3.5.2 管理ツールのカスタマイズ
システム管理者が任意のユーザーに管理権限を委任する場合,そのユーザーに管理権限を遂行させるために必要十分な管理ツールのみを使用させたいこともあるだろう。このような場合には,マイクロソフト管理コンソール(MMC)のオプションを使用し,特定のユーザーまたはグループ用に管理ツールをカスタマイズすればよい。このようにして管理ツールをカスタマイズすることによって,管理権限を委任されたユーザーやグループが制御できる機能およびサービスをユーザーインタフェースで明確化し,制限できるようになる。
たとえば,[グループポリシー],[セキュリティテンプレート],[セキュリティの構成と分析],[IPセキュリティポリシーの管理]などのスナップインをカスタマイズの対象にするとよいだろう。
3.5.3 カスタマイズされた管理ツールの発行と割り当て
カスタマイズされた管理ツールは,グループポリシーの「公開」モードまたは「割り当て」モードで特定のグループに配布することができる。
管理ツールを公開すると,[アプリケーションの追加と削除]に表示される利用可能なプログラムの一覧に当該管理ツールが追加され,グループポリシーの設定を許可されているグループのメンバであれば,その管理ツールをインストールできるようになる。
これに対して管理ツールを割り当てると,ユーザーが[スタート]メニューでアプリケーションを選択するか,あるいは管理ツールと関連付けられているドキュメントを開こうとしたときに,指定されたすべてのユーザーまたはグループが利用できるように,管理ツールが自動的にインストールされる。
管理ツールを公開したり割り当てたりするには,まず,グループポリシーオブジェクトを作成または変更し,適切なユーザーやグループに適用する必要がある。次に,Windows Installerなどのツールを使って,カスタマイズしたコンソールをパッケージ化し,[グループポリシー]管理ツールの[ソフトウェアインストール]を使用し,パッケージ化された管理ツールの公開または割り当てを設定する。
このとき,公開または割り当ての対象となったパッケージのなかで,ユーザーやコンピュータにインストールされていないスナップインが使用されているならば,そのスナップインをパッケージに含めておく必要がある。スナップインを含むパッケージを別途作成することもできるが,カスタマイズした管理ツールのパッケージを作成する過程でスナップインを追加し,ユーザーがパッケージをインストールするときに,必要に応じて自動的にスナップインを導入させることもできる。
ところで,グループポリシーオブジェクトをユーザーやグループに適用したとき,対象となるユーザーがコンピュータにログオンしている場合は,そのユーザーがいったんログオフして再度ログオンするまで,その管理ツールは公開または割り当てられない。この挙動は,グループポリシーの[ソフトウェアインストール]でアプリケーションの発行や割り当てを指示した場合と同じである。
 |
Chapter 3(後編) 8/17 |  |
