■「Privilege Authority」はネットワークに参加しているコンピュータやユーザーに、管理者権限が必要なプログラムのインストールや実行、システム操作などを行う権限を明示的に付与できる。
■Active Directoryの機能であるグループポリシーの設定と連動させ、管理者権限が必要なプログラムのインストールや実行を明示的に指定できる。
|
ネットワークに参加しているクライアントコンピュータでアプリケーションのインストール、アップデート、システムの設定などを実行するにあたって、管理者としての実行権限が必要なものが少なくない。といって、多くのユーザーに管理者権限をむやみに与えると、セキュリティ上での問題となる可能性がある。ネットワークの管理者にとって、これは頭を悩ませる大きな問題の1つである。
管理者権限が必要な操作を適切に管理するのは困難
クライアントコンピュータの台数が少なければ、リモートデスクトップなどの遠隔操作機能を使って管理者としてログオンし、必要な操作を実行してもさほど手間はかからないかもしれない。だが、管理すべきコンピュータの台数が増えてくると、管理者の負担は飛躍的に大きくなる。
グループポリシーをうまく利用すれば、コンピュータの起動時あるいはユーザーのログオン時に、プログラムを自動的にインストールするように設定することも可能である。だが、インストールできるのは拡張子が「.msi」や「.zap」となっているパッケージに限られ、しかもアプリケーションのインストールという管理項目に限られてしまう。
こうした管理が面倒で、クライアントコンピュータを使用するユーザーに対して、そのコンピュータに対する「Administrators」権限を付与するケースもある。だが、コンピュータを使用するユーザーが固定化されている場合はまだしも、複数のユーザーが使用する場合には現実的な対応策とは言えない。また、安易に管理者権限を付与することは、ネットワーク・セキュリティ上の問題も含んでおり、ネットワーク管理者としてはできるだけとるべき対応策ではない。
