製品フォルダーへの権限

ビルド7251以上のADAudit Plusでは、ADAudit Plusフォルダー(以下、「製品フォルダー」)のセキュリティを強化するため、製品フォルダーへのデフォルトアクセス権限は、インストールに使用したアカウント、SYSTEMアカウント、Administrators、およびDomain Adminsグループに制限しています。他のユーザーアカウントがADAudit Plusを起動できるようにするためには、本ページの手順「製品を起動するユーザーに対するADAudit Plusフォルダーの変更権限を割り当て」をご確認ください。

ビルド7251未満のADAudit Plusを利用している、または、最近ビルド7251以上にアップグレードした場合、製品フォルダーのセキュリティを強化する方法が2つあります。

SecureDeployment.exeの利用

SecureDeployment.exeファイルは、製品フォルダーのセキュリティを自動的に強化します。

  • 管理者(Administrators)以外ユーザーが製品フォルダーにアクセスできないようにします。
  • 選択したユーザーに「変更」権限を割り当てます。
  • ADAudit Plusをサービスとしてインストールしている場合、サービス「ログオン」アカウントを設定します。

SecureDeployment.exeファイルを実行する方法

  • ADAudit Plus_インストールフォルダー\binフォルダーに移動し、SecureDeployment.exeファイルの存在を確認します。

    • 存在しない場合、弊社サポートまでお問い合わせください。

  • SecureDeployment.exeファイルを「管理者として実行」します。
  • 「1」を入力後、管理者(Administrators)以外のユーザーおよびユーザーグループ(Authenticated Users、BUILTIN\Users、CREATOR OWNER、ALL RESTRICTED APPLICATION PACKAGES、ALL APPLICATION PACKAGES、TrustedInstaller、Everyoneなど)の権限の削除に進みます。
  • 権限を削除後、任意のキーを押し、 [ユーザーまたはグループの選択]ダイアログボックスを開きます。
  • ADAudit Plusを起動する権限を割り当てるユーザーの名前を入力し、[名前の確認]をクリックして選択します。

    • ADAudit Plusをサービス「ログオン」アカウント資格情報を使用してインストールした場合は、該当アカウントを入力します。

  • OKをクリクします。

ADAudit Plusを起動する権限を複数のユーザーに割り当てる場合は、「製品を起動するユーザーに対するADAudit Plusフォルダーの変更権限を割り当て」の手順を実施します。

許可設定を手動で設定

SecureDeployment.exeファイルを使用しない場合、以下のことを確認することで製品フォルダーのセキュリティを強化できます。

製品フォルダーの継承を無効化

  • ManageEngineフォルダーに移動します。
  • ADAudit Plusフォルダーを右クリック→「プロパティ」→「セキュリティ」タブ→「詳細設定」をクリックします。
  • 「継承の無効化」をクリックします。
  • OKをクリックします。

製品フォルダーのアクセス許可リストから管理者(Administrators)以外のユーザーおよびユーザーグループを削除

  • ManageEngineフォルダーに移動します。
  • ADAudit Plusフォルダーを右クリック→「プロパティ」→「セキュリティ」タブ→「詳細設定」をクリックします。
  • アクセス許可リストより、管理者(Administrators)以外のユーザーおよびユーザーグループのエントリを削除します。
  • OKをクリックします。

Domain Admins、Administrators、およびSYSTEMグループにフルコントロール権限を割り当て

  • ManageEngineフォルダーに移動します。
  • ADAudit Plusフォルダーを右クリック→「プロパティ」→「セキュリティ」タブ→「詳細設定」をクリックします。
  • アクセス許可タブで「追加」→「プリンシパルの選択」より、Domain Admins、Administrators、およびSYSTEMグループを追加します。
  • OKをクリックします。
  • 「種類」の横で「許可」を選択し、「適用先」の横で「このフォルダー、サブフォルダーおよびファイル」を選択します。
  • 「基本のアクセス許可」で、「フルコントロール」にチェックします。
  • OKをクリックします。

製品を起動するユーザーに対するADAudit Plusフォルダーの変更権限を割り当て

  • ManageEngineフォルダーに移動します。
  • ADAudit Plusフォルダーを右クリック→「プロパティ」→「セキュリティ」タブ→「詳細設定」をクリックします。
  • アクセス許可タブで「追加」→「プリンシパルの選択」より、ADAudit Plus を起動する権限を割り当てるユーザーの名前を入力し、「名前の確認」をクリックして選択します。
  • OKをクリックします。
  • 「種類」の横で「許可」を選択し、「適用先」の横で「このフォルダー、サブフォルダーおよびファイル」を選択します。
  • 「基本のアクセス許可」で、「フルコントロール」にチェックします。
  • OKをクリックします。

ADAudit Plusをサービス「ログオン」アカウント資格情報を使用してインストールした場合は、該当アカウントに変更権限があることをご確認ください。

ウイルス対策ソフトウェアのスキャンから除外する

アンチウイルスソフトやバックアップツールなどをインストールしている場合、ADAudit Plusをインストールしたフォルダーをスキャン対象またはバックアップ対象から必ず除外してください。除外しない場合、スキャンまたはバックアップによってデータベースが破損する可能性があります。

インストールしたフォルダーすべてに対する除外が困難である場合、以下フォルダーは必ず除外してください。

<Installation_folder>\ManageEngine\ADAudit Plus\index

<Installation_folder>\ManageEngine\ADAudit Plus\eventdata

<Installation_folder>\ManageEngine\ADAudit Plus\alertdata

<Installation_folder>\ManageEngine\ADAudit Plus\ehcache

<Installation_folder>\ManageEngine\ADAudit Plus\apps\dataengine-xnode\data

<Installation_folder>\ManageEngine\ADAudit Plus\pgsql