製品ドキュメント

WindowsServerの監視と最小特権の原則

最終更新日: 14 年 2021 月 XNUMX 日

リモートWMI機能を確保するために、管理者グループのメンバーシップをお勧めします。 ただし、いくつかの追加設定を使用すると、管理者権限なしでリモートWMI機能を実行できます。 この方法はほとんどの場合に機能しますが、すべての場合に機能するとは限りません。 したがって、LogicMonitorサポートチームが提供する支援は限定的であり、ベストエフォートベースである可能性があります。

注:この情報は、ActiveDirectoryドメインコントローラーにも適用されます。 また、「ローカルユーザーとグループ」ではなく、「ActiveDirectoryユーザーとコンピューター」を介してドメインコントローラーのグループメンバーシップ調整を実行できます。 Windowsホストがドメインコントローラーに昇格すると、ローカルグループのメンバーシップがADUC内のBUILTINグループに移行されます。

次の手順を実行して、管理者権限なしでサービスを実行できます。

  1. 新しいユーザー(通常はActive Directoryサービスアカウントまたは監視対象ホストごとのWindowsローカルユーザー)を作成します。
  2. ユーザーにリモートWMI権限を付与する.
  3. ユーザーにリモートDCOM権限を付与する、 該当する場合。
  4. Windowsサービスのアクセス許可を付与する.

リモートWMI権限の付与

ユーザーにリモートWMI権限を付与するには、監視対象の各システムにログオンして、次の手順を実行します。

  1. コントロールパネルで、ダブルクリックします [管理ツール].
  2. [管理ツール]ウィンドウで、ダブルクリックします コンピューター管理.
  3. [コンピューターの管理]ウィンドウで、[サービスとアプリケーション]ツリーを展開し、[ WMI制御.
  4. を右クリックします。 WMIコントロール アイコンをクリックして[プロパティ]を選択し、[ セキュリティ タブでを確認できます。
  5. 現在地に最も近い ルート オブジェクトをクリックし、 セキュリティ.
  6. 【送信】ボタンをクリックします。販売者は原則としてXNUMX日以内に回答を返信します。XNUMX日を過ぎても回答がない場合は、Artisanaryまでお問い合わせください。 追加 サービスを実行するユーザーをリストに追加します。
  7. チェック メソッドの実行 および リモートイネーブル.
  8. 【送信】ボタンをクリックします。販売者は原則としてXNUMX日以内に回答を返信します。XNUMX日を過ぎても回答がない場合は、Artisanaryまでお問い合わせください。 高機能.
  9. 現在地に最も近い 新しいユーザー、 をクリックし 編集.
  10. 変更 適用するには ドロップダウンメニューから この名前空間とサブ名前空間.
  11. 【送信】ボタンをクリックします。販売者は原則としてXNUMX日以内に回答を返信します。XNUMX日を過ぎても回答がない場合は、Artisanaryまでお問い合わせください。 OK ダイアログボックスを閉じるためにXNUMX回。

リモートDCOM権限の付与

次のいずれかがLogicMonitorCollectorサービスに当てはまる場合は、DCOM権限を付与する必要がある場合があります。

  • 非ドメインアカウントとして実行されているコレクターサービス
  • コレクターは、監視対象のホストによって信頼されていない別のドメインに存在します
  • Collectorは、ローカル管理者としてではなく、リモートコンピューターに接続します

ユーザーにDCOM権限を付与するには、監視対象の各システムにログオンして、次の手順を実行します。

  1. 【送信】ボタンをクリックします。販売者は原則としてXNUMX日以内に回答を返信します。XNUMX日を過ぎても回答がない場合は、Artisanaryまでお問い合わせください。 開始、クリック ラン、タイプ DCOMCNFG、[OK]をクリックします OK.
  2. [コンポーネントサービス]ダイアログボックスで、[ コンポーネントサービス>コンピューターし、右クリックします [マイコンピュータ] をクリックし プロパティ.
  3. メディア 私のコンピュータのプロパティ ダイアログボックスで COMセキュリティ タブでを確認できます。
  4. [起動とアクティブ化のアクセス許可]で、[ 編集制限.
  5. [起動許可]ダイアログボックスで、自分の名前またはグループが[グループまたはユーザー名]リストに表示されない場合は、次の手順を実行します。

    a。 クリック 追加.

    NS。 [ユーザー、コンピューター、またはグループの選択]ダイアログボックスで、アカウント名を[ オブジェクトを入力してください
    選択するフィールドの名前 [OK]をクリックします OK.
  6. [起動許可]ダイアログボックスで、でユーザーを選択します。 グループ名またはユーザー名 ボックス。
  7. 案内する ユーザーの権限>許可選択 リモート起動 および リモートアクティベーション、クリック OK.

