セキュリティ

[セキュリティ] ビュー。[セキュリティ] ナビゲーションボタンを選択すると、管理センター でユーザおよびグループ アクセス権を設定および管理できます。さまざまなレベルのアクセスを指定するセキュリティ ロールにより、管理コンソールの特定の領域で、サーバレベルのセキュリティ権限を割り当てたり、オブジェクト セキュリティ権限を割り当てたりすることができます。たとえば、特定の配布グループへのアクセスを地理的に分散された管理者にロックダウンし、独自のローカル管理されたエンドポイントのみを管理しながら、他の配布グループを表示できる (読み取り専用アクセス) ようにしなければならない場合があります。

このセクションでは、次の項目について説明します。

サーバ権限

サーバ権限では、管理センター 全体での指定されたユーザとグループのアクセスレベルを定義し、設定の編集と処理の実行権限を指定できます。

グループまたはユーザを追加するには、ローカルコンピュータまたはドメインを参照し、定義済みのセキュリティ ロールのリストからセキュリティレベルを割り当てるか、作成するカスタムロールを割り当てます。

Active Directory グループまたはユーザ別にサーバ権限を追加できます。

グループで追加

[サーバ権限] > [グループ] > [グループの追加] を選択します。[グループの選択] ダイアログが表示されます。

ローカル コンピュータまたはドメインから参照して選択します。

ユーザで追加

[サーバ権限] > [ユーザ] > [ユーザの追加] を選択します。[ユーザの選択] ダイアログが表示されます。

ローカル コンピュータまたはドメインから参照して選択します。

割り当てられたロールの編集

グループまたはユーザに割り当てられたロールを編集するには、[サーバ権限] > [グループまたはユーザ] > [ロールの編集] を選択します。[グローバル セキュリティ ロール] ダイアログボックスが表示されます。

[グローバル セキュリティ ロール] ダイアログには、既定のサーバ ロールの一覧と、既定以外の作成済みのサーバ ロールが表示されます。

[許可] を選択し、グループまたはユーザにロールを割り当てます。

ユーザの追加/グループの追加: [ユーザの選択] または [グループの選択] ダイアログボックスを起動し、ユーザまたはグループをリストに追加します。

ロールの編集: [グローバル セキュリティ ロール] ダイアログボックスを開きます。使用可能なセキュリティ ロールのリストで、[許可/拒否] 設定を変更できます。

削除: ハイライトされたグループとユーザをリストから削除します。

オブジェクト権限

オブジェクト権限は、管理センター の特定の領域を表示および編集したり、その領域の処理を実行したりするために、ユーザとグループに割り当てられたアクセス権です。オブジェクトには、管理センター の特定の領域、次のような設定や項目があります。

  • グループ: 表示と編集。
  • パッケージ: エージェントと構成を管理します。
  • レポート: すべてのレポートまたは個別のレポートを表示して生成します。
  • アラート ルール: すべてのアラート ルールまたは個別のアラート ルールを表示して編集します。

オブジェクト権限は、セキュリティ ロールを割り当てるか、所有権を割り当てることで、特定のオブジェクトのユーザまたはグループに付与されます。

所有権

オブジェクトのリストと、オブジェクトに割り当てられた所有者を表示します。各オブジェクトの現在の所有権割り当てを変更できます。

次は制御されたオブジェクトです。

  • グループ: 表示と編集。
  • パッケージ: エージェントと構成を管理します。
  • レポート: すべてのレポートまたは個別のレポートを表示して生成します。
  • アラート ルール: すべてのアラート ルールまたは個別のアラート ルールを表示して編集します。

表示を切り替え、タイプ別 (既定) または所有者別にオブジェクトをグループ化できます。[処理] ペインで [所有者でグループ化] または [タイプでグループ化] を選択し、表示を変更します。

