次の方法で共有

Configuration Manager アカウント セキュリティのチェックリスト

  • [アーティクル]

適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Microsoft System Center Configuration Manager 2007 でエラーが発生する場合、原因としてよくあるのは、セキュリティのアクセス権が正しく構成されていないことです。次のチェックリストは、Configuration Manager 2007 用の正しいアカウントおよびグループ構成があることを確認するのに役立ちます。

アカウントのチェックリスト

確認 [詳細]

次のサイトの役割のためのコンピュータ アカウントが、サイト システムとサイト サーバー間の接続グループに追加されていることを確認します。

  • フォールバック ステータス ポイント

  • 管理ポイント

  • PXE サービス ポイント

  • サイト データベース サーバー (リモート コンピュータの場合)

  • SMS プロバイダ コンピュータ

  • ソフトウェアの更新ポイント

  • 状態移行ポイント

  • システム正常性検証ツール ポイント

サイト システムの役割のドメインとサイト サーバーのドメイン間に信頼関係が存在しない場合は、これらのアカウントをサイト システムとサイト サーバー間の接続グループに追加することはできません。この場合は、サイト システムのプロパティの[全般]タブにあるサイト システム設定[サイト サーバが開始した、このサイト システムからのデータ転送のみを許可する]を構成する必要があります。これにより、サイト サーバーは、サイト サーバーにサイト システムの役割をプッシュして戻すのではなく、サイトの役割からデータをプルするように構成されます。詳細については、「サイト システムとサイト サーバー間の接続グループについて」を参照してください。

すべてのサイトに、サイト間通信用に構成されたアカウントがあることを確認します (階層内にサイトが複数ある場合)。

サイト サーバーが同じフォレストにある場合は、サイト間通信にサイト サーバーの computer$ アカウントを使用する必要があります。

サイト サーバーが別のフォレストにある場合は、信頼関係が存在する場合でも、サイト アドレス アカウントを使用します。

どちらのアカウントを使用する場合でも、このアカウントがサイト間の接続グループのメンバであることを確認します。

子サイトは親サイトのみに送信を行いますが、親サイトは子サイトまたは孫サイトとの通信を開始する可能性があり、孫サイトのサイト間の接続グループにメンバシップが必要です。

ドメイン ユーザー アカウントをサイト アドレス アカウントとして指定した後に、コンピュータ アカウントをサイト アドレス アカウントとして使用する場合は、アドレスを削除し、再度作成する必要があります。ユーザー アカウントから computername$ アカウントに切り替えるときは、アカウント名を変更するだけでは不十分です。

詳細については、「サイト アドレス アカウントについて」を参照してください。

サイト システムの次の役割のために、サイト サーバーのコンピュータ アカウントがローカルの Administrators グループに追加されていることを確認します。

  • [配布ポイント]

  • フォールバック ステータス ポイント

  • 管理ポイント

  • PXE サービス ポイント

  • レポート ポイント

  • サーバー ロケータ ポイント

  • [サイト データベース サーバー]

  • SMS プロバイダ コンピュータ

  • ソフトウェアの更新ポイント

  • 状態移行ポイント

  • システム正常性検証ツール ポイント

すべてのコンピュータが同じフォレストにある場合は、サイト サーバーの computer$ アカウントをそれぞれのローカルの Administrators グループに手動で追加する必要があります。コンピュータをサイト システムとして構成する前に、この手順を完了する必要があります。

サイト システムがサイト サーバーとは別のフォレストにある場合は、サイト システムのプロパティでサイト システムのインストール アカウントを構成し、サイト システムのインストール アカウントをそれぞれのローカルの Administrators グループに追加します。詳細については、「サイト システムのインストール アカウントについて」を参照してください。

データベース接続アカウントを使用する必要がある場合は、それらを手動で SQL の役割に追加します。

  • 管理ポイント :smsdbrole_MP

  • サーバー ロケータ ポイント :smsdbrole_SLP

  • PXE サービス ポイント :smsdbrole_PSP

既定では、 Configuration Manager 2007 は、サイト システムの computer$ アカウントを使用してサイト データベースに接続し、その computer$ アカウントをデータベース上の対応する SQL Server ロールに自動的に追加します。接続アカウントを作成した場合は、アカウントは対応する役割に自動的に追加されません。

詳細については、「管理ポイント データベースの接続アカウントについて」、「PXE サービス ポイント データベースの接続アカウントについて」、および「サーバー ロケータ ポイント データベースの接続アカウントについて」を参照してください。

Active Directory スキーマを拡張している場合は、サイト サーバー コンピュータ アカウントに、Active Directory ドメイン サービス内で発行するためのアクセス許可を付与します。

詳細については、「Active Directory ドメイン サービスの System Management コンテナにセキュリティを設定する方法」を参照してください。

