• [アーティクル]

Configuration Manager のセキュリティの構成

 

適用対象: System Center 2012 Configuration Manager,System Center 2012 Configuration Manager SP1,System Center 2012 Configuration Manager SP2,System Center 2012 R2 Configuration Manager,System Center 2012 R2 Configuration Manager SP1

[!メモ]

このトピックは次の場所に表示されます:「System Center 2012 Configuration Manager のサイト管理」ガイドおよび「System Center 2012 Configuration Manager のセキュリティとプライバシー」ガイド

ここでは、セキュリティに関連する次のオプションの構成について説明します。

  • クライアント PKI 証明書の設定の構成

  • 署名と暗号化の構成

  • 役割に基づいた管理の構成

  • Configuration Manager で使用するアカウントの管理

クライアント PKI 証明書の設定の構成

インターネット インフォメーション サービス (IIS) を使用するサイト システムへのクライアント接続に公開キー基盤 (PKI) 証明書を使用する場合、次の手順に従ってこれらの証明書の設定を構成します。

クライアント PKI 証明書の設定を構成するには

  1. Configuration Manager コンソールで、[管理] をクリックします。

  2. [管理] ワークスペースで、[サイトの構成] を展開して、[サイト] をクリックしてから、構成するプライマリ サイトをクリックします。

  3. [ホーム] タブの [プロパティ] グループで、[プロパティ] をクリックして、[クライアント コンピューターの通信方法] タブをクリックします。

    [!メモ]

    このタブは、プライマリ サイトでのみ使用できます。 [クライアント コンピューターの通信方法] タブが表示されない場合、中央管理サイトまたはセカンダリ サイトに接続されていないことを確認してください。

  4. サイトに割り当てられているクライアントが IIS を使用するサイト システムに接続するときに、常にクライアント PKI 証明書を使用する必要がある場合は、[HTTPS のみ] をクリックします。 または、クライアントが PKI 証明書を使用する必要がない場合は、[HTTPS または HTTP] をクリックします。

  5. [HTTPS または HTTP] を選択した場合は、HTTP 接続にクライアント PKI 証明書を使用する際に、[使用可能な場合はクライアント PKI 証明書 (クライアント認証機能) を使用する] をクリックします。 クライアントは、サイト システムに対する認証に、自己署名入り証明書ではなく、この証明書を使用します。 このオプションは、[HTTPS のみ] を選択すると自動的に選択されます。

    [!メモ]

    クライアントがインターネット上にあることが検出された場合、またはクライアントがインターネットのみでのクライアント管理向けに構成されている場合、このクライアントは常にクライアント PKI 証明書を使用します。

  6. [変更] をクリックして、クライアントで複数の有効な PKI クライアント証明書が使用可能な場合のために、選択したクライアント選択方法を構成してから、[OK] をクリックします。

    [!メモ]

    クライアント証明書の選択方法の詳細については、「PKI クライアント証明書の選択の計画」を参照してください。

  7. クライアントが証明書失効リスト (CRL) をチェックするかどうかのチェック ボックスを、オンまたはオフにします。

    [!メモ]

    クライアントの CRL チェックの詳細については、「PKI 証明書失効の計画」を参照してください。

  8. クライアントに信頼されたルート証明機関 (CA) 証明書を指定する必要がある場合は、[設定] をクリックしてルート CA 証明書ファイルをインポートしてから、[OK] をクリックします。

    [!メモ]

    この設定の詳細については、「PKI 信頼されたルート証明書と証明書発行者リストの計画」を参照してください。

  9. [OK] をクリックして、サイトの [プロパティ] ダイアログ ボックスを閉じます。

階層内のすべてのプライマリ サイトで、この手順を繰り返します。

署名と暗号化の構成

サイト内のすべてのクライアントがサポートすることができるサイト システムに、最も安全な署名設定と暗号化設定を構成します。 これらの設定が特に重要になるのが、自己署名入り証明書を使用してクライアントが HTTP 経由でサイト システムと通信する場合です。

