Configuration Manager のオブジェクト セキュリティおよび WMI の概要
適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
WMI セキュリティ
Microsoft System Center Configuration Manager 2007 は、Windows Management Instrumentation (WMI) に完全に依拠しています。WMI とは、Web Based Enterprise Management (WBEM) の Microsoft 版の実装形態です。Win32、WMI、Desktop Management Interface (DMI)、SNMP など、さまざまな技術からデータにアクセスすることを可能にする統一アーキテクチャです。WBEM は、Common Information Model (CIM) スキーマに基づいています。これは Desktop Management Task Force によって推進された業界標準です。WMI は管理オブジェクト フォーマット (MOF) ファイルを使用して、CIM リポジトリに読み込む情報を決定します。また、WMI は CIM リポジトリへのアクセスにプロバイダを使用します。
実際には、WBEM は、システムが収集する情報を定義するための標準的な方法 (MOF)、情報を表現するための標準的な方法 (CIM)、および収集した情報にアクセスするための標準的な方法を提供します。たとえば、Windows オペレーティング システムの WMI は、レジストリ (レジストリ プロバイダを使用) および Configuration Manager 2007 ハードウェア インベントリ (SMS プロバイダを使用) から、パフォーマンス情報を収集 (パフォーマンス モニタ プロバイダを使用) し、それらすべてを CIM リポジトリに格納することができます。この情報は、Configuration Manager 2007 コンソールを使用して表示できます (SMS プロバイダを使用)。
ただし、CIM リポジトリへのアクセスは、WMI アクセス許可によって制御されています。既定では、ローカルの管理者アカウントおよびローカルの Administrators グループに、リモート アクセスを含むすべての操作の権限が与えられています。WMI を使用して、一部のユーザーのアクセスを読み取り専用操作に限定するなど、名前空間操作に対するグローバル アクセス許可を制御できます。[コンピュータの管理] 管理ツールから利用できる WMI コントロールを使用して、WMI セキュリティを管理できます。Configuration Manager 2007 をインストールするときに、SMS プロバイダを実行するコンピュータを指定します。Configuration Manager 2007 はそのコンピュータに SMS Admins グループを作成します。SMS プロバイダがリモート コンピュータにある場合はサイト サーバーにも作成されます。SMS Admins グループには、SMS プロバイダにアクセスするために必要なアクセス許可が割り当てられます。詳細については、「SMS Admins グループについて」を参照してください。
Configuration Manager オブジェクト セキュリティ
Configuration Manager 2007 自体によってセキュリティが適用されるのは、SMS プロバイダから Configuration Manager 2007 オブジェクトにアクセスする場合だけです。たとえば、SQL 管理者によってサイト データベースのテーブルに対する直接的な権限を与えられているユーザーは、割り当てられている Configuration Manager 2007 オブジェクト セキュリティに関係なく、その権限の範囲で任意の操作を実行できます。
重要
サイト データベースへの直接アクセスはサポートされていないため、サイトの動作が停止するような変更が行われる可能性があります。
オブジェクト アクセスは、ユーザーまたはグループ アカウントを通じて付与されます。グループ メンバシップは、グループ メンバがオブジェクトへのアクセスを試みたときに列挙されます。オブジェクトのクラス全体 (全パッケージ、全サイト、全コレクション)、またはオブジェクトの特定のインスタンス ("Office 2007" パッケージ」、"NYC" 子サイト、"Computers in Building 44" コレクション) に権限を付与することができます。クラスによっては、インスタンスに権限を付与できない場合もあります。たとえば、ステータス メッセージの数は非常に多いため、個々のステータス メッセージにインスタンスのアクセス許可を与えるのは現実的ではありません。したがって、ステータス メッセージにはクラス権限しかありません。Configuration Manager 2007 のクラスおよびインスタンスのアクセス許可の完全なリストについては、Configuration Manager ドキュメント ライブラリのテクニカル リファレンス セクションの「Configuration Manager のオブジェクト セキュリティのクラスとインスタンス」を参照してください。
既定のオブジェクト セキュリティ
