最少権限の特権環境で管理タスクを計画する (SharePoint Server 2010)
適用先: SharePoint Foundation 2010, SharePoint Server 2010
トピックの最終更新日: 2016-11-30
ここでは、最小特権の管理者権限を使用して、Microsoft SharePoint Server 2010 ファームを構成および管理する方法について説明します。
概要
最小特権の管理者権限の概念では、認定タスクを実行する際に最低限必要な権限がユーザーに割り当てられます。最少特権の管理者権限は、環境を構成し、安全に管理し続けられるようにすることを目的としています。結果として、各サービスでは、本当に必要なリソースに対してのみアクセスが許可されます。最小特権の管理者権限を実装すると、このレベルの管理を維持するために追加のリソースが必要になる可能性があるので、運用コストが増加することがあります。また、セキュリティ上の問題に対するトラブルシューティング機能が低下する場合もあります。
.gif "セキュリティ メモ") Security Note |
|---|
| 組織が最小特権の管理者権限を実装すると、通常、推奨されている以上にセキュリティが強化されます。最小特権の管理者権限を維持するにはリソース コストがかかるので、この強化されたレベルのセキュリティを必要とする組織は少数です。しかし、政府機関、セキュリティ組織、金融サービス業界の組織など、展開対象となる組織によっては、この強化されたレベルのセキュリティが必要なこともあります。最小特権環境の実装とベスト プラクティスを混同しないでください。最小特権環境では、管理者が、強化されたレベルのセキュリティと組み合わせてベスト プラクティスを実装します。 |
アカウントおよびサービスの最小特権環境
最小特権の管理者権限を計画する場合は、アカウント、ロール、およびサービスを考慮する必要があります。たとえば、SQL Server に適用されるものや、SharePoint 2010 Productsに適用されるものがあります。管理者が追加のアカウントとサービスをロックすると、日常の運用コストが増加する可能性があります。
Microsoft SQL Server のロール
最小特権環境では、次の 2 つの SQL Server サーバー レベルのロールを、SharePoint サービス アカウントではないが、SharePoint 管理で使用されているアカウントから削除することをお勧めします。
dbcreator- 固定サーバー ロールのメンバーは、任意のデータベースを作成、変更、削除、および復元できます。
securityadmin- securityadmin 固定サーバー ロールのメンバーは、ログインとそのプロパティを管理します。このメンバーは、サーバー レベルの権限を付与および拒否したり、取り消したりできます。また、データベースにアクセスできる場合は、データベース レベルの権限の付与、拒否、取り消しもできます。さらに、SQL Server ログインのパスワードをリセットすることもできます。
Security Noteデータベース エンジンへのアクセスを許可し、ユーザー権限を構成する機能により、セキュリティ管理者は、ほとんどのサーバー権限を割り当てられるようになります。securityadmin ロールは、sysadmin と同等のロールと見なす必要があります。
SQL Server サーバー レベルのロールの詳細については、「サーバー レベルのロール」(https://go.microsoft.com/fwlink/?LinkId=213450&clcid=0x411) を参照してください。
これらの SQL Server ロールを 1 つ以上削除すると、"予期しない" エラー メッセージがサーバーの全体管理 Web サイトに表示される場合があります。また、統合ログ サービス (ULS) のログファイルに次のメッセージが表示されることがあります。
System.Data.SqlClient.SqlException... <操作の種類> 権限がデータベース <データベース> で拒否されました。 テーブル <テーブル>
エラー メッセージが表示される場合があるほか、ユーザーは次のタスクを実行できない可能性があります。
ファームのバックアップの復元 (データベースに書き込むことができないため)
サービス インスタンスまたは Web アプリケーションの準備
管理アカウントを構成する
Web アプリケーションの管理アカウントの変更
サーバーの全体管理 Web サイトを使用する必要がある任意のデータベース、管理アカウント、またはサービスの操作
状況によっては、データベース管理者 (DBA) が SharePoint 管理者とは別に存在し、すべてのデータベースを作成して管理できます。DBA がすべてのデータベースを作成および管理する方法については、「DBA が作成したデータベースを使用して展開する (SharePoint Server 2010)」を参照してください。
SharePoint Server 2010 のロールおよびサービス
一般的に、新しいデータベースを作成する機能は、SharePoint サービス アカウントから削除する必要があります。SharePoint サービス アカウントでは、Microsoft SQL Server インスタンスに sysadmin ロールがあってはいけません。また、SharePoint サービス アカウントが、Microsoft SQL Server を実行しているサーバーのローカル管理者になることもできません。
ただし、他の SharePoint Server 2010 サービスおよびアカウントをいくつかロックすることはできます。
SharePoint_Shell_Access ロール
この Microsoft SQL Server ロールを削除すると、構成およびコンテンツ データベースにエントリを書き込む機能も削除されます。このロールの詳細については、「Add-SPShellAdmin」を参照してください。
SharePoint Timer Service (SPTimerV4)
既定では、このサービスがインストールされ、構成キャッシュ情報が維持されます。サービスの種類が無効に設定されている場合は、次の動作が発生することがあります。
タイマー ジョブが実行されない
Health Analyzer ルールが実行されない
メンテナンスとファーム構成が期限切れになる
SharePoint Administration Service (SPAdminV4)
このサービスは、サーバーでローカル管理者権限を必要とする自動変更を実行します。サービスが実行されていない場合は、手動でサーバー レベルの管理変更を処理する必要があります。サービスの種類が無効に設定されている場合は、次の動作が発生することがあります。