サイトに署名と暗号化を構成するには

  1. Configuration Manager コンソールで、[管理] をクリックします。

  2. [管理] ワークスペースで、[サイトの構成] を展開して、[サイト] をクリックしてから、構成するプライマリ サイトをクリックします。

  3. [ホーム] タブの [プロパティ] グループで、[プロパティ] をクリックして、[署名と暗号化] タブをクリックします。

    [!メモ]

    このタブは、プライマリ サイトでのみ使用できます。 [署名および暗号化] タブが表示されない場合、中央管理サイトまたはセカンダリ サイトに接続されていないことを確認してください。

  4. 必要な署名オプションと暗号化オプションを構成し、[OK] をクリックします。

    System_CAPS_warning警告

    [SHA-256 を必要とする] を選択する場合は、サイトに割り当てられている可能性があるすべてのクライアントがこのハッシュ アルゴリズムをサポートできること、またはこれらのクライアントに有効な PKI クライアント認証証明書があることを確認してからにしてください。 SHA-256 をサポートするクライアントに対する更新プログラムまたは修正プログラムのインストールが必要な場合があります。 たとえば、Windows Server 2003 SP2 を実行しているコンピューターでは、サポート技術情報 938397 に示されている修正プログラムをインストールする必要があります。

    このオプションを選択した場合、クライアントが SHA-256 をサポートしておらず、自己署名入り証明書を使用できないと、Configuration Manager はクライアントを拒否します。 この場合は、SMS_MP_CONTROL_MANAGER コンポーネントにメッセージ ID 5443 が記録されます。

  5. [OK] をクリックして、サイトの [プロパティ] ダイアログ ボックスを閉じます。

階層内のすべてのプライマリ サイトで、この手順を繰り返します。

役割に基づいた管理の構成

Configuration Manager で役割に基づいた管理を構成するときに、このセクションの情報を参考にしてください。 役割に基づいた管理では、セキュリティ ロール、セキュリティ スコープ、および割り当てられたコレクションを組み合わせて、各管理ユーザーの管理スコープを定義します。 管理スコープには、Configuration Manager コンソールで管理ユーザーが表示できるオブジェクト、および管理ユーザーが実行するアクセス許可を持っている、それらのオブジェクトに関連するタスクが含まれます。 役割に基づいた管理の構成は、階層内の各サイトに適用されます。

役割に基づいた管理権限、および関連するセキュリティ設定を構成するときに、次の情報を参考にしてください。

  • カスタム セキュリティ ロールの作成

  • セキュリティ ロールの構成

  • オブジェクトのセキュリティ スコープの構成

  • セキュリティを管理するコレクションの構成

  • 新しい管理ユーザーの作成

  • 管理ユーザーの管理スコープの変更

System_CAPS_important重要

役割に基づいた管理では、セキュリティ ロール、セキュリティ スコープ、およびコレクションを使用します。 これらを組み合わせて、各管理ユーザーの管理スコープを定義します。 独自の管理スコープでオブジェクトと設定を定義し、別の管理ユーザーの役割に基づいた権限を構成するときに、これらのオブジェクトと設定を割り当てることができます。 役割に基づいた管理の計画については、「Planning for Security in Configuration Manager (Configuration Manager でのセキュリティ計画)」トピックの「役割に基づいた管理の計画」セクションをご覧ください。

カスタム セキュリティ ロールの作成

Configuration Manager は、さまざまな組み込みのセキュリティ ロールを提供します。 追加のセキュリティ ロールが必要な場合、既存のセキュリティ ロールのコピーを作成し、このコピーを変更して、カスタム セキュリティ ロールを作成できます。 カスタム セキュリティ ロールを作成して、現在割り当てられているセキュリティ ロールには含まれていない、必要な追加のセキュリティ アクセス許可を管理ユーザーに付与できます。 カスタム セキュリティ ロールを使用すると、必要なアクセス許可のみ管理者に付与できるため、必要以上のアクセス許可を付与するセキュリティ ロールが割り当てられることがありません。