既定では、Configuration Manager 2007 コンソールのすべてのオブジェクトに対する権限を持つユーザーは、Configuration Manager 2007 セットアップの実行に使用したユーザー アカウント (Configuration Manager インストール アカウント) とローカル システム アカウントのみです。その他のユーザーは、明示的に追加して、Configuration Manager 2007 オブジェクトへのアクセス許可を付与する必要があります。また、ユーザーが SMS Admins のメンバでない場合は、WMI アクセス許可を付与する必要があります。WMI アクセス許可がないユーザーは、Configuration Manager 2007 コンソールを実行できません。オブジェクト権限がない場合、セキュリティ権限とツール以外で Configuration Manager 2007 コンソールを実行できるユーザーが表示できるのは、上位のノードのみになります。ユーザーはセキュリティ権限以外のデータを表示できず、セキュリティ権限を操作することもできません。
注意
サイトを以前のバージョンからアップグレードした場合、すべてのオブジェクトに対する完全な権限を持っていたアカウントであっても、明示的に権限を付与しない限り、新しい種類のオブジェクトに対する権限はありません。たとえば、ソフトウェアの更新の管理者がすべての Configuration Manager 2007 オブジェクトに対する完全な権限を持っていた場合、ソフトウェアの更新の管理者がアップグレードを実行したユーザーでない限り、ソフトウェアの更新の管理者には、Configuration Manager 2007 の新しい展開オブジェクトに対する権限は一切ありません。
オブジェクトの種類ごとに、クラス レベルの管理権限を持つアカウントが少なくとも 1 つ必要です。これにより、管理者が Configuration Manager 2007 システムからロックアウトされることを防止できます。したがって、特定のオブジェクトの種類に対して管理権限のある最後のユーザーを削除することはできません。また、特定のオブジェクトに対する自らの管理権限を削除することもできません。
オブジェクトのインスタンスを作成したユーザーには、そのインスタンスに対する読み取り、変更、および削除権限が自動的に割り当てられます。
権限の累積について
Configuration Manager 2007 のオブジェクト権限は累積的です。たとえば、あるユーザーが 1 つのコレクション ("すべてのシステム" など) に対する読み取り権限と、別のコレクション ("コレクション A") に対するリモート ツールの使用権限を持っている場合、そのユーザーは、両方のコレクションのメンバであるすべてのシステムに対して、読み取り権限とリモート ツールの使用権限を持つことになります。ユーザーは、"すべてのシステム" コレクションのリソースを表示することができます。また、そのリソースが "コレクション A" コレクションにも含まれていれば、そのリソースでリモート ツールを使用することができます。リソースが "コレクション A" コレクションに含まれていない場合、ユーザーはそのリソースでリモート ツールを使用することはできません。"すべてのシステム" コレクションではユーザーにリモート ツール権限がなくても、"すべてのシステム" コレクションのすべてのコンピュータに対するリモート ツールの使用が拒否されるとは限りません。ユーザーが "すべてのシステム" コレクションのコンピュータに対するリモート ツールの使用を拒否されるのは、そのコンピュータを含む他のすべてのコレクションにリモート ツールの使用権限がない場合だけです。
Configuration Manager 2007 の権限は累積的なので、ユーザーに、あるセキュリティ オブジェクトに対するクラス セキュリティ権限と、それと対立する特定のセキュリティ オブジェクトに対するインスタンス セキュリティ権限を与えると、Configuration Manager 2007 では、クラス セキュリティ権限とインスタンス セキュリティ権限が調整され、最高レベルのアクセス許可がユーザーに付与されます。たとえば、ユーザーにクラス レベルですべてのパッケージに対するすべての権限と、インスタンス レベルで特定のパッケージに対する読み取り権限を与えた場合、そのユーザーに与えられる実質的な権限は、読み取りを設定した特定のパッケージを含め、すべてのパッケージに対するすべての権限になります。
オブジェクト セキュリティを使用した役割ベースのセキュリティの実装
組織のユーザー グループに権限を付与することで、オブジェクトに対するアクセス許可を与え、特定のニーズに対応することができます。たとえば、ヘルプ デスク技術者のユーザー グループがある場合、そのグループにコレクションに対するリモート ツール使用権限を付与することができます。Configuration Manager 2007 管理者でないユーザーがクライアントから収集されたインベントリの表示とクエリを実行する必要がある場合、コレクションに対するリソース読み取り権限に加え、コレクションとクエリに対する読み取り権限をこれらのユーザーに付与することができます。
管理者と委任