必要な IIS アカウントが有効になっていること、およびそれらのアカウントが、IIS を必要とするすべてのサイト システムに対して既定のアクセス許可を持っていることを確認します。

Configuration Manager 2007 は、インターネット ゲスト アカウントおよび IIS ワーカー プロセス グループを必要とします。これらのアカウントが無効になっている場合、または既定の権限およびアクセス許可が制限されている場合、Configuration Manager 2007 のサイトの役割は正しく機能しない可能性があります。詳細については、「Configuration Manager のインターネット ゲスト アカウントについて」および「Configuration Manager の IIS ワーカー プロセス グループについて」を参照してください。

SMS 管理グループに適切なユーザーが追加されていることを確認します。

SMS 管理グループへのアクセスを可能な限り少ないメンバに限定します。ただし、ユーザーは、Configuration Manager 2007 コンソールにアクセスする必要がある場合、コンソール内のオブジェクトにアクセスする権限を持つために、このグループのメンバである必要があります。ユーザーにオブジェクトを管理する権限を付与しても、そのユーザーが SMS 管理グループに属していない場合、そのユーザーはオブジェクトにアクセスできません。詳細については、「SMS Admins グループについて」を参照してください。

ユーザーがレポートのみにアクセスする必要があり、Configuration Manager 2007 コンソールにアクセスする必要がない場合は、そのユーザーをレポート ユーザーに追加します。

レポート ユーザーは、Configuration Manager 2007 レポート Web サイトへのアクセスを制御します。レポート ユーザーはローカルのグループであるため、複数のレポート ポイントにアクセスする必要がある場合は、ユーザーを各レポート ポイントに個別に追加する必要があります。詳細については、「レポート ユーザー グループについて」を参照してください。

ユーザー グループからインターネット ゲスト アカウントを削除した場合や、パッケージ アクセス アカウントとして使用されているユーザー グループを削除した場合は、インターネット ゲスト アカウントを明示的にパッケージ アクセス アカウントとして追加します。このパッケージ アクセス アカウントには、パッケージへのアクセスに必要なすべてのアクセス許可が必要です。

インターネット ゲスト アカウント IUSR_<コンピュータ名> は、Microsoft System Center Configuration Manager 2007 クライアントが Windows 認証を使用せずにコンテンツにアクセスする際に、BITS 対応の配布ポイントへのアクセスに使用されています。詳細については、「Configuration Manager のインターネット ゲスト アカウントについて」を参照してください。

SMS 2003 からアップグレードした場合は、管理者に Configuration Manager 2007 の新しいオブジェクトへのアクセス許可があることを確認します。

新規インストールの後、このアカウントは Configuration Manager 2007 コンソールに対する権限を持つ唯一のユーザー アカウントになります。前のバージョンからアップグレードする場合、他の管理者はコンソールに対する既存の権限を保持していますが、新しいオブジェクトに対する新しい権限が自動的に付与されることはありません。詳細については、「オブジェクトの権利をユーザーとグループに割り当てる方法」を参照してください。

リモートの Configuration Manager コンソールを使用する管理者は、サイト サーバー コンピュータおよび SMS プロバイダ コンピュータの両方で、リモートからアクティブ化するための DCOM アクセス許可があることを確認します。

詳細については、「Configuration Manager コンソール接続に対する DCOM アクセス許可の構成方法」を参照してください。

各アカウントが、可能な限り少ないアクセス許可を使用していることを確認します。

詳細については、「Configuration Manager のアカウントとグループ」を参照してください。

アカウントについて推奨するセキュリティ運用方法

ユーザーは、直接 ConfigMgr リモート コントロール ユーザー グループに追加するのではなく、アクセス許可のあるユーザーの一覧に追加します。

セットアップ後、Configuration Manager 2007 の権限を Configuration Manager のインストールで使用するアカウントから削除する必要がある場合は、その権限をまず別のアカウントに追加します。

すべての Configuration Manager 2007 オブジェクトに対してフル アクセス権限を持つユーザーを、常に最低 1 人は用意してください。

Configuration Manager 2007 の管理を実施するユーザーに対して、最小限の Configuration Manager 2007 セキュリティ権限を割り当てます。可能な場合は、常に役割の分離を行ってください。

