ユーザ
目次
cminder140jp
目次
Privileged Access Manager Server Control
には、複数のユーザ タイプがあります。ユーザ タイプごとに一定レベルの権限と一定の制限が設定されます。組織のセキュリティ ポリシーを作成する作業には、特別な権限とそれを与えるユーザを決定する作業が含まれます。Privileged Access Manager Server Control
では、ユーザがログオンできる回数やユーザに対して実行される監査の種類などの、ユーザに関する情報を格納します。ユーザに関する情報は、データベース レコードのプロパティに格納されます。注:
ユーザの詳細については、「エンドポイント管理ガイド
」を参照してください。ユーザ タイプ
Privileged Access Manager Server Control
では以下のタイプのユーザがサポートされ、Privileged Access Manager Server Control
データベース内のリソース管理に使用されます。- 一般ユーザ組織の社内エンド ユーザ、および組織のビジネスを遂行する人たち。一般ユーザのアクセス権は、ネイティブ OS およびPrivileged Access Manager Server Controlの両方のシステムに対して制限できます。
- 特別な権限を持つユーザ(サブ管理者)1 つ以上の特定の管理タスクを実行できる一般ユーザ。一般ユーザが特定の管理機能を実行できると、管理者の負荷を軽減できます。Privileged Access Manager Server Controlでは、これを「タスクの委任」と呼びます。
- 管理者ネイティブ OS およびPrivileged Access Manager Server Control内で最上位の権限を持つユーザ。管理者は、ユーザの追加、削除、および更新のほか、ほとんどすべての管理タスクを実行できます。Privileged Access Manager Server Controlでは、ネイティブ OS のスーパーユーザの権限を制限できます。そのアカウントが自動的に認識されない特定のユーザに管理タスクを割り当てることができます。これは、どのユーザが管理タスクを実行するかが、侵入者にはただちに明らかにはならないことを意味します。
- グループ管理者ある特定のグループ内で、ユーザの追加、削除、更新など、ほとんどの管理者機能を実行できるユーザ。制限された特定の権限を持つこのユーザ タイプは、ネイティブ Windows にはありません。
- パスワード管理者他のユーザのパスワード設定を変更する権限を持つユーザ。パスワード管理者は、他のユーザの属性は変更できません。このユーザ タイプは、ネイティブ OS にはありません。
- グループ パスワード管理者ある特定のグループ内で、他のユーザのパスワード設定を変更する権限を持つユーザ。グループ パスワード管理者は、グループ内のユーザの、その他の設定を変更することはできません。このユーザ タイプは、ネイティブ OS にはありません。
- 監査担当者監査ログの読み取り権限を持つユーザ。ログインやリソースへのアクセスが試みられたときに実行する監査の種類を決定する権限もあります。このユーザ タイプは、ネイティブ OS にはありません。
- グループ監査担当者グループに関連する監査ログの読み取り権限を持つユーザ。ある特定のグループ内で行う監査の種類を決定する権限もあります。このユーザ タイプは、ネイティブ OS にはありません。
- 演算子以下の機能を実行できるユーザ。
- データベース内のすべての情報の表示(読み取り)
- Privileged Access Manager Server Controlのシャットダウン
- secons ユーティリティを使用したタスクの実行(トレースの管理や実行時統計情報の表示など)このユーザ タイプは、ネイティブ OS にはありません。注:secons ユーティリティの詳細については、「リファレンス ガイド」を参照してください。
- グループ オペレータデータベースの、自分が定義されているグループに関するすべての情報を表示できるユーザ。このユーザ タイプは、ネイティブ OS にはありません。
- サーバを設定実際にはプロセスである特別なタイプのユーザ。他のユーザの権限をリクエストすることが許可されています。
セキュリティ ポリシーとユーザ
実装を準備する際に、次の項目を決定します。
- 定義済みユーザに付与する特殊な権限(存在する場合)定義済みユーザに許可する、グローバル権限属性およびグループ権限属性たとえば、システム管理者、パスワード管理者、グループ パスワード管理者、監査担当者、オペレータとして定義するユーザを決定します。