コレクションや提供情報などのオブジェクトを作成するときに、他のユーザー (またはグループ) にオブジェクトの使用または管理を許可したい場合があります。これはユーザーにクラス レベルの管理権限があれば可能ですが、そうするとその種類のオブジェクトのインスタンスに対するあらゆる操作を許可することになります。この場合、ユーザーにクラス レベルの委任権限を与える方が適切です。この権限は、自分で作成したオブジェクトに対する権限をユーザーまたはグループに付与できるようにします。ただし、ユーザーが権限を付与できるのは、インスタンス レベルで明示的に付与された権限に限られ、グループのメンバシップまたはクラス レベルを通じて付与された権限を与えることはできません。
たとえば、ユーザーにコレクションに対するクラス レベルの作成および委任権限があるとします。このユーザーには、"すべての Windows XP システム" コレクションに対するインスタンス レベルの読み取り、リソースの読み取り、提供権限もあります。このユーザーは、"すべての Windows XP システム" コレクションのメンバシップに基づいて、新しいコレクションを作成することができます。ユーザーが新しいコレクションに対する読み取りおよびリソースの読み取り権限を別のグループに付与すれば (作成および委任権限の付与は不可能)、そのグループのメンバは新しいコレクションを表示できるようになります。
注意
各管理者にアクセス許可を付与する際は、クラス レベルのアクセス許可が必要な特別な場合を除き、インスタンス レベルで十分注意して行ってください。各管理者が管理するリソースのコレクションを作成し、そのコレクションに対するアクセス許可のみを与えるようにします。その結果、各管理者が表示できるのは、アクセスが許可されたセキュリティ オブジェクトのみになります。
コレクションおよびクエリにおけるリソースの表示
コレクションに設定した権限が、Configuration Manager 2007 コンソールの他のノードのタスクを実行する能力に影響を与えることがあります。たとえば、コレクションでのオブジェクト読み取りセキュリティ権限を付与すると、ユーザーはそのコレクションを表示できるだけでなく、そのコレクション内のリソースも表示できるようになります。ユーザーはリソースのプロパティを表示して、リソース エクスプローラを起動できますが、リソース エクスプローラ グループの値を表示することはできません。そのレベルの詳細な情報を表示するには、リソース読み取り権限も必要になります。コンピュータ リソースをさらに詳細に管理できるようにするには、ユーザーにリモート ツールの使用権限または収集ファイルの表示権限を与えます。リソースをコレクションのメンバにしているコレクション規則を削除するだけでなく、Configuration Manager 2007 からリソースを完全に削除するには、ユーザーにリソースの削除権限が必要になります。
クエリを通じてリソースを管理することができますが、クエリに対する読み取り権限は、単にクエリを表示し実行する権限を付与するだけです。クエリ結果ウィンドウのリソースを表示し、リソースを管理する権限は、そのリソースが含まれるコレクションに設定された権限によって付与されます。
サイトの保守に関連する権限
Configuration Manager 2007 コンソールの各サイトの [サイト設定] ノードの下で、サイト データベースを管理するためのサイト保守 Microsoft SQL Server コマンドを作成することができます。これらのコマンドにはサイト データベース内での完全な権限が与えられ、データとデータベースに対するあらゆる操作が可能です。この強力な機能の悪用を防ぐには、サイト クラスの SQL コマンドの管理インスタンスの付与を、この権限を必要とする上級管理者に限定する必要があります。
注意
SQL コマンドの追加、削除、または変更を行うには、サイト オブジェクトに対する変更権限を持っている必要があります。
ソフトウェア メータリングに関連する権限
主要なソフトウェア メータリング タスクの 1 つは、ソフトウェア メータリング規則の作成です。ソフトウェア メータリング規則は、規則を作成したサイトだけでなく、そのサイトの子サイトにも適用されます。ソフトウェア メータリング規則を管理するには、Configuration Manager 2007 管理者に適切なソフトウェア メータリング規則オブジェクトのセキュリティ権限が必要です。これらの規則をサイトに適用するには、管理者にサイト クラスのメータリング インスタンス権限、またはクラス レベルのメータリング権限も必要になります。後者の場合、規則は配布先のすべてのサイトに適用されます。ここで関係するメータリング権限は、規則を作成したサイトの権限であり、規則の配布先のサイトの権限ではありません。
ソフトウェアの更新
テンプレートまたは展開にソフトウェアの更新を追加するには、ドラッグ アンド ドロップを使用するか、[操作] メニューを使用します。実行には次の権限が必要です。
| 読み取り | 配布 | 作成 | 提供 | |
|---|---|---|---|---|
構成項目 |
X |
X |
|
|
コレクション |
X |
|
|
X |
展開パッケージ |
X |
X |
|
|
展開テンプレート |
X |
|
|
|
展開 |
X |
|
X |
|
サイト |
X |
|
|
|
ソフトウェアの配布に関連する権限
提供情報にはパッケージとコレクションが関わるため、提供情報の作成には次の権限が必要です。
提供情報を受け取るコレクションに対する読み取り権限
提供情報を受け取るコレクションに対する提供権限
SCCM プログラム ウィザードを含むパッケージに対する読み取り権限
提供情報の削除には次の権限が必要です。
提供情報に対する削除権限
提供情報を受け取るコレクションに対する提供権限
