製品フォルダーへの権限

ビルド7251以上のADAudit Plusでは、ADAudit Plusフォルダー(以下、「製品フォルダー」)のセキュリティを強化するため、製品フォルダーへのデフォルトアクセス権限は、インストールに使用したアカウント、SYSTEMアカウント、Administrators、およびDomain Adminsグループに制限しています。他のユーザーアカウントがADAudit Plusを起動できるようにするためには、本ページの手順「製品を起動するユーザーに対するADAudit Plusフォルダーの変更権限を割り当て」をご確認ください。

ビルド7251未満のADAudit Plusを利用している、または、最近ビルド7251以上にアップグレードした場合、製品フォルダーのセキュリティを強化する方法が2つあります。

SecureDeployment.exeの利用

SecureDeployment.exeファイルは、製品フォルダーのセキュリティを自動的に強化します。

  • 管理者(Administrators)以外ユーザーが製品フォルダーにアクセスできないようにします。
  • 選択したユーザーに「変更」権限を割り当てます。
  • ADAudit Plusをサービスとしてインストールしている場合、サービス「ログオン」アカウントを設定します。

SecureDeployment.exeファイルを実行する方法

  • ADAudit Plus_インストールフォルダー\binフォルダーに移動し、SecureDeployment.exeファイルの存在を確認します。

    存在しない場合、弊社サポートまでお問い合わせください。

  • SecureDeployment.exeファイルを「管理者として実行」します。
  • 「1」を入力後、管理者(Administrators)以外のユーザーおよびユーザーグループ(Authenticated Users、BUILTIN\Users、CREATOR OWNER、ALL RESTRICTED APPLICATION PACKAGES、ALL APPLICATION PACKAGES、TrustedInstaller、Everyoneなど)の権限の削除に進みます。
  • 権限を削除後、任意のキーを押し、 [ユーザーまたはグループの選択]ダイアログボックスを開きます。
  • ADAudit Plusを起動する権限を割り当てるユーザーの名前を入力し、[名前の確認]をクリックして選択します。

    ADAudit Plusをサービス「ログオン」アカウント資格情報を使用してインストールした場合は、該当アカウントを入力します。

  • OKをクリックします。

ADAudit Plusを起動する権限を複数のユーザーに割り当てる場合は、「製品を起動するユーザーに対するADAudit Plusフォルダーの変更権限を割り当て」の手順を実施します。

許可設定を手動で設定

SecureDeployment.exeファイルを使用しない場合、以下のことを確認することで製品フォルダーのセキュリティを強化できます。

製品フォルダーの継承を無効化

  • ManageEngineフォルダーに移動します。
  • ADAudit Plusフォルダーを右クリック→「プロパティ」→「セキュリティ」タブ→「詳細設定」をクリックします。
  • 「継承の無効化」をクリックします。
  • OKをクリックします。

製品フォルダーのアクセス許可リストから管理者(Administrators)以外のユーザーおよびユーザーグループを削除

  • ManageEngineフォルダーに移動します。
  • ADAudit Plusフォルダーを右クリック→「プロパティ」→「セキュリティ」タブ→「詳細設定」をクリックします。
  • アクセス許可リストより、管理者(Administrators)以外のユーザーおよびユーザーグループのエントリを削除します。
  • OKをクリックします。

Domain Admins、Administrators、およびSYSTEMグループにフルコントロール権限を割り当て

  • ManageEngineフォルダーに移動します。
  • ADAudit Plusフォルダーを右クリック→「プロパティ」→「セキュリティ」タブ→「詳細設定」をクリックします。
  • アクセス許可タブで「追加」→「プリンシパルの選択」より、Domain Admins、Administrators、およびSYSTEMグループを追加します。
  • OKをクリックします。
  • 「種類」の横で「許可」を選択し、「適用先」の横で「このフォルダー、サブフォルダーおよびファイル」を選択します。
  • 「基本のアクセス許可」で、「フルコントロール」にチェックします。
  • OKをクリックします。

製品を起動するユーザーに対するADAudit Plusフォルダーの変更権限を割り当て

  • ManageEngineフォルダーに移動します。
  • ADAudit Plusフォルダーを右クリック→「プロパティ」→「セキュリティ」タブ→「詳細設定」をクリックします。
  • アクセス許可タブで「追加」→「プリンシパルの選択」より、ADAudit Plus を起動する権限を割り当てるユーザーの名前を入力し、「名前の確認」をクリックして選択します。
  • OKをクリックします。
  • 「種類」の横で「許可」を選択し、「適用先」の横で「このフォルダー、サブフォルダーおよびファイル」を選択します。
  • 「基本のアクセス許可」で、「フルコントロール」にチェックします。
  • OKをクリックします。

ADAudit Plusをサービス「ログオン」アカウント資格情報を使用してインストールした場合は、該当アカウントに変更権限があることをご確認ください。

ウイルス対策ソフトウェアのスキャンから除外する

最適なパフォーマンスを得るために、ADAudit Plusサーバー上のウイルス対策ソフトおよびエンドポイント保護ソフトから、ADAudit Plusのjava.exeおよびpostgres.exeが使用するディレクトリを除外することを推奨します。

除外対象とするディレクトリは以下の通りです。

<インストールディレクトリ>\ManageEngine\ADAudit Plus\index

<インストールディレクトリ>\ManageEngine\ADAudit Plus\eventdata

<インストールディレクトリ>\ManageEngine\ADAudit Plus\alertdata

<インストールディレクトリ>\ManageEngine\ADAudit Plus\ehcache

<インストールディレクトリ>\ManageEngine\ADAudit Plus\apps\dataengine-xnode\data

<インストールディレクトリ>\ManageEngine\ADAudit Plus\pgsql

java.exe およびpostgres.exeの実行ファイルは、それぞれ以下のディレクトリ内に格納されています。

<インストールディレクトリ>\ManageEngine\ADAudit Plus\jre\bin\java.exe
<インストールディレクトリ>\ManageEngine\ADAudit Plus\pgsql\bin\postgres.exe