- PR -

メンバーサーバーのローカルAdministratorsからDomainAdminsを削除

1
投稿者投稿内容
rmmug
大ベテラン
会議室デビュー日: 2006/03/07
投稿数: 116
投稿日時: 2007-10-23 22:24
ドメインのメンバーサーバーのローカルAdministratorsから、
Domain Adminsを削除した場合、何か不具合などは、あるでしょうか。
これは、ファイルサーバーなのですが、システム管理者も
アクセスが出来てはいけないという、上からお達しの為です。
ローカルAdministratorsの権限があれば、所有権を変更しアクセス権
を得ることが出来てしまうからです。
それって、どうなの? とも思いますが・・
まーくん
会議室デビュー日: 2007/10/24
投稿数: 13
投稿日時: 2007-10-24 00:48
不具合が起きても対応できなくなるとか(汗)

運用面で何か違った対応はとれないものでしょうか?
それか、ファイルアクセスに対する監査設定をいれて、
アクセス履歴をとって管理者を管理してもらうほうが
現実的な気がします。
rmmug
大ベテラン
会議室デビュー日: 2006/03/07
投稿数: 116
投稿日時: 2007-10-24 11:52
まーくんさん、有難うございます。
>運用面で何か違った対応はとれないものでしょうか?
現在、試行錯誤中なのです。アクセス権限の変更履歴の
ログだけでは、上が満足してくれませんでした。
説得力不足?(汗)
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2007-10-24 12:09
ローカル管理者権限を持った別のユーザが存在し、
そのユーザが適切に管理・運用されてれば、
DomainAdminsがローカル管理者権限持ってなくても
大抵の場合は、別に問題ありません。

ドメイン管理者=各サーバの管理者ってのが
毎回成り立つわけではないので。

ただし、当然ながら、管理者なしというのはありえないです。
誰かが管理者権限を持つ必要はありますね。

権限付与範囲を狭めるのは確かに重要ですが、
最低限必要な権限ってのはどうしてもありますし、
管理者ゼロがありえない以上、管理者を監視管理する体制は必須でしょう。
柴田 たけお
常連さん
会議室デビュー日: 2007/09/19
投稿数: 40
お住まい・勤務地: 米国カリフォルニア州オレンジカウンティー
投稿日時: 2007-10-24 13:03
みなさんがおしゃるように別の管理者が管理すれば
特に不具合はないのではないでしょうか?

たとえば給与関係をあつかうサーバーには、
ITの最強管理者であろうとも、アクセスさせないとかは
あります。
通常はその部の管理者がLOCAL ADMINを設定してアクセス
コントロールすると思いますが。



Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2007-10-24 18:36
一応補足。


DomainAdminsをローカルのAdminsから外すことは、
DomainAdminsがその端末の管理権限を変更することとは同値ではないです。
端末自体がドメイン資源である以上、ドメイン管理者なら管理できますし、
GPOを通してローカルグループメンバシップの変更も可能です。

管理者が善意であるとの過程の上ならそこまでやらないでしょうが、
(善意なら別にローカルAdminsグループ入れっぱなしでも問題ないともいえますけど)
悪意があること前提にすると(かつスキルも必要か)、
DomainAdminsに端末管理者権限を付与したままでも問題ないような
アプリのつくり(Windows/ADの仕組みだけでACL考えること事態が危険)や、
監視・検知体制は必要でしょう。
rmmug
大ベテラン
会議室デビュー日: 2006/03/07
投稿数: 116
投稿日時: 2007-10-25 12:53
ローカルAdministratorsグループから、ドメインユーザを削除し、別のローカルユーザを作成して、このグループへ追加し、管理していこうと思います。

>DomainAdminsに端末管理者権限を付与したままでも問題ないような
>アプリのつくり(Windows/ADの仕組みだけでACL考えること事態が危険)や、
>監視・検知体制は必要でしょう。
はい、本来は、そういう体制が必要だと思いました。

大変参考になります、みなさん、有難うございました。
1

スキルアップ/キャリアアップ(JOB@IT)