SCCM プログラム ウィザードを含むパッケージに対する読み取り権限
オペレーティング システムの展開
一部のオペレーティング システム展開タスクでは、パッケージ、コレクション、提供情報、およびサイト オブジェクトにアクセスする必要があります。
| オブジェクト | 作成するための権限 | 変更するための権限 | 削除するための権限 | 配布するための権限 |
|---|---|---|---|---|
ブート イメージ |
作成 \ ブート イメージ パッケージ、読み取り \ ブート イメージ パッケージ |
変更 \ ブート イメージ パッケージ、読み取り \ ブート イメージ パッケージ |
削除 \ ブート イメージ パッケージ、読み取り \ ブート イメージ パッケージ |
読み取り \ ブート イメージ パッケージ、変更 \ ブート イメージ パッケージ、配布 \ ブート イメージ パッケージ、読み取り \ サイト |
コンピュータの関連付け |
作成 \ コンピュータの関連付け、読み取り \ コンピュータの関連付け、読み取り \ コレクション |
変更 \ コンピュータの関連付け、読み取り \ コンピュータの関連付け |
削除 \ コンピュータの関連付け、読み取り \ コンピュータの関連付け |
該当なし |
オペレーティング システム イメージ |
作成 \ OS イメージ、読み取り \ OS イメージ |
変更 \ OS イメージ、読み取り \ OS イメージ |
削除 \ OS イメージ、読み取り \ OS イメージ |
変更 \ OS イメージ、読み取り \ OS イメージ、配布 \ OS イメージ、読み取り \ サイト |
オペレーティング システム インストール パッケージ |
作成 \ OS インストール パッケージ、読み取り \ OS インストール パッケージ |
変更 \ OS インストール パッケージ、読み取り \ OS インストール パッケージ |
削除 \ OS インストール パッケージ、読み取り \ OS インストール パッケージ |
変更 \ OS インストール パッケージ、読み取り \ OS インストール パッケージ、配布 \ OS インストール パッケージ、読み取り \ サイト |
タスク シーケンス |
作成 \ タスク シーケンス パッケージ、読み取り \ タスク シーケンス パッケージ、変更 \ タスク シーケンス パッケージ |
変更 \ タスク シーケンス パッケージ、読み取り \ タスク シーケンス パッケージ |
削除 \ タスク シーケンス パッケージ、読み取り \ タスク シーケンス パッケージ |
変更 \ タスク シーケンス パッケージ、読み取り \ タスク シーケンス パッケージ、配布 \ タスク シーケンス パッケージ、読み取り \ サイト |
提供情報 (タスク シーケンス用) |
読み取り \ タスク シーケンス パッケージ、読み取り \ コレクション、提供 \ コレクション、読み取り \ パッケージ、作成 \ 提供情報 |
変更 \ 提供情報、読み取り \ 提供情報 |
削除 \ 提供情報、読み取り \ 提供情報 |
該当なし |
タスク シーケンスの起動可能なメディア |
読み取り \ タスク シーケンス パッケージ、タスク シーケンス メディアの作成 \ タスク シーケンス パッケージ、読み取り \ サイト、OSD および ISV プロキシ証明書の管理 \ サイト、読み取り \ ブート イメージ |
変更 \ タスク シーケンス パッケージ、読み取り \ タスク シーケンス パッケージ |
削除 \ タスク シーケンス パッケージ、読み取り \ タスク シーケンス パッケージ |
該当なし |
ドライバ |
作成 \ デバイス ドライバ、読み取り \ デバイス ドライバ |
変更 \ デバイス ドライバ、読み取り \ デバイス ドライバ |
削除 \ デバイス ドライバ、読み取り \ デバイス ドライバ |
該当なし |
ドライバ パッケージ |
作成 \ ドライバ パッケージ、読み取り \ ドライバ パッケージ |
変更 \ ドライバ パッケージ、読み取り \ ドライバ パッケージ、配布 \ ドライバ パッケージ |
削除 \ ドライバ パッケージ、読み取り \ ドライバ パッケージ |
該当なし |
注意
タスク シーケンスでソフトウェアの配布パッケージまたは OS イメージが必要な場合は、Configuration Manager 2007 は、配布するパッケージのインスタンスだけではなく、パッケージ クラスを読み取る必要があります。
ユーザーが十分な権限を持っていない場合でも、一部の操作は表示される場合があります。たとえば、ブート イメージ パッケージ クラスのオブジェクトを作成する権限を持っていない場合でも、ユーザーはインポート プロセスを開始することができます。ただし、ウィザードは、権限が不十分であるために失敗します。
Service Manager
Configuration Manager 2007 Service Manager で次のタスクを実行するには、プライマリ サイト オブジェクトに対する管理権限が必要です。
サービスのクエリ
サービスの停止
サービスの開始
サービス ログの構成
セカンダリ サイトでこれらのタスクを実行するには、ローカルの Administrators グループのメンバである必要があります。
その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.