既存のセキュリティ ロールをテンプレートとして使用して新しいセキュリティ ロールを作成するには、次の手順に従います。

カスタム セキュリティ ロールを作成するには

  1. Configuration Manager コンソールで、[管理] をクリックします。

  2. [管理] ワークスペースで、[セキュリティ] を展開してから、[セキュリティ ロール] をクリックします。

    次の手順のいずれかを使用して、新しいセキュリティ ロールを作成します。

    - 新しいカスタム セキュリティ ロールを作成するには、次の操作を実行します。

  1.  既存のセキュリティ ロールを選択し、新しいセキュリティ ロールのソースとして使用します。

  2.  **\[ホーム\]** タブの **\[セキュリティ ロール\]** グループで、**\[コピー\]** をクリックします。 これにより、ソース セキュリティ ロールのコピーが作成されます。

  3.  セキュリティ ロールのコピー ウィザードで、新しいカスタム セキュリティ ロールの \[名前\] を指定します。

  4.  **\[セキュリティ操作の割り当て\]** で、各 **\[セキュリティ操作\]** ノードを展開して使用可能なアクションを表示します。

  5.  セキュリティ操作の設定を変更するには、**\[値\]** 列で下向きの矢印をクリックしてから、**\[はい\]** または **\[いいえ\]** を選択します。

      <div class="alert">

      <table>
      <colgroup>
      <col style="width: 100%" />
      </colgroup>
      <thead>
      <tr class="header">
      <th><img src="images/Gg712308.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-caution(TechNet.10).jpeg" title="System_CAPS_caution" alt="System_CAPS_caution" />注意</th>
      </tr>
      </thead>
      <tbody>
      <tr class="odd">
      <td><p>カスタム セキュリティ ロールを構成する場合、新しいセキュリティ ロールに関連付けられる管理ユーザーが必要としないアクセス許可は付与しないようにしてください。 たとえば、<strong>セキュリティ ロール</strong> セキュリティ操作の値を <strong>[変更]</strong> にすると、そのセキュリティ ロールに関連付けられていなくても、すべてのアクセス可能なセキュリティ ロールを編集できるアクセス許可が管理ユーザーに付与されます。</p></td>
      </tr>
      </tbody>
      </table>

      </div>

  6.  アクセス許可を構成したら、\[OK\] をクリックして新しいセキュリティ ロールを保存します。

- 別の System Center 2012 Configuration Manager 階層からエクスポートされたセキュリティ ロールをインポートするには、次の操作を実行します。

  1.  **\[ホーム\]** タブの **\[作成\]** グループで **\[セキュリティ ロールのインポート\]** をクリックします。

  2.  インポートするセキュリティ ロールの構成が含まれた .xml ファイルを指定し、\[開く\] をクリックし、手順を完了してセキュリティ ロールを保存します。

      <div class="alert">


      > [!メモ]
      > <P>セキュリティ ロールをインポートした後で、セキュリティ ロールのプロパティを編集して、そのセキュリティ ロールに関連付けられているオブジェクトのアクセス許可を変更できます。</P>


      </div>

セキュリティ ロールの構成

セキュリティ ロールに定義されているセキュリティ アクセス許可のグループは、セキュリティ操作の割り当てと呼ばれます。 セキュリティ操作の割り当ては、オブジェクトの種類と、各オブジェクトの種類で実行できる操作の組み合わせを表します。 カスタム セキュリティ ロールで実行できるセキュリティ操作を変更することはできますが、Configuration Manager で提供される組み込みのセキュリティ ロールを変更することはできません。

