- - PR -
メンバーサーバーのローカルAdministratorsからDomainAdminsを削除
1
投稿者 | 投稿内容 |
---|---|
|
投稿日時: 2007-10-23 22:24
ドメインのメンバーサーバーのローカルAdministratorsから、
Domain Adminsを削除した場合、何か不具合などは、あるでしょうか。 これは、ファイルサーバーなのですが、システム管理者も アクセスが出来てはいけないという、上からお達しの為です。 ローカルAdministratorsの権限があれば、所有権を変更しアクセス権 を得ることが出来てしまうからです。 それって、どうなの? とも思いますが・・ |
|
投稿日時: 2007-10-24 00:48
不具合が起きても対応できなくなるとか(汗)
運用面で何か違った対応はとれないものでしょうか? それか、ファイルアクセスに対する監査設定をいれて、 アクセス履歴をとって管理者を管理してもらうほうが 現実的な気がします。 |
|
投稿日時: 2007-10-24 11:52
まーくんさん、有難うございます。
>運用面で何か違った対応はとれないものでしょうか? 現在、試行錯誤中なのです。アクセス権限の変更履歴の ログだけでは、上が満足してくれませんでした。 説得力不足?(汗) |
|
投稿日時: 2007-10-24 12:09
ローカル管理者権限を持った別のユーザが存在し、
そのユーザが適切に管理・運用されてれば、 DomainAdminsがローカル管理者権限持ってなくても 大抵の場合は、別に問題ありません。 ドメイン管理者=各サーバの管理者ってのが 毎回成り立つわけではないので。 ただし、当然ながら、管理者なしというのはありえないです。 誰かが管理者権限を持つ必要はありますね。 権限付与範囲を狭めるのは確かに重要ですが、 最低限必要な権限ってのはどうしてもありますし、 管理者ゼロがありえない以上、管理者を監視管理する体制は必須でしょう。 |
|
投稿日時: 2007-10-24 13:03
みなさんがおしゃるように別の管理者が管理すれば
特に不具合はないのではないでしょうか? たとえば給与関係をあつかうサーバーには、 ITの最強管理者であろうとも、アクセスさせないとかは あります。 通常はその部の管理者がLOCAL ADMINを設定してアクセス コントロールすると思いますが。 |
|
投稿日時: 2007-10-24 18:36
一応補足。
DomainAdminsをローカルのAdminsから外すことは、 DomainAdminsがその端末の管理権限を変更することとは同値ではないです。 端末自体がドメイン資源である以上、ドメイン管理者なら管理できますし、 GPOを通してローカルグループメンバシップの変更も可能です。 管理者が善意であるとの過程の上ならそこまでやらないでしょうが、 (善意なら別にローカルAdminsグループ入れっぱなしでも問題ないともいえますけど) 悪意があること前提にすると(かつスキルも必要か)、 DomainAdminsに端末管理者権限を付与したままでも問題ないような アプリのつくり(Windows/ADの仕組みだけでACL考えること事態が危険)や、 監視・検知体制は必要でしょう。 |
|
投稿日時: 2007-10-25 12:53
ローカルAdministratorsグループから、ドメインユーザを削除し、別のローカルユーザを作成して、このグループへ追加し、管理していこうと思います。
>DomainAdminsに端末管理者権限を付与したままでも問題ないような >アプリのつくり(Windows/ADの仕組みだけでACL考えること事態が危険)や、 >監視・検知体制は必要でしょう。 はい、本来は、そういう体制が必要だと思いました。 大変参考になります、みなさん、有難うございました。 |
1