グループ
目次
cminder140jp
目次
グループは、通常、アクセス権限を共有するユーザの集合です。管理者は、グループへのユーザの追加、グループからのユーザの削除、およびシステム リソースへのアクセスをグループ単位で許可または拒否することができます。このタイプのグループは、ネイティブ OS および
Privileged Access Manager Server Control
の両方に存在します。グループ レコードには、グループに関する情報が格納されます。グループ レコードに格納される最も重要な情報は、グループのメンバであるユーザのリストです。
重要:
グループ レコードの許可ルールは、グループの階層内の各ユーザに繰り返し適用されます。たとえば、グループ A にはユーザ X とグループ B という 2 つのメンバあります。ユーザ Y はグループ B のメンバです。グループ A の許可ルールを変更すると、
Privileged Access Manager Server Control
はグループ A の階層内のすべてのユーザおよびグループ(ユーザ X、グループ B、およびユーザ Y)に、変更された許可ルールを適用します。グループ レコードの情報は
プロパティ
に格納されます。Privileged Access Manager Server Control
では、グループ管理者は、そのグループ管理者が定義されている特定のグループのグループ機能を管理できます。グループ パスワード管理者は、グループ メンバのパスワードを変更できます。セキュリティ ポリシーとグループ
組織のセキュリティ ポリシーを作成する際は、以下のことを決定します。
- セキュリティ管理を目的として作成するグループ
- 各グループに追加するユーザ
- グループ管理者とグループ パスワード管理者を定義するかどうか、定義する場合はこれらの管理者の役割を割り当てるユーザ
事前定義されたユーザのグループ
Privileged Access Manager Server Control
には事前定義されたグループがあり、そのグループにユーザを追加できます。このようなグループの 1 つが、_restricted グループです。_restricted グループのユーザに対して、すべてのファイルおよびレジストリ キーは Privileged Access Manager Server Control
によって保護されています。ファイルまたはレジストリ キーのアクセス ルールが明示的に定義されていない場合は、そのクラス(FILE または REGKEY)の _default レコードがアクセス権に適用されます。_restricted グループを使用する場合は、注意が必要です。_restricted グループ内のユーザは、業務の遂行に必要な十分な権限を与えられていない場合があります。そのため、_restricted グループにユーザを追加する場合は、最初に警告モードの使用を検討してください。Warning モードでは、ユーザが業務を遂行するために必要なファイルおよびレジストリ キーを監査ログによって知ることができます。監査ログの確認後、適切な権限を付与し、Warning モードをオフに切り替えます。
リソース アクセス用に事前定義されたグループ
Privileged Access Manager Server Control
に事前定義されている他のタイプのグループは、特定のリソースに対するアクセスの許可または禁止を定義します。以下のグループが事前定義されています。- _network(Windows のみ) _network グループでは、ネットワークから特定のリソースへのアクセスが定義されます。すべてのユーザは、このグループのメンバとして扱われます。つまり、ユーザをこのグループに明示的に追加する必要はありません。たとえば、特定のリソースの読み込みをネットワークからのみに限定できます。selang のコマンドを使用して、以下のように新規リソースを定義します。newres FILE c:\temp\readonly defaccess(none)次に、ネットワークから可能なアクセスを指定します。authorize FILE c:\temp\readonly gid(_network) access(read)Privileged Access Manager Server Controlエンドポイント管理でも、これを実行できます。これで、ネットワークから c:\temp\readonly にアクセスする際に、ユーザはネットワークからのみファイルを読み取れます。
- _interactive_interactive グループは、特定のリソースが存在するコンピュータから、そのリソースに対するアクセス許可を定義します。たとえば、ファイルに対する読み取りアクセス権を与える場合、このリソースに対してネットワークからのアクセスが許可されていない場合でも、ファイルが定義されているコンピュータからのアクセス権を与えることができます。
以下の点に注意してください。
- Privileged Access Manager Server Controlでは、_network グループと _interactive グループの間に関係はありません。これは、ネットワークから特定のリソースへのアクセスを定義するルールが、_network グループに存在し、同時に、_interactive グループ内の他のルールで、同じリソースに対するアクセスを定義できる、ということを意味します。
- _network グループと _interactive グループにユーザを追加する必要はありません。
- これらのグループによって、データベースに定義されているすべての Windows リソースを保護できます。