オブジェクトの所有権はフルコントロールを付与し、ユーザまたはグループに適用されるすべての制限を無効にします。

オブジェクト所有者を変更するには、オブジェクトをハイライトし、[処理] パネルで [所有権の変更] を選択します。[セキュリティ フォーム] ダイアログが表示されます。リストからグループまたはユーザを選択します。リストにないグループまたはユーザを選択するには、[追加] をクリックして、[ユーザまたはグループの選択] ダイアログを表示し、オブジェクト所有者にするグループまたはユーザを入力するか、参照して選択します。

ユーザ アクセス

ユーザ アクセスの修正されたオブジェクトのリストが表示されます。

表示を切り替え、タイプ別 (既定) またはユーザ別にオブジェクトをグループ化できます。[処理] ペインで [ユーザでグループ化] または [タイプでグループ化] を選択し、表示を変更します。

ユーザ アクセスを変更するには、オブジェクトをハイライトさせ、[アクション] ペインで [ロールの編集] を選択します。[[object type name] のセキュリティ] ダイアログが表示されます。

[[object type name] のセキュリティ] ダイアログには次の2つのタブがあります。

  • 権限: オブジェクトにアクセスするためのグループまたはユーザ権限を追加または削除します。管理コンソールのオブジェクト領域への権限がないグループまたはユーザに権限を割り当てる場合は、警告メッセージが表示されます。

    [はい] をクリックすると、ユーザのログインを許可します。

    オブジェクト タイプのグループまたはユーザに割り当てるセキュリティ ロールを選択します。

    オブジェクト セキュリティ ロールは、[セキュリティ] > [セキュリティ ロール] > [オブジェクト] で作成されます。

  • 所有者: オブジェクトの所有者を変更します。リストから所有者を選択するか、新しいグループまたはユーザを追加します。所有者にはオブジェクトに対するフルコントロールが付与されます。

所有権処理

所有者別グループ : 所有者別にオブジェクトのリストを並べ替えます。

タイプ別グループ: オブジェクト タイプ別にオブジェクトのリストを並べ替えます。

所有権の変更: 現在のオブジェクトの所有権を割り当てたり、変更したりすることができます。

ユーザ アクセス処理

ユーザ別グループ: ユーザ別にオブジェクトのリストを並べ替えます。

タイプ別グループ: オブジェクト タイプ別にオブジェクトのリストを並べ替えます。

削除:ハイライトされたグループとユーザをリストから削除します。

ロールの編集: [{ObjectName} のセキュリティ] ダイアログボックスを開きます。使用可能なセキュリティ ロールのリストで、[許可/拒否] 設定を変更し、現在のオブジェクトの所有者を変更できます。

セキュリティの例

例1

「グループ変更者を拒否」権限のみを持つロールをユーザに割り当てるだけでは、実質的なことは何も達成できません。これは、既定では、ユーザにはグループを変更する権限がないため、拒否すべきサーバ権限もないためです。また、ユーザが所有者となっているオブジェクトは、そのユーザによる変更が依然として可能です。これは、サーバ ロールとオブジェクト ロールが統合されているためです。サーバ ロールがオブジェクト ロールを上書きすることはなく、サーバ ロールは特定のオブジェクトではなくサーバ全体に適用されます。

例2

次の例は、許可と拒否の関係、ならびに割り当てられたグループ ロールと個別ユーザ ロールの関係を示しています。

ある Active Directory グループに「グループ変更者を許可」権限のあるロールが割り当てられています。次に、このグループ内の1ユーザに、「グループ変更者を拒否」権限のあるロールが割り当てられました。結果としては、これらの権限により、明示的に拒否されたその権限を割り当てられた1ユーザを除き、すべてのグループ メンバーはグループを変更することを許可されます。直前の例と同様、そのユーザは、自分が所有しているグループを変更することは依然として可能です。

