セキュリティについてよく寄せられる質問
| Q. | 標準セキュリティと詳細セキュリティの違いは何ですか? | ||||
| A. | 標準セキュリティでは、ユーザー アカウントを使用して、サービスの実行、コンピュータの構成、およびコンピュータ間の接続を行います。詳細セキュリティでは、Active Directory の組み込み機能を使用します。ローカル システム アカウントを使用して、サービスの実行、コンピュータの構成、およびコンピュータ間の接続を行います。こちらのほうがより安全性が高くなりますが、Active Directory が必要になります。スキーマを拡張する必要はありません。標準セキュリティから詳細セキュリティに変更することはできますが、戻すことはできません。 SMS のセキュリティ モードの詳細については、『Microsoft Systems Management Server 2003 コンセプト、計画、導入ガイド』の第 5 章「SMS セキュリティとは」を参照してください。 | ||||
| Q. | ローカル システム アカウントとは何ですか? | ||||
| A. | ローカル システム アカウントとは、オペレーティング システム内で使用できるセキュリティ コンテキストのことです。管理資格情報を使用してログオンしサービスを開始することを目的として、オペレーティング システムによって作成されるアカウントです。これはローカル アカウントであるため、ネットワークにはアクセスできません。オペレーティング システムがアカウントを管理しますので、パスワードを保守する必要はありません。 | ||||
| Q. | 詳細セキュリティを使用するための要件は何ですか? (2003 年 12 月 12 日更新) | ||||
| A. | Windows NT 4.0 ドメイン内、および Windows NT 4.0 を実行しているサイト システムがある場合は、詳細セキュリティは使用できません。SMS 2003 サイトで詳細セキュリティを使用するには、SMS サイト サーバーおよびすべての SMS サイト システムが Active Directory ドメイン内にある必要があります。Windows 2000 を実行しているすべてのサイト システムは SP2 以降を使用している必要があります。ただし 管理ポイントでは、SP3 以降が必要です。サイト システムでは、Windows Server 2003 ファミリのオペレーティング システムを使用できます。SMS サイト データベース サーバーでは、SQL Server 2000 以降を使用している必要があります。詳細セキュリティを使用しているサイトは、標準セキュリティを使用している親サイトにレポートできません。詳細セキュリティ要件の詳細については、『Microsoft Systems Management Server 2003 コンセプト、計画、導入ガイド』の第 5 章「SMS セキュリティとは」を参照してください。この章で、SQL Server データベース コンピュータが Windows 認証モードのみでなければならないと記載されているのは誤りです。混合モードには、Windows 認証モードも含まれますので、どのモードでも詳細セキュリティで動作します。 | ||||
| Q. | 詳細セキュリティはいつ有効化すればよいですか? | ||||
| A. | SMS サイトのインストール中に、詳細セキュリティを使用するよう設定できます。同様に、SMS サイトのインストール中には標準セキュリティを使用するよう設定し、その後詳細セキュリティ要件を満たした時点で詳細セキュリティに変更できます。リモート SQL Server データベースを使用しているサイトでは、状況によっては、標準セキュリティから詳細セキュリティへの変更が一部失敗する場合があります。詳細については、『SMS 2003 製品ドキュメント』で「標準セキュリティから上級セキュリティへの移行」を検索してください。 サイトでの詳細セキュリティの設定については、『Microsoft Systems Management Server 2003 コンセプト、計画、導入ガイド』の第 15 章「SMS サイトを展開して構成する」を参照してください。 | ||||
| Q. | 詳細セキュリティから標準セキュリティに戻すにはどうすればよいですか? | ||||
| A. | 標準セキュリティに戻すには、再インストールする必要があります。 詳細セキュリティへの移行の詳細については、『Microsoft Systems Management Server 2003 コンセプト、計画、導入ガイド』の第 5 章「SMS セキュリティとは」を参照してください。 | ||||
| Q. | 標準セキュリティ モードから詳細セキュリティ モードに変更しましたが、すべての標準セキュリティ モード アカウントがまだ存在しています。 | ||||
| A. | これは設計上の意図です。残っている標準セキュリティ モード アカウントはすべて手動で削除する必要があります。 詳細セキュリティへの移行の詳細については、『Microsoft Systems Management Server 2003 コンセプト、計画、導入ガイド』の第 5 章「SMS セキュリティとは」を参照してください。 | ||||
| Q. | 標準セキュリティ モードから詳細セキュリティ モードにアップグレードしました。安全に削除できる SMS アカウントはどれですか? (2004 年 2 月 27 日追加) | ||||
| A. | SMS サービス アカウントはまったく問題なく削除できます。このアカウントは、SMS のインストール中に指定され、詳細セキュリティ モードを使用する際に SMS サイト サーバーのコンピュータ アカウントによって置き換えられます。SMS_SQL_RX_sitecode も削除できます。 レガシー クライアントが存在しない場合は、SMSClient_sitecode も削除できます。レガシー クライアントを実行しているドメイン コントローラが存在しない場合は、SMS&_SMSServer、SMSCliToknAcct&、および SMSInternalCliGrp も削除できます。 SMS サイト データベースがサイト サーバー上にある場合は、SMSServer_sitecode アカウントも削除できます。SMS プロバイダが、SQL Server を実行しているリモート サーバー上にインストールされている場合は、SMSServer_sitecode アカウントを削除することで、サイト サーバーが SMS サイト データベース サーバーにアクセスすることが防止されます。詳細については、『SMS 2003 運用リリース ノート』で「標準セキュリティから上級セキュリティへの移行に失敗することがあります」を参照してください。 