管理タイマー ジョブが実行されない
Web 構成ファイルが更新されない
セキュリティおよびローカル グループが更新されない
レジストリ値およびキーが書き込まれない
サービスが起動または再起動されない可能性がある
サービスの準備を完了できない可能性がある
SPUserCodeV4 Service
このサービスを使用すると、サイト コレクション管理者がサンドボックス ソリューションをソリューション ギャラリーにアップロードできます。サンドボックス ソリューションの詳細については、「サンドボックス ソリューションの概要 (SharePoint Server 2010)」を参照してください。
Claims To Windows Token service (C2WTS)
既定では、このサービスは無効になっています。外部データ ソースがアクセスされる先の展開で、C2WTS サービスが必要となることがあります。C2WTS の詳細については、「Excel Services の ID 委任 (SharePoint Server 2010)」、「Business Connectivity Services の ID 委任 (SharePoint Server 2010)」、「SQL Server Reporting Services の場合の ID 委任 (SharePoint Server 2010)」、および「Claims to Windows Token Service アカウントをリセットする方法 (SharePoint Server 2010)」を参照してください。
サービスの詳細については、「SharePoint Administration サービスが無効になっています」を参照してください。
SharePoint Server 2010 のサービスまたはロールが実装されている場合、組織のビジネス要件によっては、次の機能に対する動作が発生する場合があります。
バックアップと復元
データベース権限が削除されている場合は、バックアップから復元を実行できないことがあります。
アップグレード
アップグレード プロセスは適切に開始しますが、データベースに対して適切な権限がないので失敗します。組織の環境が最小特権環境である場合は、解決策として、ベスト プラクティス環境に移行し、アップグレードを完了してから、最少特権環境に戻します。
更新
ファームへのソフトウェア更新プログラムの適用は、構成データベースのスキーマに対しては成功しますが、コンテンツ データベースおよびサービスでは失敗します。
考慮すべき追加の要件
前述した考慮事項のほかに、さらに別の操作を検討しなければならないことがあります。次の一覧は完全ではありません。ご自身の判断で自由にアイテムを選択し、使用するようにしてください。
セットアップ ユーザー管理者アカウント - このアカウントは、ファーム内の各サーバーをセットアップするときに使用されます。これは、Microsoft SharePoint Server 2010 ファームにある各サーバーの Administrators グループのメンバーである必要があります。このアカウントの詳細については、「管理者アカウント」を参照してください。
Synchronization アカウント- このアカウントはディレクトリ サービスに接続する目的で使用されます。詳細については、「User profile properties and profile synchronization planning worksheets (英語) (https://go.microsoft.com/fwlink/?LinkID=225640&clcid=0x411) (英語)」を参照してください。
User Profile Replication Engine - このツールは、SharePoint Administrator Toolkit (SPAT) の一部です。これにより、User Profile Service アプリケーションの管理者は、User Profile Service アプリケーション間で、ユーザー プロファイルとソーシャル データを複製できます。ユーザー プロファイルあるいはソーシャル データの例には、ソーシャル タグ、メモ、評価が含まれます。User Profile Replication Engine ツールの詳細については、「User Profile Replication Engine の概要 (SharePoint Server 2010)」を参照してください。
個人用サイトのアプリケーション プール ホスト アカウント - このアカウントで、個人用サイトのアプリケーション プールが実行されます。このアカウントを構成するには、Farms Administrators グループのメンバーである必要があります。
組み込みのユーザー グループ - 組み込みのユーザー セキュリティ グループを削除するか権限を変更すると、予期せぬ結果を招く可能性があります。
グループ権限 - 既定では、WSS_ADMIN_WPG SharePoint グループには、ローカル リソースに対する読み取りおよび書き込みアクセス権が付与されています。Microsoft SharePoint Server が適切に動作するには、WSS_ADMIN_WPG ファイル システムの場所として %WINDIR%\System32\drivers\etc\HOSTS および %WINDIR%\Tasks が必要です。他のサービスまたはアプリケーションがサーバーで実行されている場合は、そのサービスが Tasks または HOSTS フォルダーの場所にどのようにアクセスするかを考慮します。アカウントの設定の詳細については、「アカウントの権限とセキュリティ設定 (SharePoint Server 2010)」を参照してください。
サービスの権限の変更 - サービスの権限を変更すると、予期せぬ結果を招く可能性があります。たとえば、レジストリ キー HKLM\System\CurrentControlSet\Services\PerfProc\Performance\Disable Performance Counters に値 0 があると、User Code Host サービスが無効になり、これによりサンド ボックス ソリューションが停止することがあります。動作しない User Code サービスの詳細については、「The SharePoint 2010 User Code Host service fails to start (英語)」(https://go.microsoft.com/fwlink/?LinkId=225642&clcid=0x411) (英語) を参照してください。