ログイン インターセプトの制限
Windows のログイン インターセプトは、CA ControlMinder のサブ認証方式でのみサポートされています。
cminder12902jp
Windows のログイン インターセプトは、CA ControlMinder のサブ認証方式でのみサポートされています。
カーネルを介してログイン インターセプトを設定することはできません。 結果として、以下の点を考慮する必要があります。
- サブ認証コンポーネントはドメイン コントローラ(DC)レベルで動作するため、ユーザのログイン イベントを認証(および、CA ControlMinder のサブ認証モジュールをトリガ)する DC の決定は OS に応じて異なります。Windows ドメイン環境では、CA ControlMinder は DC ごとにインストールする必要があります。
- Windows ドメイン環境で動作する場合、CA ControlMinder のログイン ポリシー(TERMINAL ルール)を DC 上に配置する必要があり、ターゲット サーバ上に配置する必要はありません。たとえば、Windows ドメインに参加しているが DC ではないファイル サーバ上で、ドメイン ユーザのログイン イベントを保護または監査する必要がある場合、CA ControlMinder のログイン ポリシーは、ターゲット ファイル サーバ上ではなく、DC 上で定義する必要があります。 これは、ドメイン ユーザが共有ファイル ディレクトリにアクセスしたときに、ファイル サーバ上ではなく、DC 上でログイン認証が発生することに起因します。
- 複数の DC が存在する場合、CA ControlMinder のログイン認証はいずれかの DC 上で処理されます。 そのため、CA ControlMinder ログイン ポリシーをすべての DC 間で同期することをお勧めします。具体的な実装方法としては、Policy Model メカニズム(すべての DC が PMDB のサブスクライバに該当)を使用する方法と、すべての DC をホストグループに追加し、拡張ポリシー管理に基づいて共通のポリシーをデプロイする方法が挙げられます。
- ログイン イベントに対応するユーザ プロパティは、実行時(イベント認証中)に更新される場合があります。 該当するプロパティについては、同期外れが発生します。これは、ログイン認証がいずれか 1 つの DC でのみ実行されることに起因します。 上記に該当するプロパティはGracelogins、Last accessed、およびLast access timeです。つまり、例を挙げると、CA ControlMinder のサブ認証はすべての DC ではなく、いずれか 1 つの DC でのみ実行されるため、ユーザ プロパティLast access timeの値は DC 間で異なることになります。
- ローカル ユーザ(ドメイン ユーザ以外)にログイン イベントを適用するには、ローカル ユーザがアクセスする必要があるローカル コンピュータに CA ControlMinder をインストールする必要があります。 これは、ローカル コンピュータがドメイン コンピュータとして使用されるためです(ドメインがローカル コンピュータ)。
- リモート デスクトップ プロトコル(RDP)/ターミナル サービスの ログイン イベントは、以前のバージョンの CA ControlMinder と同様に、ターゲット サーバに対して適用されます。 ただし、RDP ログイン イベントの場合、CA ControlMinder ログイン ポリシーはターゲット サーバ上で定義する必要があります。