Sourcefire ユーザエージェントが使用する Active Directory ユーザアカウントに最小限の権限を付与する

ダウンロードオプション

PDF (621.9 KB)
Adobe Reader を使ってさまざまなデバイスで表示
ePub (561.6 KB)
iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
Mobi (Kindle) (534.6 KB)
Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示

Updated: 2015 年 6 月 5 日

Document ID:118637

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポートコンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版（リンクからアクセス可能）もあわせて参照することを推奨します。

内容

概要

前提条件

要件

使用するコンポーネント

設定

確認

トラブルシュート

概要

このドキュメントでは、ADドメインコントローラーのクエリに必要な最小限のアクセス許可をActive Directory (AD)ユーザーに与える方法について説明します。Sourcefire User Agentは、ADドメインコントローラーのクエリにADユーザーを使用します。クエリーを実行するには、AD ユーザに追加の権限は必要ありません。

前提条件

要件

Microsoft Windows システムに Sourcefire ユーザエージェントをインストールし、AD ドメインコントローラへのアクセスを提供する必要があります。

使用するコンポーネント

このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期（デフォルト）設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

設定

最初に、管理者がユーザエージェントアクセス専用の新しい AD ユーザを作成する必要があります。この新しいユーザがドメイン管理者グループのメンバでない場合（およびメンバであってはならない場合）、Windows Management Instrumentation（WMI）セキュリティログへのアクセス権限をユーザに明示的に与える必要が生じることがあります。権限を付与するには、次の手順を完了します。

次のように WMI コントロールコンソールを開きます。
1. AD サーバで [Start] メニューを選択します。
2. [Run] をクリックして wmimgmt.msc と入力します。
3. [OK] をクリックします。WMI コントロールコンソールが表示されます。
WMI コンソールツリーで [WMI Control] を右クリックして、[Properties] をクリックします。
[Security] タブをクリックします。
ユーザまたはグループにアクセスを与える対象の名前空間を選択して（Root\CIMV2）、[Security] をクリックします。
[Security] ダイアログボックスで [Add] をクリックします。
[Select Users, Computers, or Groups] ダイアログボックスでは、追加するオブジェクト（ユーザまたはグループ）の名前を入力します。入力内容を検証するために [Check Names] をクリックして、[OK] をクリックします。オブジェクトをクエリーするために、場所を変更するか [Advanced] をクリックする必要が生じることもあります。詳しくは、状況依存ヘルプ（? ）を参照してください。
[Security] ダイアログボックスの [Permissions] セクションで、新しいユーザまたはグループに権限を与えるために [Allow] または [Deny] を選択します（すべての権限を与えるのが最も簡単です）。 少なくとも [Remote Enable] 権限をユーザに与える必要があります。
変更を保存するには [Apply] をクリックします。ウィンドウを閉じます。

確認

現在、この設定に使用できる確認手順はありません。

トラブルシュート

ここでは、設定のトラブルシューティングに使用できる情報を示します。

設定を変更した後に引き続き問題が発生する場合は、リモートアクセスを許可するために分散 COM（DCOM）設定を更新してください。

[Start] メニューを選択します。
[Run] をクリックして DCOMCNFG と入力します。
[OK] をクリックします。[Component Services] ダイアログボックスが表示されます。
[Component Services] ダイアログボックスで、[Component Services] および [Computers] の順に展開し、[My Computer] を右クリックして [Properties] を選択します。
[My Computer Properties] ダイアログボックスで、[COM Security] タブをクリックします。
[Launch and Activation Permissions] の下で、[Edit Limits] をクリックします。
[Launch and Activation Permission] ダイアログボックスで、グループまたはユーザ名のリストに名前やグループが表示されない場合には次の手順を完了します。
1. [Launch and Activation Permission] ダイアログボックスで [Add] をクリックします。
2. [Select Users, Computers, or Groups] ダイアログボックスで、[Enter the object names to select] フィールドに名前とグループを入力して、[OK] をクリックします。
[Launch and Activation Permission] ダイアログボックスの [Group or user names] セクションでユーザとグループを選択します。
[Permissions for User] の下の [Allow] カラムで、[Remote Launch] および [Remote Activation] チェックボックスをオンにして [OK] をクリックします。
注：ユーザ名には、AD サーバでユーザログインデータをクエリーする権限が必要です。プロキシを介してユーザを認証するには、完全修飾ユーザ名を入力します。デフォルトでは、エージェントのインストール場所のコンピュータへのログインで使用したアカウントのドメインが [Domain] フィールドに自動的に入力されます。異なるドメインのメンバーをユーザとして指定する場合、提供するユーザクレデンシャルのドメインを更新してください。
問題が引き続き発生する場合、ドメインコントローラで、[Manage auditing and security log] ポリシーにユーザを追加してみてください。ユーザを追加するには、次の手順を完了します。
1. [Group Policy Management Editor] を選択します。
2. [Computer Configuration] > [Windows Settings] > [Security Settings] > [Local Policies] > [User Rights Assignment] を選択します。
3. [Manage auditing and security log] を選択します。
4. ユーザを追加します。