グループ

目次
cminder12902jp
目次
グループは、通常、同一のアクセス権限を共有するユーザの集合です。 管理者は、グループへのユーザの追加、グループからのユーザの削除、およびシステム リソースへのアクセスをグループ単位で許可または拒否することができます。 このタイプのグループは、ネイティブ OS および
Privileged Identity Manager
の両方に存在します。
グループ レコードには、グループに関する情報が格納されます。 グループ レコードに格納される最も重要な情報は、グループのメンバであるユーザのリストです。
重要:
グループ レコードの許可ルールは、グループの階層内の各ユーザに繰り返し適用されます。
たとえば、グループ A には 2 つのメンバ、ユーザ X とグループ B があり、ユーザ Y がグループ B のメンバである場合、グループ A の許可ルールを変更すると、CA Privileged Identity Manager は、グループ A の階層内のすべてのユーザおよびグループ(ユーザ X、グループ B、およびユーザ Y)に変更された権限ルールを適用します。
グループ レコードの情報は
プロパティ
に格納されます。
Privileged Identity Manager
では、グループ管理者は、そのグループ管理者が定義されている特定のグループのグループ機能を管理できます。 グループ パスワード管理者は、グループ メンバのパスワードを変更できます。
セキュリティ ポリシーとグループ
組織のセキュリティ ポリシーを作成する際は、以下のことを決定する必要があります。
  • セキュリティ管理を目的として作成するグループ
  • 各グループに追加するユーザ
  • グループ管理者とグループ パスワード管理者を定義するかどうか、定義する場合はこれらの管理者の役割を割り当てるユーザ
事前定義されたユーザのグループ
Privileged Identity Manager
には事前定義されたグループがあり、そのグループにユーザを追加できます。 このようなグループの 1 つが、_restricted グループです。 _restricted グループのユーザに対して、すべてのファイルおよびレジストリ キーは
Privileged Identity Manager
によって保護されています。 ファイルまたはレジストリ キーのアクセス ルールが明示的に定義されていない場合は、そのクラス(FILE または REGKEY)の _default レコードがアクセス権に適用されます。
_restricted グループを使用する場合は、注意が必要です。 _restricted グループ内のユーザは、業務の遂行に必要な十分な権限を与えられていない場合があります。 そのため、_restricted グループにユーザを追加する場合は、最初に警告モードの使用を検討してください。 Warning モードでは、ユーザが業務を遂行するために必要なファイルおよびレジストリ キーを監査ログによって知ることができます。 監査ログの確認後、適切な権限を付与し、Warning モードをオフに切り替えます。
リソース アクセス用に事前定義されたグループ
Privileged Identity Manager
で事前定義されているその他のタイプのグループは、特定のリソースに対するアクセスの許可または禁止を定義します。 以下のグループが事前定義されています。
  • _network
    (Windows のみ) _network グループでは、ネットワークから特定のリソースへのアクセスが定義されます。 すべてのユーザは、このグループのメンバとして扱われます。つまり、ユーザをこのグループに明示的に追加する必要はありません。
    たとえば、特定のリソースの読み込みをネットワークからのみに限定できます。 selang のコマンドを使用して、以下のように新規リソースを定義します。
    newres FILE c:\temp\readonly defaccess(none)
    次に、ネットワークから可能なアクセスを指定します。
    authorize FILE c:\temp\readonly gid(_network) access(read)
    これは、
    Privileged Identity Manager
    エンドポイント コンソールを使用して行うこともできます。
    これで、ネットワークから c:\temp\readonly にアクセスする際に、ユーザはネットワークからのみファイルを読み取れます。
  • _interactive
    _interactive グループは、特定のリソースが存在するコンピュータから、そのリソースに対するアクセス許可を定義します。 たとえば、ファイルに対する読み取りアクセス権を与える場合、このリソースに対してネットワークからのアクセスが許可されていない場合でも、ファイルが定義されているコンピュータからのアクセス権を与えることができます。
以下の点に注意してください。
  • Privileged Identity Manager
    では、_network グループと _interactive グループとの間に関連はありません。 これは、ネットワークから特定のリソースへのアクセスを定義するルールが、_network グループに存在し、 同時に、_interactive グループ内の他のルールで、同じリソースに対するアクセスを定義できる、ということを意味します。
  • _network グループと _interactive グループにユーザを追加する必要はありません。
  • これらのグループによって、データベースに定義されているすべての Windows リソースを保護できます。