信頼された管理者に対する防御策は存在しないため、Configuration Manager 2007 コンソールにアクセスするユーザーを厳重に監視してください。

ローカル システムの代わりにドメイン ユーザー アカウントで実行するように SQL Server を構成してください。

ソフトウェアの承認されたインストーラのみが配布ポイントのファイルにアクセスできるように、パッケージ アクセス許可を構成します。

Configuration Manager 2007 のユーザーまたはコンピュータ アカウントを Domain Admins グループに追加しないでください。

次のサーバーの役割をホストするサーバーを、サイト システムとサイト サーバー間の接続グループに追加しないでください。

  • レポート ポイント

  • サーバー ロケータ ポイント

  • 配布ポイント

Configuration Manager 2007 サービスの[スタートアップの種類]と[ログオン]の設定を変更しないでください。

クライアント プッシュ インストール アカウントにはローカルにログオンする権限を付与しないでください。

次のアカウントに対話型ログオン権限を付与しないでください。

  • 正常性状態の参照のクエリ アカウント

  • PXE サービス ポイント データベース接続アカウント

  • 管理ポイントのデータベース接続アカウント

  • サーバー ロケータ ポイントのデータベース接続アカウント

  • ネットワーク アクセス アカウント

  • オペレーティング システム イメージのキャプチャ アカウント

  • タスク シーケンス エディタのドメイン参加アカウント

  • タスク シーケンス エディタのネットワーク フォルダの接続アカウント

コンピュータをドメインに参加させる権限を、ネットワーク アクセス アカウントに付与しないでください。

Configuration Manager 2007 で作成した SQL Server の役割およびアクセス許可を変更しないでください。

ローカル システム、ローカル サービス、および ネットワーク サービスから権限とアクセス許可を削除しないでください。

インターネット ゲスト アカウントおよび IIS ワーカー プロセス グループが Configuration Manager 2007 リソースへのアクセスに使用する既定のアクセス許可を削除しないでください。

次のいずれかのアカウントにネットワーク アクセス アカウントを使用しないでください。

  • パッケージ アクセス アカウント

  • タスク シーケンス エディタのドメイン参加アカウント

  • オペレーティング システム イメージのキャプチャ アカウント

  • タスク シーケンス エディタのネットワーク フォルダの接続アカウント

正常性状態の参照の公開アカウントと、正常性状態の参照のクエリ アカウントに、同じアカウントを使用しないでください。正常性状態の参照のクエリ アカウントには、読み取りアクセス許可以外は必要ありません。

[アクセス許可のあるユーザー]一覧には、「ドメイン\アカウント」の形式でアカウント名を入力し、クライアント側であいまいさが発生する可能性を排除します。

[アクセス許可のあるユーザー]一覧にすべてのグローバル グループを明示的に指定します。

可能な場合は、これらのアカウントを作成する代わりに、サイト サーバーの computer$ アカウントを使用します。

  • サーバー ロケータ ポイントのデータベース接続アカウント

  • PXE サービス ポイント データベース接続アカウント

  • 管理ポイントのデータベース接続アカウント

  • サイト アドレス アカウント

  • サイト システムのインストール アカウント

  • ソフトウェアの更新ポイントの接続アカウント

次のアカウントを作成する場合は、SQL Server が動作しているコンピュータのローカル アカウントとして作成します。

  • サーバー ロケータ ポイントのデータベース接続アカウント

  • PXE サービス ポイント データベース接続アカウント

  • 管理ポイントのデータベース接続アカウント

リモート ツールを無効にした場合は、手動で ConfigMgr リモート コントロール ユーザー グループを削除します。

ドメイン コントローラが多数あり、アカウントをドメイン間で使用する場合は、Configuration Manager 2007 コンソールでアカウントを構成する前に、アカウントがレプリケートされたことを確認します。

タスク シーケンス用のアカウントが必要な場合は、必要なネットワーク リソースにアクセスするために最小限必要なアクセス許可を持つドメイン ユーザー アカウントを 1 つ作成し、すべてのタスク シーケンス アカウントに対して使用します。

クライアント プッシュ インストール アカウントを使用する場合は、グループ ポリシー オブジェクトを作成してローカルの Administrators グループに追加します。

サイト サーバーおよびサイト システムで、ローカル システム アカウントを使用する他のサービスをインストールせずにローカル システム アカウントの使用を最小限に抑えます。

サーバーがメンバシップを必要とするサーバーの役割をホストしなくなった場合は、速やかにサイト システムとサイト サーバー間の接続グループからそのサーバーを削除してください。

最初にパッケージを作成するときに、パッケージ アクセス許可を設定します。

クライアント プッシュ インストール アカウントが侵害されるリスクを軽減するために、ソフトウェアの更新ポイントのクライアント インストール、グループ ポリシー ベースのインストール、イメージングなどの別のクライアント インストール方式を使用してください。

すべてのユーザー アカウントには、複雑なパスワードを使用してください。

サイト アドレス アカウントには、RAS センダの電話帳アカウントと同じアカウントを使用してください。

参照:

その他のリソース

Configuration Manager のアカウントとグループ
Configuration Manager のセキュリティのチェックリスト

その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.