とローカル コンピュータの Administrator が同じパスワードだと、それもスルーしてしまいますから、注意しましょう。同名・同パスワードだとスルーしてしまうのは、Administrator に限らず、すべてのアカウントにいえることです。
_________________
www.kojii.net
どなるど
会議室デビュー日: 2002/12/04
投稿数: 5
投稿日時: 2003-03-19 17:56
ありがとうございます。
まさに一般的に言う「進入は内部犯行に多い」に注意ですね。
確かに管理を楽したいとき等はよいのかもしれませんが、逆にこの仕様には不安を感じます。
なんて考えるのは私だけでしょうか・・。
ばらが
会議室デビュー日: 2003/03/19
投稿数: 2
投稿日時: 2003-03-19 23:40
サーバのセキュリティーポリシーでネットワーク経由でのコンピュータのアクセスから
外せばいいだけだと思います。
もしくはネットワーク経由でのコンピュータのアクセスの拒否に追加するで、良い
と思います。
私見ですが、サーバのパスワードが同じなんてのは管理とは言えないと思います。
どなるど
会議室デビュー日: 2002/12/04
投稿数: 5
投稿日時: 2003-03-20 10:25
>ばらがさん
いえいえ、「組み合わせが同じ」相手のサーバが予め全部分かっていれば
問題にはなりません。
プラス、侵入がわかってから1台1台手動でアクセス拒否を追加していくのは、
特に大規模ネットワークでは限界がありますよね。
OSのみならずソフトウェアのインストール時にも、管理権限を持ったパスワードを
設定し、起動時に必要となることがありますが、マニュアルどおりでなく常に
パスワードの設定内容を意識する必要があるということですね。
ばらが
会議室デビュー日: 2003/03/19
投稿数: 2
投稿日時: 2003-03-20 11:56
>プラス、侵入がわかってから1台1台手動でアクセス拒否を追加していくのは、
>特に大規模ネットワークでは限界がありますよね。
大規模ではActiveDirectoryによるセキュリティポリシーを設定すれば良いだけです。
手段は変わっても通常の構築規模では限界は無いということは伝えておきます。

最初の質問の回答としては、私の回答で答えになっていると思います。



1

スキルアップ/キャリアアップ(JOB@IT)