none
ユーザーにAdmin権限を使わせない場合の社内運用について RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    こんにちは、

    セキュリティ対策の一環として、

    ユーザーにAdministrator権限を与えない運用にシフトしています。

    その場合IPの変更やアプリのインストール等をユーザー側で行えないと思うのですが、

    一般的にはどのような運用でカバーされているのでしょうか?

    現状システム管理者が常駐出来ないため、業務に支障が出ます。

    ADのセキュリティーグループに管理者を追加し、

    セキュリティーグループをローカルのAdministratorに追加する事を検討しましたが、

    ネットワークが繋がっていないとログインが出来ないという結論になりました。

    運用実績がある方よりアドバイス頂けますと幸いです。

    また説明が不足している点はご指摘頂けますと幸いです。

    宜しくお願い致します。


    2015年10月15日 6:57
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    Administrator権限でログインする必要があるのは部署の管理者だけということであれば、ADに権限を持ったユーザーを作成して、

    作業の都度、パスワードを発行して通知するとかでしょうか。実際そういった運用をされているお客様がいました。

    その権限で充足するかについては環境にもよりますので、十分に検証されることをお勧めします。

    • 回答の候補に設定 佐伯玲 2015年10月19日 1:44
    • 回答としてマーク 佐伯玲 2015年10月23日 8:09
    2015年10月16日 6:46
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    まず、運用についてですが、質問者さんの社内で規定されたルールといった要素も考慮に入れる必要があるように思いますので、こういった無償掲示板で、有効な情報が差し上げられるとは思いづらい、という感触があります。ほんとうにきちんと決めたい、ということであれば、コンサルティングを受けるといったことを、オススメします。

    技術的な話しに限定するなら、ローカルAdministratorをそのまま使っても、クライアントのアプリケーションインストールや、設定の変更は、全く問題なく行えます。実際にクライアントのキッティング作業は、ローカルアカウントで行われることがほとんどだと思います。

    パスワードの漏洩が怖い、ということであれば、スクリプトで定期的にローカルAdministratorのパスワードだけ変更を行い、必要なメンバーにだけ知らせる、という方法もあるでしょう。

    実際は、誰もが行うよくある話し、というものはないので、質問者さんの環境や運用状況を確かめながら決めないといけないので、簡単にアドバイスできる方法はない、と理解しています。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答の候補に設定 佐伯玲 2015年10月19日 1:44
    • 回答としてマーク 佐伯玲 2015年10月23日 8:09
    2015年10月16日 17:25
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    セキュリティ対策としてこういった運用をするのであれば、「システムに変更を与えるアプリケーションのインストールはできません」と

    アナウンスして「させない」運用になるのかと思いますが。

    業務に支障がでるということですが、通常の業務中でアプリケーションのインストール等が必要になるということでしょうか。

    必要であるならば、「Administrator権限を与えない」運用自体を見直すことになるかと思います。

    2015年10月15日 7:53
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チキン様

    ご連絡、アドバイスを頂き有難うございます。

    土日祝日等もエンジニアが出社し、

    随時アプリケーションのバージョンアップやメンテナンスを行う関係で、

    該当部署の管理者にはAdministrator権限のあるユーザーでのログインが必要となります。

    対象マシンが数百台に及ぶため、運用を固めたいと検討しております。

    2015年10月16日 1:28
    |
  • Question
    サインインして投票
    0
    サインインして投票

    Administrator権限でログインする必要があるのは部署の管理者だけということであれば、ADに権限を持ったユーザーを作成して、

    作業の都度、パスワードを発行して通知するとかでしょうか。実際そういった運用をされているお客様がいました。

    その権限で充足するかについては環境にもよりますので、十分に検証されることをお勧めします。

    • 回答の候補に設定 佐伯玲 2015年10月19日 1:44
    • 回答としてマーク 佐伯玲 2015年10月23日 8:09
    2015年10月16日 6:46
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    まず、運用についてですが、質問者さんの社内で規定されたルールといった要素も考慮に入れる必要があるように思いますので、こういった無償掲示板で、有効な情報が差し上げられるとは思いづらい、という感触があります。ほんとうにきちんと決めたい、ということであれば、コンサルティングを受けるといったことを、オススメします。

    技術的な話しに限定するなら、ローカルAdministratorをそのまま使っても、クライアントのアプリケーションインストールや、設定の変更は、全く問題なく行えます。実際にクライアントのキッティング作業は、ローカルアカウントで行われることがほとんどだと思います。

    パスワードの漏洩が怖い、ということであれば、スクリプトで定期的にローカルAdministratorのパスワードだけ変更を行い、必要なメンバーにだけ知らせる、という方法もあるでしょう。

    実際は、誰もが行うよくある話し、というものはないので、質問者さんの環境や運用状況を確かめながら決めないといけないので、簡単にアドバイスできる方法はない、と理解しています。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答の候補に設定 佐伯玲 2015年10月19日 1:44
    • 回答としてマーク 佐伯玲 2015年10月23日 8:09
    2015年10月16日 17:25
    |
    モデレータ