セキュリティ ロールのセキュリティ操作を変更するには、次の手順に従います。

セキュリティ ロールを変更するには

  1. Configuration Manager コンソールで、[管理] をクリックします。

  2. [管理] ワークスペースで、[セキュリティ] を展開してから、[セキュリティ ロール] をクリックします。

  3. 変更するカスタム セキュリティ ロールを選択します。

  4. [ホーム] タブの [プロパティ] グループで、[プロパティ] をクリックします。

  5. [アクセス許可] タブをクリックします。

  6. [セキュリティ操作の割り当て] で、各 [セキュリティ操作] ノードを展開して使用可能なアクションを表示します。

  7. セキュリティ操作の設定を変更するには、[値] 列で下向きの矢印をクリックしてから、[はい] または [いいえ] を選択します。

    System_CAPS_caution注意

    カスタム セキュリティ ロールを構成する場合、新しいセキュリティ ロールに関連付けられる管理ユーザーが必要としないアクセス許可は付与しないようにしてください。 たとえば、セキュリティ ロール セキュリティ操作の値を [変更] にすると、そのセキュリティ ロールに関連付けられていなくても、すべてのアクセス可能なセキュリティ ロールを編集できるアクセス許可が管理ユーザーに付与されます。

  8. セキュリティ操作の割り当ての構成が終了したら、[OK] をクリックして新しいセキュリティ ロールを保存します。

オブジェクトのセキュリティ スコープの構成

オブジェクトのセキュリティ スコープの関連付けは、セキュリティ スコープからではなくオブジェクトから管理します。 セキュリティ スコープがサポートしている直接的な構成は、セキュリティ スコープの名前と説明の変更のみです。 セキュリティ スコープのプロパティを表示するときに、セキュリティ スコープの名前と説明を変更するには、ユーザーにセキュリティ スコープという保護可能なオブジェクトに対する変更のアクセス許可が指定されている必要があります。

Configuration Manager にオブジェクトを新規作成するときは、セキュリティ ロールに作成のアクセス許可、またはセキュリティ スコープの設定のアクセス許可が付与されている場合に、オブジェクトの作成に使用するアカウントのセキュリティ ロールと関連付けられている各セキュリティ スコープに新しいオブジェクトが関連付けられます。 オブジェクトの作成後にのみ、オブジェクトに関連付けられているセキュリティ スコープを変更できます。

たとえば、新しい境界グループを作成するためのアクセス許可が付与されたセキュリティ グループが割り当てられているとします。 新しい境界グループを作成するときに、特定のセキュリティ スコープを割り当てることはできません。 代わりに、割り当てられているセキュリティ ロールで使用できるセキュリティ スコープが、新しい境界グループに自動的に割り当てられます。 新しい境界グループを保存した後で、新しい境界グループに関連付けられているセキュリティ スコープを編集できます。

オブジェクトに関連付けられているセキュリティ スコープを構成するには、次の手順に従います。

オブジェクトのセキュリティ スコープを構成するには

  1. Configuration Manager コンソールで、セキュリティ スコープへの割り当てをサポートするオブジェクトを選択します。

  2. [ホーム] タブの [分類] グループで、[セキュリティ スコープの設定] をクリックします。

  3. [セキュリティ スコープの設定] ダイアログ ボックスで、このオブジェクトに関連付けられているセキュリティ スコープをオンまたはオフにします。 セキュリティ スコープをサポートする各オブジェクトが、少なくとも 1 つのセキュリティ スコープに割り当てられている必要があります。

  4. [OK] をクリックして、割り当てられているキュリティ スコープを保存します。

    [!メモ]

    新しいオブジェクトを作成するときに、オブジェクトを複数のセキュリティ スコープに割り当てることができます。 オブジェクトに関連付けられているセキュリティ スコープの数を変更するには、オブジェクトの作成後に、この割り当てを変更する必要があります。