SMS Admins、SMS Reporting Users、SMS_SiteSystemToSiteServerConnection_sitecode、SMS_SiteSystemToSQLConnection_sitecode、SMS_SiteToSiteConnection_sitecode の 5 つのグループは削除しないでください。また、SMS_SiteToSiteConnection_sitecode に追加したサイト アドレス アカウントも削除しないでください。 オプションのクライアント プッシュ インストール アカウント、オプションのアドバンスト クライアントのネットワーク アクセス アカウント、またはオプションのレガシー クライアント ソフトウェア インストール アカウントを使用している場合は、それらのアカウントも削除しないでください。 SMS アカウントとグループの詳細については、『Systems Management Server 2003 コンセプト、計画、導入ガイド』の第 5 章「SMS セキュリティとは」を参照してください。 | ||||
| Q. | 詳細セキュリティに切り替えた後、取得するネットワーク ディスカバリ情報の量が少なくなりました。なぜですか? (2003 年 12 月 12 日更新) | ||||
| A. | SMS サイトが詳細セキュリティ モードで実行されている場合、DHCP ネットワーク ディスカバリは既定で無効化されています。これは設計上の意図です。詳細セキュリティは、ローカル システム アカウント コンテキストを使用して、DHCP データといったサーバー リソースにアクセスします。しかし DHCP データには、ローカル システム アカウント セキュリティ コンテキストを使用してアクセスすることはできません。このため、詳細セキュリティ モードでは、DHCP ネットワーク ディスカバリが無効化されています。 ディスカバリ メソッドの選択の詳細については、『Microsoft Systems Management Server 2003 コンセプト、計画、導入ガイド』の第 10 章「SMS の展開と構成を計画する」を参照してください。 | ||||
| Q. | アドバンストクライアント ネットワークアカウントは何を行いますか? | ||||
| A. | アドバンストクライアント ネットワークアカウントは次の2つのシナリオで利用されます。
クライアントが Active Directory ドメインのメンバーで、アドバンスト クライアント ネットワーク アカウントが設定されていなかった場合、ccmsetup はコンピュータ アカウントを用いて接続を試みます。クライアントが Windows NT 4.0 ドメインのメンバーであった場合は ccmsetup はログオン ユーザーアカウントを用いるか、ユーザーがログオンするのを待ちます。 SMS 階層が、ログオン ユーザーやクライアント コンピュータ アカウントがセキュリティ プリシパルとなっているネットワーク環境や信頼されたフォレスト間で構成されている場合、クライアントはアドバンスト クライアント ネットワーク アカウントを用いる必要はありません。 レガシー クライアント ソフトウェア インストール アカウントと異なり、アドバンスト クライアント ネットワーク アクセス アカウントは提供されたプログラムが配布ポイント以外のサーバーの共有フォルダーにアクセスする際には使用されません。 | ||||
| Q. | 標準セキュリティでは、SMS サービス アカウントにドメイン管理者権限が必要ですか? (2003 年 12 月 12 日更新) | ||||
| A. | SMS がドメイン コントローラにインストールされていない場合は、SMS サービス アカウントは Domain Admins のメンバである必要はありません。推奨されるベスト プラクティスは、SMS をメンバ サーバーにインストールすることです。 詳細については、『Microsoft Systems Management Server 2003 コンセプト、計画、導入ガイド』の第 5 章「SMS セキュリティとは」を参照してください。 | ||||
| Q. | 階層構造内のすべてのサイトを詳細セキュリティにする必要がありますか? または標準と詳細を混在させることはできますか? | ||||
| A. | 詳細セキュリティ モードのサイトと標準セキュリティ モードのサイトを階層構造内に混在させることができます。ただし、詳細セキュリティ サイトは詳細セキュリティ サイトにしかレポートできないため、最初に詳細セキュリティ モードで実行できるサイトが中央サイトになります。各サイトで、サイトを詳細セキュリティ サイトにできるかどうか決定してください。できない場合は、その直接および間接的な子サイトは標準セキュリティ サイトである必要があります。 サイトおよび階層構造の設計に関するセキュリティ上の注意点については、『Microsoft Systems Management Server 2003 コンセプト、計画、導入ガイド』の第 12 章「SMS セキュリティの戦略を計画する」を参照してください。 | ||||
| Q. | SMS 2003 は SMS アカウントのロックアウトを防止しますか? | ||||
| A. | アカウント ロックアウトはドメイン ポリシーでありドメイン機能であるため、アカウント ロックアウトを完全に防止するには、この機能を無効化するしかありません。ただしアドバンスト クライアントを使用している場合は、SMS 2003 を使用すると、ロック アウトされていたアカウントを持たなくなるため、アカウント ロックアウトを減らすことができます。従来ロック アウトされていたアカウントは、SMS Client Token Account と SMS Client Connection Account です。アドバンスト クライアントはこれらのどちらも使用しません。 アカウント ロックアウト防止のガイドラインについては、『Microsoft Systems Management Server 2003 コンセプト、計画、導入ガイド』の第 12 章「SMS セキュリティの戦略を計画する」を参照してください。 | ||||
| Q. | SMS 2003 を動作させるためには、ファイアウォールのどのポートをオープンにすればよいですか? (2004 年 2 月 27 日追加) | ||||
| A. | SMS 2003 がファイアウォールまたはプロキシ サーバーを介して通信するために使用するポートについては、マイクロソフト サポート技術情報 の記事 826852 を参照してください。 | ||||
