ユーザ
目次
cminder12902jp
目次
Privileged Identity Manager
には、複数のユーザ タイプがあります。 ユーザ タイプごとに一定レベルの権限と一定の制限が設定されます。 組織のセキュリティ ポリシーを作成する作業には、特別な権限とそれを与えるユーザを決定する作業が含まれます。Privileged Identity Manager
では、ユーザがログオンできる回数やユーザに対して実行される監査の種類などの、ユーザに関する情報を格納します。 ユーザに関する情報は、データベース レコードのプロパティに格納されます。注:
ユーザの詳細については、「エンドポイント管理ガイド」を参照してください。ユーザ タイプ
Privileged Identity Manager
では以下のタイプのユーザがサポートされ、Privileged Identity Manager
データベース内のリソース管理に使用されます。- 一般ユーザ組織のビジネスを遂行する社内エンド ユーザ。 一般ユーザのアクセス権は、ネイティブ OS およびPrivileged Identity Managerの両方のシステムに対して制限できます。
- 特別な権限を持つユーザ(サブ管理者)1 つ以上の特定の管理タスクを実行する権限が与えられた一般ユーザ。 一般ユーザに対して特定の管理機能の実行を許可すると、管理者の負荷を軽減できます。 では、これを「タスクの委任」と呼びます。Privileged Identity Manager
- 管理者ネイティブ OS およびPrivileged Identity Manager内で最上位の権限を持つユーザ。 管理者は、ユーザの追加、削除、および更新のほか、ほとんどすべての管理タスクを実行できます。Privileged Identity Managerでは、ネイティブ OS のスーパーユーザの権限を制限できます。 そのアカウントが自動的に認識されない特定のユーザに管理タスクを割り当てることができます。 これは、どのユーザが管理タスクを実行するかが、侵入者にはただちに明らかにはならないことを意味します。
- グループ管理者ある特定のグループ内で、ユーザの追加、削除、更新など、ほとんどの管理者機能を実行できるユーザ。 制限された特定の権限を持つこのユーザ タイプは、ネイティブ Windows にはありません。
- パスワード管理者他のユーザのパスワード設定を変更する権限を持つユーザ。 パスワード管理者は、他のユーザの属性は変更できません。 このユーザ タイプは、ネイティブ OS にはありません。
- グループ パスワード管理者ある特定のグループ内で、他のユーザのパスワード設定を変更する権限を持つユーザ。 グループ パスワード管理者は、グループ内のユーザの、その他の設定を変更することはできません。 このユーザ タイプは、ネイティブ OS にはありません。
- 監査担当者監査ログの読み取り権限を持つユーザ。 ログインやリソースへのアクセスが試みられたときに実行する監査の種類を決定する権限もあります。 このユーザ タイプは、ネイティブ OS にはありません。
- グループ監査担当者グループに関連する監査ログの読み取り権限を持つユーザ。 ある特定のグループ内で行う監査の種類を決定する権限もあります。 このユーザ タイプは、ネイティブ OS にはありません。
- オペレータデータベース内のすべての情報の表示(読み取り)、Privileged Identity Managerの停止、および secons ユーティリティを使用したタスクの実行(Privileged Identity Managerのトレースの管理や実行時統計情報の表示など)が可能なユーザ。 このユーザ タイプは、ネイティブ OS にはありません。注:secons ユーティリティの詳細については、「リファレンス ガイド」を参照してください。
- グループ オペレータデータベースの、自分が定義されているグループに関するすべての情報を表示できるユーザ。 このユーザ タイプは、ネイティブ OS にはありません。
- サーバを設定実際にはプロセスである特別なタイプのユーザ。他のユーザの権限をリクエストすることが許可されています。
セキュリティ ポリシーとユーザ
実装を準備する際に、決定する必要のある項目。
- 定義済みユーザに付与する特殊な権限(存在する場合)
- 定義済みユーザに許可する、グローバル権限属性およびグループ権限属性たとえば、システム管理者、パスワード管理者、グループ パスワード管理者、監査担当者、オペレータとして定義するユーザを決定する必要があります。