none
AD環境下におけるクライアント端末のインストール制御 RRS feed

  • 質問

  • ご相談させていただきたい内容なのですが、
    現在の環境では、ActiveDirectryを利用してドメイン環境を構築しており、
    管理者権限は管理者ユーザー(administrator)にしか与えず、
    各クライアントはUACが働く行為が発生する場合、都度システム部門へ問い合わせて
    管理者ユーザーとパスワードを入力するような運用を行っております。

    ここで本題なのですが、
    一般部門の数名の社員が管理者ユーザーのパスワードを知っているという事が判明し
    管理者ユーザーのパスワードの変更を試みましたが、他システムへの影響の調査で
    サーバーの状態を管理する ServerView に影響があるかもしれない事が分かりました。
    (イントール段階でADの管理者ユーザーとパスワードを入力するようなステップが存在する。
     ServerViewのログインユーザーとは異なり、UIからの変更もできなさそう。ここが変更できればいいんですが…。)

    パスワードの変更ではなく、それ以外のWindowsのポリシーや端末設定等で、ソフトウェアのインストールを制御できないか
    頭を悩ませております。

    パスワードを知っている一般部門の社員が利用している端末は分かっているので、
    対象の端末のみをUACが働く際に全て拒否するような動きが出来るのがベストなのですが、
    そういった設定等は御座いませんでしょうか?
    インターネット上に存在する記事を読んで設定を変更等してみましたが上手くいかず…。

    ドメインサーバー : WindowsServer 2016 Sanderd (1607)
    クライアントPC   : Windows 10 pro (1809)

    よろしくお願い致します。
    2019年7月29日 0:19

回答

  • UAC の昇格(資格情報の入力)を拒否する事は以下のポリシーで可能性ですが、管理者アカウントのパスワードを知っているなら、それらを使って PC へログオン可能だと思いますので、あまり意味が無いのではと思う次第です。また、対象の PC を限定しても対象外の PC で UAC 昇格やログオンは出来ると思いますので、その点も穴が有る様に思います。

    ユーザー アカウント制御: 標準ユーザーに対する昇格時のプロンプトの動作
    https://docs.microsoft.com/ja-jp/windows/security/threat-protection/security-policy-settings/user-account-control-behavior-of-the-elevation-prompt-for-standard-users

    ServerView についてあまり詳しく無いですし、どの様な構成や使い方をしているか分かりませんが、インストール時に使用しているアカウントはインストールに管理者権限が必要なので使用しているのでしょうか?それとも、ServerViewのプロセスを動作させるアカウントとして指定しているのでしょうか?
    前者であればパスワード変更に問題無いと思いますし、後者であっても何らかの変更手順が用意されているのでは無いかと思いますので、メーカー(富士通?)へ問い合わせしてみる事をおすすめします。
    2019年7月29日 4:59

すべての返信

  • UAC の昇格(資格情報の入力)を拒否する事は以下のポリシーで可能性ですが、管理者アカウントのパスワードを知っているなら、それらを使って PC へログオン可能だと思いますので、あまり意味が無いのではと思う次第です。また、対象の PC を限定しても対象外の PC で UAC 昇格やログオンは出来ると思いますので、その点も穴が有る様に思います。

    ユーザー アカウント制御: 標準ユーザーに対する昇格時のプロンプトの動作
    https://docs.microsoft.com/ja-jp/windows/security/threat-protection/security-policy-settings/user-account-control-behavior-of-the-elevation-prompt-for-standard-users

    ServerView についてあまり詳しく無いですし、どの様な構成や使い方をしているか分かりませんが、インストール時に使用しているアカウントはインストールに管理者権限が必要なので使用しているのでしょうか?それとも、ServerViewのプロセスを動作させるアカウントとして指定しているのでしょうか?
    前者であればパスワード変更に問題無いと思いますし、後者であっても何らかの変更手順が用意されているのでは無いかと思いますので、メーカー(富士通?)へ問い合わせしてみる事をおすすめします。
    2019年7月29日 4:59
  • ご丁寧にありがとうございます。

    administratorにてログインできてしまう問題は、
    Adにて対象の端末がログインできるユーザーを限定する設定が御座いましたので、
    そちらで制御しようかと考えております。
    また、基本的に対象者が別端末を利用することはありませんので、問題ないと思っております。

    ご教授いただいた内容にて制御できそうなので試してみようかと思います。

    ServerViewについてですが、
    ソフトウェアのインストールウィザード中にある
    サーバー設定の入力項目の中に管理者ユーザー・パスワードを入力する工程が御座います。
    ServerViewはサーバー立ち上げ時にサービスを立ち上げるタスクがタスクスケジューラに登録されており、
    そちらの登録ユーザが管理者ユーザーになっているので、そこら回りに利用しているのではないかと睨んでいます。
    ただ、どういった事に利用されているか不明ではあるので、製造元に問い合わせていたいと思います。

    有難うございます。

    2019年7月29日 7:35
  • フォーラムにご投稿くださいましてありがとうございます

    今後ご不明な点がございましたら、お気軽にお問い合わせください

    FAN


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年8月2日 5:49
    モデレータ