セキュリティを管理するコレクションの構成

役割に基づいた管理にコレクションを構成する手順はありません。 コレクションには役割に基づいた管理の構成がありません。その代わりに、管理ユーザーを構成するときに、管理ユーザーにコレクションを割り当てます。 セキュリティ ロールが割り当てられたユーザーで有効になっているコレクション セキュリティ操作によって、コレクションとコレクション リソース (コレクション メンバー) に対する管理ユーザーのアクセス許可が決まります。

管理ユーザーがあるコレクションのアクセス許可を持っている場合、それらの管理ユーザーは、そのコレクションに限定されるコレクションのアクセス許可も持っています。 たとえば、組織で All Desktops というコレクションを使用しており、コレクション All Desktops に限定されている All North America Desktops というコレクションが存在するとします。 管理ユーザーが All Desktops のアクセス許可を持っている場合、その管理ユーザーはコレクション All North America Desktops に対しても同じアクセス許可を持っています。 さらに、管理ユーザーに直接割り当てられたコレクションでは、管理ユーザーは削除または変更のアクセス許可を使用できません。ただし、そのようなコレクションに限定されているコレクションでは、これらのアクセス許可を使用できます。 前の例では、管理ユーザーはコレクション All North America Desktops を削除または変更できますが、コレクション All Desktops を削除または変更することはできません。

新しい管理ユーザーの作成

個人またはセキュリティ グループのメンバーに Configuration Manager を管理するためのアクセス権を付与するには、Configuration Manager で管理ユーザーを作成し、ユーザーまたはユーザー グループの Windows アカウントを指定します。Configuration Manager の各管理ユーザーに、少なくとも 1 つのセキュリティ ロールおよび少なくとも 1 つのセキュリティ スコープを割り当てる必要があります。 また、コレクションを割り当てて、管理ユーザーの管理スコープを制限することもできます。

新しい管理ユーザーを作成するには、次の手順に従います。

新しい管理ユーザーを作成するには

  1. Configuration Manager コンソールで、[管理] をクリックします。

  2. [管理] ワークスペースで、[セキュリティ] を展開してから、[管理ユーザー] をクリックします。

  3. [ホーム] タブの [作成] グループで [ユーザーまたはグループの追加] をクリックします。

  4. [参照] をクリックし、この新しい管理ユーザーを使用するユーザー アカウントまたはグループを選択します。

    [!メモ]

    コンソールベースの管理では、ドメイン ユーザーまたはセキュリティ グループのみ管理ユーザーとして指定できます。

  5. [関連付けられたセキュリティ ロール] で、[追加] をクリックして使用可能なセキュリティ ロールの一覧を開き、1 つ以上のセキュリティ ロールを選択してから、[OK] をクリックします。

  6. 次の 2 つのオプションのいずれかを選択して、新しいユーザーに保護可能なオブジェクトの動作を定義します。

    - \[関連付けられているセキュリティ ロールに関連するすべての保護可能なオブジェクト\]:このオプションでは、管理ユーザーを、**\[すべて\]**のセキュリティ スコープとルート レベル、**すべてのシステム**の組み込みのコレクション、および**すべてのユーザー**とユーザー グループに関連付けます。 ユーザーに割り当てられているセキュリティ ロールによって、オブジェクトへのアクセスが定義されます。 この管理ユーザーが作成する新しいオブジェクトは、セキュリティ スコープ \[既定\] に割り当てられます。

- \[指定したセキュリティ スコープまたはコレクションに割り当てられるオブジェクトのインスタンスのみ\]:このオプションでは、既定で管理ユーザーを、**既定**のセキュリティ スコープ、**すべてのシステム**、および**すべてのユーザーとユーザー グループ**の各コレクションに関連付けます。 ただし、実際のセキュリティ スコープとコレクションは、新しい管理ユーザーを作成するために使用したアカウントに関連付けられているセキュリティ グループとコレクションに限定されます。 このオプションは、管理ユーザーの管理スコープをカスタマイズするための、セキュリティ スコープとコレクションの追加と削除をサポートしています。
    System_CAPS_important重要

