リモート ツールに対してアクセス許可のあるビューア アカウントについて
適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
アクセス許可のあるユーザーとは、実際に名前とパスワードを使用して構成されたアカウントではなく、クライアントでの Microsoft System Center Configuration Manager 2007 リモート ツール機能の使用を許可されたユーザーの一覧です。たとえば、ヘルプ デスク担当者であるユーザーを指定できます。
必要な権限とアクセス許可
[アクセス許可のあるユーザー] 一覧にあるアカウントには、そのアカウントが制御するコレクションに対するリモート ツールの使用権限も必要です。
ユーザーを [アクセス許可のあるユーザー] 一覧に追加すると、そのユーザーは ConfigMgr リモート コントロール ユーザー グループに自動的に追加されて、Windows XP、Windows Server 2003、および Windows Vista を実行するコンピュータでリモート コントロールを使用するために必要な権限が付与されます。アクセス許可のあるユーザーには、Windows 2000 クライアントでは追加の権限は必要ありません。アクセス許可のあるユーザーには、制御するコンピュータに対する管理アクセス権は必要ありません。
アカウントとパスワードの作成
通常は、クライアント コンピュータでリモート コントロール機能を使用する必要がある既存のアカウントを一覧に追加します。
アカウントの場所
アカウントはどこにでも作成できます。
アカウントの保守
保守は必要ありません。このアカウントのパスワード情報は Configuration Manager 2007 に保存されません。
セキュリティの運用方法
知識や意欲がある攻撃者には、コレクションに対するリモート ツールの使用権限を回避することは簡単です。手口としては、本物の階層に含まれない Configuration Manager 2007 サイトを設定し、攻撃先のクライアントのリソース レコードを作成したうえで、それらのリソースに対するリモート ツールの使用権限を自分に付与します。また、Remote.exe コマンドを使用して、リモート ツール セッションを作成することもできます。Remote.exe では、コマンド ラインで指定しない限り、アクセス許可のあるユーザーのデータベースをチェックしないからです。
重要
リモート ツールのコレクション セキュリティは企業の便宜を図るツールであり、セキュリティ ツールとして考えないでください。
[アクセス許可のあるユーザー] の一覧に含まれているローカル グループのメンバになっているグローバル グループのメンバは列挙されません。したがって、グローバル グループのメンバは、ローカル グループにネストされているときは、アクセス許可を付与されません。混乱を避けるために、[アクセス許可のあるユーザー] 一覧にすべてのグローバル グループを明示的に指定します。
ユーザーがクライアントのリストで認証され、サイト サーバーがクライアントとして同じドメインにアクセスできないことがあるため、[アクセス許可のあるユーザー]の一覧は意図的に両義的になっています。このため、[アクセス許可のあるユーザー] 一覧には、アカウントのドメインを指定せずにアカウント名を入力できます。ただし、一覧はクライアント側で消去する必要があります。このため、[アクセス許可のあるユーザー] 一覧には、「ドメイン\アカウント」の形式でアカウント名を入力し、クライアント側であいまいさが発生する可能性を排除することをお勧めします。