ユーザのアクセス権の取り消し

アクセス権限の取り消しは、2つの手順からならプロセスであり、アクセス権限をサーバ全体およびオブジェクト レベルで削除する必要があります。

まず、関連のあるサーバ アクセス権をすべてユーザから削除します。次に、関連のあるオブジェクト アクセス権をユーザから削除します (アクセス権の設定は [所有者] ノードと [ユーザ アクセス] ノードにあります)。

セキュリティ ロール

サーバ セキュリティ ロール

サーバ セキュリティ ロールは、管理サーバ全体のグローバル設定です。

定義済みのサーバ セキュリティ ロール

変更者 — グループ、パッケージ、レポート、アラートの編集/変更権限。新しいグループ、パッケージ、レポート、アラートを作成できます。

サーバ管理者: フル権限。オブジェクトの所有者でない場合でも、すべてのオブジェクトを表示し、オブジェクトを追加、編集、削除することができます。このロールは、既定では、管理センター をインストールするユーザに割り当てられ、サーバ管理者権限が有効です。「ロール定義」をご参照ください。

表示: オブジェクトの表示専用権限。 

カスタムサーバ セキュリティ ロール

[処理] パネルから [新しいサーバ ロール] を選択し、新しいロールを定義します。[ロール定義] ダイアログが表示されます。

[ロール定義] ダイアログには、すべてのサーバ ロール権限が一覧表示されます。選択すると、新しいロールに割り当てる権限を有効にします。次の権限を使用できます。

  • サーバ管理者: サーバ管理者ロールが割り当てられています。
  • フェールオーバー サーバ管理者
  • フェールオーバー サーバ表示
  • 配布管理者

次は、使用可能な管理者、作成、変更、表示権限です。

  • グループ
  • セキュリティ
  • パッケージ
  • レポート
  • アラート ルール

例1

管理者がグループの管理を別のユーザに委任する場合は、

次の権限を持つ制限されたグループ管理者ロールを作成できます

  • グループ管理者
  • パッケージ表示者
  • パッケージ作成者
  • レポート表示者
  • アラート ルール表示者
  • 配布管理者

制限された管理者ロールが割り当てられたユーザは次の操作を実行できます。

  • グループの作成、変更、削除、およびコンピュータをこれらのグループに割り当てる。
  • 配布エージェントをコンピュータに配布する。
  • すべてのパッケージを表示し、それらをグループに割り当てることができる。
  • 新しいパッケージを作成し、これらのパッケージを削除できる。
  • 製品レポート。

ただし、ユーザは次の操作を実行できません。

  • 既存のパッケージを削除する。
  • アラートまたはイベントを削除する。
  • レポートを削除または追加する。
  • 自分が作成または追加したオブジェクト以外のオブジェクトのセキュリティを変更する。

例2

製品構成の作成と管理の責任者がいるが、

管理コンソールへのアクセスが必要ではない場合は、管理者が次の権限のパッケージ編集者ロールを作成できます。

  • パッケージ管理者

このロールが割り当てられるユーザは、製品コンソールを使用して、構成を開いたり、編集したり、管理サーバに保存したりすることができます。

オブジェクト セキュリティ ロール

オブジェクト セキュリティ ロールはオブジェクト固有の設定です。

定義済みのオブジェクト セキュリティ ロール

  • 表示: オブジェクトの表示専用権限。
  • 変更: 編集処理を実行する権限。オブジェクトの削除処理は実行できません。
  • フルコントロール: オブジェクトの編集および処理を実行する権限。

サーバ ロールはオブジェクト ロールよりも優先されます。

カスタム オブジェクト セキュリティ ロール

[処理] パネルから [新しいオブジェクト ロール] を選択し、新しいロールを定義します。[ロール定義] ダイアログが表示されます。

[ロール定義] ダイアログには、すべてのオブジェクト ロール権限が一覧表示されます。選択すると、新しいロールに割り当てる権限を有効にします。次の権限を使用できます。

