3.8.1 定義ずみセキュリティテンプレート
セキュリティテンプレートは,特定または複数のコンピュータに対するセキュリティ設定を構成し,割り当てる仕組みである。セキュリティテンプレートは物理的なファイルとして作成され,ローカルコンピュータに適用したり,Active Directoryのグループポリシーオブジェクトにインポートしたりすることができる。セキュリティテンプレートをグループポリシーオブジェクトにインポートすると,グループポリシーはそのセキュリティテンプレートを処理し,ユーザーやコンピュータなどのグループポリシーオブジェクトの該当箇所を変更する。
セキュリティテンプレートは,マイクロソフト管理コンソールのスナップインである[セキュリティテンプレート]を使用して作成することもできるし,用意されている定義ずみテンプレートを使用することもできる。
[セキュリティテンプレート]管理ツールで作成したセキュリティテンプレートは,テキストファイル(.infファイル)として保存される。このファイルを使用すると,テンプレート属性の一部または全部をコピーしたり,貼り付けたり,インポートしたり,エクスポートしたりすることが可能である。
Windows 2000には,システム要件に併せてセキュリティポリシーを容易に作成できるように,いくつかの定義ずみセキュリティテンプレートが用意されている。これらのセキュリティテンプレートは,%systemroot%\Security\Templatesフォルダの配下に格納されている(Fig.3-33では%systemroot%が“WINNT4”となっているが,これはWindows NT 4.0にWindows 2000を上書きアップグレードした環境だからである)。これらの定義ずみセキュリティテンプレートは,[セキュリティテンプレート]管理ツールでカスタマイズし,[グループポリシー]管理ツールの[セキュリティの設定]にインポートすることができる。ただし,Windows 2000を導入しているコンピュータにデフォルトの[セキュリティの設定]ポリシーが適用されている場合には,デフォルトの設定に対する差分に相当するセキュリティテンプレートのみが適用される。
Fig.3-33 定義ずみのセキュリティテンプレート(クリックで拡大可能)
Table 3-7 定義ずみのセキュリティテンプレート
| セキュリティレベル | 定義ずみのセキュリティテンプレート | 説明 |
|---|---|---|
| 基本(basic*.inf) | ワークステーション(basicwk.inf) | 基本構成と異なるセキュリティを適用するための手段として提供されている。基本構成では,Windows 2000におけるデフォルトの[セキュリティの設定]ポリシーが,[ユーザー権利の割り当て]を除くすべてのセキュリティ領域に適用される。[ユーザー権利の割り当て]は,一般的にアプリケーションのセットアッププログラムによって変更される |
| サーバー(basicsv.inf) | ||
| ドメインコントローラ(basicdc.inf) | ||
| 互換(compat*.inf) | 互換ワークステーションまたはサーバー(compatws.inf) | 互換テンプレートを適用すると,一般的なアプリケーションからアクセスできるファイルやフォルダ,レジストリ領域のセキュリティレベルが低下する。これにより,Usersグループのメンバであっても,Windows 2000非互換のアプリケーションを正常に実行できるようになる。また,互換テンプレートを適用すると,Power Usersグループのメンバはすべて削除される |
| セキュリティ保護(secure*.inf) | ワークステーションまたはサーバー(securews.inf) | セキュリティ保護テンプレートは,ファイル,フォルダ,レジストリキーを除く,ほかのすべてのセキュリティ設定を適用する。ファイルシステムおよびレジストリへのアクセス許可は,デフォルトの設定で構成されるため,このテンプレートでは変更されない |
| ドメインコントローラ(securedc.inf) | ||
| 高度なセキュリティ保護(hisec*.inf) | ワークステーションまたはサーバー(hisecws.inf) | 高度なセキュリティ保護テンプレートは,Windows 2000ネットワークで使用されるプロトコルとネットワークトラフィックをセキュリティで保護するものである。このテンプレートを使用して構成されたコンピュータは,Windows 2000を稼動させるコンピュータとだけ通信できるようになり,Windows 95,Windows 98,Windows NTを稼動するコンピュータと通信することはできなくなる |
| ドメインコントローラ(hisecdc.inf) | ||
| 専用ドメインコントローラ(dedica*.inf) | ドメインコントローラ(dedecadc.inf) | Active Directoryのドメインコントローラにおけるローカルユーザーに対して,Windows 2000のワークステーションおよびスタンドアロンサーバーのデフォルト設定と同じセキュリティ(ファイルシステムおよびレジストリへのアクセス許可)を適用する。このテンプレートを適用する場合,サーバーベースの業務アプリケーションなどをドメインコントローラで実行しないことが前提となる |
 |
Chapter 3(後編) 13/17 |  |