特定のユーザーおよびグループにDCOMリモートアクセスを許可する

次の手順では、特定のユーザーとグループにDCOMリモートアクセス許可を付与する方法について説明します。 コンピューターAをコンピューターBにリモート接続している場合。 コンピューターBのアクセス許可を設定して、コンピューターBの管理者グループの一部ではないユーザーグループがコンピューターBに接続できるようにすることができます。

  1. 【送信】ボタンをクリックします。販売者は原則としてXNUMX日以内に回答を返信します。XNUMX日を過ぎても回答がない場合は、Artisanaryまでお問い合わせください。 開始、クリック ラン、タイプ DCOMCNFG、[OK]をクリックします OK.
  2. [コンポーネントサービス]ダイアログボックスで、[ コンポーネントサービス>コンピューターし、右クリックします My
    パソコン をクリックし プロパティ.
  3. [マイコンピュータのプロパティ]ダイアログボックスで、 COMセキュリティ タブでを確認できます。
  4. [アクセス許可]で、[ 編集制限.
  5. [アクセス許可]ダイアログボックスで、[ 匿名ログオン [グループ名またはユーザー名]ボックスに入力します。
  6. [ユーザーのアクセス許可]の下の[許可]列で、[ リモートアクセス、[OK]をクリックします OK.

詳細については、を参照してください。 リモートWMI接続の保護.

Windowsサービスのアクセス許可を付与する

上記の方法を採用した後でも、Windowsサービスのアクセス許可を確認および調整する必要がある場合があります。

次のいずれかのツールを使用して、ホストの監視に使用しているアカウントへの読み取り専用アクセスを許可するWindowsサービスのアクセス許可を調整できます。

プロセスエクスプローラ

https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer

subinacl.exe

https://social.technet.microsoft.com/wiki/contents/articles/51625.subinacl-a-complete-solution-to-configure-security-permission.aspx

sc.exe

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/cc754599(v=ws.11)

Windowsサービスのアクセス許可を手動で変更する 

サービスコントロールマネージャー(SCManager)およびWin32_servicesのアクセス許可を変更するには、次の手順を実行します。

注意:SCManagerとWin32_servicesのアクセス許可を変更する手順は同じです。

1. LogicMonitorユーザーのSIDを取得するには、Powershellで次のコマンドを実行してSIDを取得します。

    [wmi] "win32_useraccount.domain='<domainName>',name='<userName>'"

2. SCManagerのSDDLを取得するには、cmdプロンプトで次のコマンドを実行します。
 
sc sdshow scmanager

取得したSDDLのサンプル:
       
D:(A;;CC;;;AU)(A;;CCLCRPRC;;;IU)(A;;CCLCRPRC;;;SU)(A;;CCLCRPWPRC;;;SY)(A;;KA;;;BA)S:(AU;FA;KA;;;WD)(AU;OIIOFA;GA;;;WD)

3.取得したSDDLを変更します。

注意:独自のACLを作成するか、インタラクティブユーザー(IU)で終わるSDDLからセグメントをコピーすることができます。A;;CCLCRPRC;;;IU)。 ACLの作成の詳細については、を参照してください。 ACE文字列.

4. sc sdshow scmanagerコマンドを使用してSDDLを取得したら、SDDLでIUで終わるセグメントをコピーします。 たとえば。 ((A;;CCLCRPRC;;;IU).

5.IUをLogicMonitorユーザーのSIDに置き換えます。

例: (A;;CCLCRPRC;;;S-1-5-21-265800110-2195697097-2714329818-1112).

6. SIDを置き換えた後、取得したSDDLのIUセグメントの後に新しいセグメントを貼り付けます。

以下は、新しいSDDLの例です。


D:(A;;CC;;;AU)(A;;CCLCRPRC;;;IU) (A;;CCLCRPRC;;;S-1-5-21-265800110-2195697097-2714329818-1112)(A;;CCLCRPRC;;;SU)(A;;CCLCRPWPRC;;;SY)(A;;KA;;;BA) S:(AU;FA;KA;;;WD)(AU;OIIOFA;GA;;;WD)

注意:前の例では、LogicMonitorユーザーにさまざまな権限を許可しています。 ユーザーが複数のアクセス許可を持つことを制限するか、最小限のアクセス許可を付与することができます。 

たとえば、ACL(A;;RPRC;;;IU) 読み取りアクセス許可がWindowsサービスのすべてのプロパティを読み取ることを許可します。 より多くの権限を付与する場合は、を参照してください。 ACE文字列 ACLのダブルセミコロン(;;)とトリプルセミコロン(;;;)の間に文字列を追加します。

6.新しいSDDLをSCManagerのセキュリティ記述子として設定します。

sc sdset scmanager “D:(A;;CC;;;AU)(A;;CCLCRPRC;;;IU) (A;;CCLCRPRC;;;S-1-5-21-265800110-2195697097-2714329818-1112)(A;;CCLCRPRC;;;SU)(A;;CCLCRPWPRC;;;SY)(A;;KA;;;BA) S:(AU;FA;KA;;;WD)(AU;OIIOFA;GA;;;WD)

注意 :Win32_servicesを変更するには、SCManagerのアクセス許可を変更するためのすべての手順を実行できます。 必ず交換してください スクマネージャー   サービス名 あなたのウィンドウズサービスの.


:
次のコマンドは、App-Managementサービスのセキュリティ記述子を表示します。

sc sdshow AppMgmt 

記事上で