  • フルコントロール
  • セキュリティ
  • 表示
  • 変更
  • 所有権の変更
  • レポート エクスポート
  • コンピュータ割り当て
  • アラート ルール割り当て
  • イベント表示
  • インストール スケジュール変更
  • パッケージ割り当て

管理者がパッケージを特定のグループに割り当てる責任を委任する場合は、次の権限を持つパッケージ マネージャ オブジェクト ロールを作成できます。

  • 表示
  • パッケージ割り当て

ユーザがグループのセキュリティに追加され、パッケージ マネージャ ロールが付与される場合は、ユーザはそのグループの表示のみができます (他の権限が割り当てられていない場合)。グループのすべての設定を表示できますが、変更できるのは、グループに割り当てられたパッケージのみです。

サーバ

  • 新しいサーバ ロール: 新しいサーバ ロールを定義します。
  • プロパティ: ロール詳細を表示します。

オブジェクト

  • 新しいオブジェクト ロール: 新しいオブジェクト ロールを定義します。
  • プロパティ: ロール詳細を表示します。

セキュリティの構成

管理コンソールへのログインが許可されたグループまたはユーザのセキュリティを構成できます。サーバ管理者権限 (フル権限)、変更、または表示権限を付与できます。

  1. ナビゲーション ペインで [セキュリティ] ボタンを選択します。
  2. グループのセキュリティを構成するには、[サーバ権限] ノードを展開し、[グループ] ノードを選択します。
  3. ユーザのセキュリティを構成するには、[サーバ権限] ノードを展開し、[ユーザ] ノードを選択します。
  4. グループまたはユーザを選択します。
  5. [処理] メニューで [ロールの編集] を選択します。[グローバル セキュリティ ロール] ダイアログボックスが表示されます。
  6. 変更、サーバ管理者表示権限を許可するか拒否するかどうかを選択します。
  7. [OK] をクリックします。

管理コンソールへのログインが許可されたグループのセキュリティを構成できます。コンソールの要素のみを表示する権限を付与できます。

  1. ナビゲーション ペインで [セキュリティ] ボタンを選択します。
  2. [サーバ権限] ノードを展開し、[グループ] ノードを選択します。
  3. [処理] メニューで [グループの追加] を選択します。[グループの選択] ダイアログがボックス表示されます。
  4. 表示権限を指定するグループを検索し、[OK] をクリックします。
  5. 作業領域でグループを選択します。
  6. [処理] メニューで [ロールの編集] を選択します。[グローバル セキュリティ ロール] ダイアログボックスが表示されます。
  7. [許可] 列で [表示] オプションを選択します。
  8. [拒否] 列で [変更] および [サーバ管理者] オプションを選択します。

  9. [OK] をクリックします。

管理コンソールへのログインが許可されたユーザのセキュリティを構成できます。特定の配布グループのみにアクセスするグループまたはユーザに権限を付与できます。

  1. ナビゲーション ペインで [セキュリティ] ボタンを選択します。
  2. [サーバ権限] ノードを展開し、[ユーザ] ノードを選択します。
  3. [処理] メニューで [ユーザの追加] をクリックします。[ユーザの選択] ダイアログがボックス表示されます。
  4. 特定の配布グループへのアクセスを付与するユーザを検索し、[OK] をクリックします。
  5. ナビゲーション ペインで [ホーム] ボタンを選択します。
  6. [サーバ] > [配布グループ] ノードに移動します。
  7. アクセスを提供する配布グループを選択します。
  8. [処理] パネルで [セキュリティ] を選択します。[[配布グループ] のセキュリティ ダイアログボックスが表示されます。
  9. [権限] タブを選択し、[追加] をクリックします。[ユーザまたはグループの選択] グループダイアログがボックス表示されます。
  10. 手順4で指定したユーザを検索し、[OK] をクリックします。
  11. [ロール] 領域の[許可] 列で [表示][変更][フルコントロール] オプションを選択します。
  12. [OK] をクリックします。

関連トピック

配布グループ

パッケージ

アラート

レポート