    前述のオプションは、割り当てられている各セキュリティ スコープとコレクションを、管理ユーザーに割り当てられている各セキュリティ ロールに関連付けます。 3 つ目のオプション [管理ユーザーのセキュリティ ロールで判別された保護可能なオブジェクトのみ] を使用すると、個々のセキュリティ ロールを特定のセキュリティ スコープとコレクションに関連付けることができます。 この 3 つ目のオプションは、新しい管理ユーザーを作成した後で、その管理ユーザーを変更するときに使用できます。

  7. 手順 6 で選択したオプションに応じて、次の操作を実行します。

    - **\[割り当てたセキュリティ ロールに関連付けられるオブジェクトのすべてのインスタンス\]** を選択した場合は、**\[OK\]** をクリックしてこの手順を完了します。

- **\[指定したセキュリティ スコープまたはコレクションに割り当てられるオブジェクトのインスタンスのみ\]** を選択した場合は、**\[追加\]** をクリックして追加のコレクションとセキュリティ スコープを選択したり、一覧で 1 つ以上のオブジェクトを選択してから、**\[削除\]** をクリックして削除したりできます。 \[OK\] をクリックしてこの手順を完了します。

管理ユーザーの管理スコープの変更

管理ユーザーの管理スコープを変更するには、ユーザーに関連付けられているセキュリティ ロール、セキュリティ スコープ、およびコレクションを追加または削除します。 各管理ユーザーに、少なくとも 1 つのセキュリティ ロールおよび少なくとも 1 つのセキュリティ スコープを関連付ける必要があります。 1 つまたは複数のコレクションを、ユーザーの管理スコープに割り当てることが必要になる場合があります。 大部分のセキュリティ ロールはコレクションと対話し、コレクションが割り当てられていない場合は正しく機能しません。

管理ユーザーを変更するときに、割り当てられているセキュリティ ロールに保護可能なオブジェクトを関連付ける動作を変更できます。 次の 3 つの動作を選択できます。

  • [関連付けられているセキュリティ ロールに関連するすべての保護可能なオブジェクト]:このオプションでは、管理ユーザーを、[すべて]のスコープとルート レベル、すべてのシステムの組み込みのコレクション、およびすべてのユーザーとユーザー グループに関連付けます。 ユーザーに割り当てられているセキュリティ ロールによって、オブジェクトへのアクセスが定義されます。

  • [指定したセキュリティ スコープまたはコレクションに割り当てられるオブジェクトのインスタンスのみ]:このオプションは、管理ユーザーを構成するために使用したアカウントに関連付けられているのと同じセキュリティ スコープとコレクションに、管理ユーザーを関連付けます。 このオプションは、管理ユーザーの管理スコープをカスタマイズするための、セキュリティ ロールとコレクションの追加と削除をサポートしています。

  • [管理ユーザーのセキュリティ ロールで判別された保護可能なオブジェクトのみ]:このオプションでは、ユーザーに対して、個々のセキュリティ ロールと、特定のセキュリティ スコープおよびコレクション間の特定の関連付けを作成することができます。

    [!メモ]

    このオプションは、管理ユーザーのプロパティを変更する場合のみ使用できます。

保護可能なオブジェクトの動作の現在の構成によって、追加のセキュリティ ロールを割り当てるために使用する手順が変わります。 管理ユーザーを管理するときには、保護可能なオブジェクト用のさまざまなオプションに基づいた、次の手順に従います。

