ワークベンチのセキュリティーの考慮

このタスクでは、 ワークベンチで以下のアクションを実行することのできるユーザーを決定するための要因について考慮します。

次の点を考慮してください。

  1. ドメイン認識を使用可能にして実行していますか ?
  2. ドメイン認識を使用不可にして実行していますか ?
  3. ワークベンチと構成マネージャーの間のチャネルの固定

ワークベンチを実行するユーザーの ID を、8 文字以下の長さにしてください。

ドメイン認識を使用可能にして実行していますか ?

ドメイン認識を使用可能にして実行するようお勧めします。 このオプションを使用すると、ワークベンチ・ユーザーのドメイン情報は、セキュリティーを高める目的で構成マネージャーへのユーザー ID を使用してフローされます。 DOMAIN1 というドメインのメンバーである WKSTN1 というマシン上でワークベンチを実行していると仮定します。DOMAIN2 のユーザーもワークベンチを使用したいと思います。以下のステップを実行します。

  1. ユーザー定義役割モデルを使用する場合、 ドメイン・ユーザー ID (たとえば、DOMAIN1¥user1 と DOMAIN2¥user2) をローカル・グループの WKSTN1¥mqbrasgn、 WKSTN1¥mqbrdevt、WKSTN1¥mqbrops、および WKSTN1¥mqbrtpic に追加します。グループ・メンバーシップはネストできます。 たとえば、DOMAIN1¥user1 をグローバル・グループ DOMAIN1¥authusers に追加し、さらに DOMAIN1¥authusers を WKSTN1¥mqbrops に追加することができます。

    オブジェクト・レベル・モデルと ACL セキュリティーを使用する場合は、すべてのドメイン・ユーザー/グループを、ACL で使用するローカル・グループ名に追加する必要があります。

  2. 構成マネージャーを作成する際には、次の事柄に注意してください。
    1. -d オプションは設定しないでください。構成マネージャーはローカル・グループのユーザー・グループ・メンバーシップを検査します。
    2. -l オプションを 2 に設定します。 これはドメイン認識を示しています。

ワークベンチを開始すると、 これが自動的にユーザーのユーザー ID のドメイン情報を構成マネージャーに送信します。ドメイン情報にアクセスするには、構成マネージャーにおいてドメイン認識を使用可能にします。

ドメイン認識を使用不可にして実行していますか ?

ドメイン認識を使用不可に設定できますが、このオプションを使用して実行することは、ワークベンチ・ユーザーのドメイン情報がユーザー ID 情報を使用してフローされないため、セキュリティーが低くなることを意味します。 そのため、ドメイン認識を使用可能にして実行するようお勧めします。

ドメイン認識を使用不可に設定する場合、以下の質問に回答する必要があります。

  1. ワークベンチ・ユーザーは、ローカル・ドメインに所属していますか ?
    1. いいえ: 次の質問に進みます。
    2. はい: mqsicreateconfigmgr コマンドから -d オプションを省略するか、あるいはローカル・マシンの名前を設定することができます。 さらに、-l オプションを 2 に設定する必要があります。

      ユーザー定義役割モデルの場合、 ワークベンチ・ユーザーがローカル・グループ mqbrasgnmqbrdevtmqbrops、および mqbrtpic のメンバーであることを確認してください。

      オブジェクト・レベル・モデルで、ACL セキュリティーを使用する場合は、すべてのユーザーを、ACL で使用するローカル・グループ名に追加する必要があります。

      ワークベンチと構成マネージャーの間のチャネルの固定 に進みます。

  2. ワークベンチ・ユーザーは、他のドメインに所属していますか ?
    1. はい: mqsicreateconfigmgr コマンドで -d オプションを設定して、構成マネージャーがユーザー・グループ・メンバーシップを読み取るために使用するドメインを決定します。 さらに、-l オプションを 2 に設定します。
      ユーザー定義役割モデルでは、ユーザーが実行できるタスクは、 そのユーザーの以下のグローバル・グループのメンバーシップに依存します。
      • domain mqbrasgn
      • domain mqbrdevt
      • domain mqbrops
      • domain mqbrtpic.
      これらのグループのメンバーシップによって与えられる権限の詳細については、 Windows プラットフォームでのセキュリティー要件を参照してください。

      オブジェクト・レベル・モデルで、ACL セキュリティーを使用する場合は、すべてのドメイン・ユーザー/グループを、ACL で使用するローカル・グループ名に追加してください。

追加のセキュリティーとして、 ドメイン認識とセキュリティー出口の両方を使用可能にして実行します。 セキュリティー出口の詳細については、セキュリティー出口を参照してください。

ワークベンチと構成マネージャーの間のチャネルの固定 に進みます。

ワークベンチ構成マネージャーの間のチャネルの固定

接続のワークベンチ側の終端と構成マネージャー側の終端で実行するセキュリティー出口のペアを作成し、 使用可能にします。構成マネージャー・マシン上の Windows セキュリティー・マネージャーで、これらの出口を使用してワークベンチ・ユーザーを検査します。
セキュリティー手口の作成と使用可能化の詳細については、 セキュリティー出口を参照してください。

関連概念
セキュリティー出口
ランタイム・リソースのセキュリティー

関連タスク
セキュリティー出口の使用

関連資料
Windows プラットフォームでのセキュリティー要件
ACL 許可
mqsicreatebroker コマンド
mqsichangebroker コマンド