- PR -

win2003サーバで"power users"に対する制限

1
投稿者投稿内容
ロビンマスク
ベテラン
会議室デビュー日: 2006/08/02
投稿数: 53
投稿日時: 2007-09-04 02:20
いつも大変お世話になっております。

現在複数ユーザがログインするターミナルサーバをドメイン環境内で構築しております。それぞれのユーザは、ターミナルサーバ(win2003 server)にそれぞれのドメインアカウントでログインします。

別システムの訳あって、どうしてもサーバを使用するユーザに対してローカル"power user"の権限を与えなければいけません。レジストリ参照などの権限が必要なため。

そこで権限は"power user"ですが、起動アプリケーションを限定したり、サーバへのインストール禁止、システムの変更を禁止等は可能なのでしょうか?

ご存知の方、どなたかお願い致します。
ちゃっぴ
ぬし
会議室デビュー日: 2004/12/10
投稿数: 873
投稿日時: 2007-09-04 04:22
そもそも、"Power Users" という group は "Users" group に比べて default でより多くの特権を保持していて、かつ default の ACL でより多くの object への access が許可されている group にすぎません。

したがって、特権および ACL を編集することによって、"Power Users" の member でなくとも "Power Users" と同じもしくはそれ以上の権利を有した account を作り出すことは可能です。
同様に "Administrators" group に所属していなくとも、"Administrators" group の member と同様な権利を持った account を作り出すことも可能です。

できるだけ制限をかけたいが、特定のもののみ許可したいということであれば、その特定のものが必要とする権利を割り出して、特権および ACL を編集すればいいでしょう。

一応参考までに書いておくと、特定のものが必要とするものを割り出すには、Process Monitor を利用するのが近道です。

引用:
そこで権限は"power user"ですが、起動アプリケーションを限定したり、サーバへのインストール禁止、システムの変更を禁止等は可能なのでしょうか?


とのことですが、これではめちゃくちゃ曖昧です。

例えば、「サーバへのインストール禁止」
これはどの程度のもの?

Copy だけで動作する application は存在しますが、おそらくその程度のことをいっているとは思えませんので、それはとりあえず置いておくとして。
たとえば、ActiveX とか COM base の application を install する場合、registry への登録が必要になります。
# XP 以降なら必ずしも registry への登録は必須ではありませんが。。。

その場合、HKCR の subkey への書き込みが必須になります。
それだけなら、HKCR の ACL を編集してやることで対応可能です。

[追記]
"Power Users" group の member の場合には、HKCR の subkey への書き込みが default 許可されています。
[/追記]

「起動アプリケーションを限定」は group policy を使う場合を想定しますが、こちらは "Power Users" group の member では対象を編集できないため与えても問題ないですね。

もっとも、利用する policy の仕様による制限をちゃんと理解して、検討する必要ありますが。

「システムの変更を禁止等」
これは曖昧すぎて回答のしようがありません。

_________________
ちゃっぴ@わんくま同盟
ちゃっぴの監禁部屋

[ メッセージ編集済み 編集者: ちゃっぴ 編集日時 2007-09-04 04:27 ]
BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2007-09-04 09:11
こんにちは。
実現したいことが漠然としておりますので具体的なアドバイスは困難です。
肝心なことはちゃっぴ様が説明してくださってますのでポイントだけ。

引用:
ロビンマスクさんの書き込み (2007-09-04 02:20) より:

別システムの訳あって、どうしてもサーバを使用するユーザに対してローカル"power user"の権限を与えなければいけません。レジストリ参照などの権限が必要なため。

そこで権限は"power user"ですが、起動アプリケーションを限定したり、サーバへのインストール禁止、システムの変更を禁止等は可能なのでしょうか?

defaultのuser、power userの中間の権限を作りたいという希望だと思われますので
それぞれの権限で可能なことを整理します。
何れかのgroup権限をカスタマイズすることになると思いますが、どちらのgroup権限
を変更したほうが効率的かを考えるべきかと思います。

# レジストリの参照権限だけで良いのならuser groupの権限変更の方が
# 容易だと思われますが・・・。
1

スキルアップ/キャリアアップ(JOB@IT)