管理ユーザーの保護可能なオブジェクトの構成を表示および管理するには、次の手順に従います。

管理ユーザーの保護可能なオブジェクトの動作を表示および管理するには

  1. Configuration Manager コンソールで、[管理] をクリックします。

  2. [管理] ワークスペースで、[セキュリティ] を展開してから、[管理ユーザー] をクリックします。

  3. 変更する管理ユーザーを選択します。

  4. [ホーム] タブの [プロパティ] グループで、[プロパティ] をクリックします。

  5. [セキュリティ スコープ] タブをクリックし、この管理ユーザーの保護可能なオブジェクトの現在の構成を表示します。

  6. 保護可能なオブジェクトの動作を変更するには、保護可能なオブジェクトの動作に新しいオプションを選択します。 この構成を変更したら、次に必要な操作 (セキュリティ スコープとコレクション、この管理ユーザーのセキュリティ ロールの構成) を確認してください。

  7. [OK] をクリックして手順を完了します。

保護可能なオブジェクトの動作が [関連付けられているセキュリティ ロールに関連するすべての保護可能なオブジェクト] に設定されている管理ユーザーを変更するには、次の手順に従います。

オプション:割り当てたセキュリティ ロールに関連付けられるオブジェクトのすべてのインスタンス

  1. Configuration Manager コンソールで、[管理] をクリックします。

  2. [管理] ワークスペースで、[セキュリティ] を展開してから、[管理ユーザー] をクリックします。

  3. 変更する管理ユーザーを選択します。

  4. [ホーム] タブの [プロパティ] グループで、[プロパティ] をクリックします。

  5. [セキュリティ スコープ] タブをクリックして、管理ユーザーが [割り当てたセキュリティ ロールに関連付けられるオブジェクトのすべてのインスタンス] に構成されていることを確認します。

  6. 割り当てられているセキュリティ ロールを変更するには、[セキュリティ ロール] タブをクリックします。

    - この管理ユーザーに追加のセキュリティ ロールを割り当てるには、**\[追加\]** をクリックし、追加で割り当てる各セキュリティ ロールのチェック ボックスをオンにしてから、**\[OK\]** をクリックします。

- セキュリティ ロールを削除するには、一覧から 1 つまたは複数のセキュリティ ロールを選択し、\[削除\] をクリックします。

  7. 保護可能なオブジェクトの動作を変更するには、[セキュリティ スコープ] タブをクリックし、保護可能なオブジェクトの動作に新しいオプションを選択します。 この構成を変更したら、次に必要な操作 (セキュリティ スコープとコレクション、この管理ユーザーのセキュリティ ロールの構成) を確認してください。

    [!メモ]

    保護可能なオブジェクトの動作が [割り当てたセキュリティ ロールに関連付けられるオブジェクトのすべてのインスタンス] に設定されている場合、特定のセキュリティ スコープおよびコレクションを追加または削除することはできません。

  8. [OK] をクリックしてこの手順を完了します。

保護可能なオブジェクトの動作が [指定したセキュリティ スコープまたはコレクションに割り当てられるオブジェクトのインスタンスのみ] に設定されている管理ユーザーを変更するには、次の手順に従います。

オプション:指定したセキュリティ スコープまたはコレクションに割り当てられるオブジェクトのインスタンスのみ

  1. Configuration Manager コンソールで、[管理] をクリックします。

  2. [管理] ワークスペースで、[セキュリティ] を展開してから、[管理ユーザー] をクリックします。

  3. 変更する管理ユーザーを選択します。

  4. [ホーム] タブの [プロパティ] グループで、[プロパティ] をクリックします。

  5. [セキュリティ スコープ] タブをクリックして、ユーザーが [指定したセキュリティ スコープまたはコレクションに割り当てられるオブジェクトのインスタンスのみ] に構成されていることを確認します。

  6. 割り当てられているセキュリティ ロールを変更するには、[セキュリティ ロール] タブをクリックします。

    - このユーザーに追加のセキュリティ ロールを割り当てるには、**\[追加\]** をクリックし、追加で割り当てる各セキュリティ ロールのチェック ボックスをオンにしてから、**\[OK\]** をクリックします。

- セキュリティ ロールを削除するには、一覧から 1 つまたは複数のセキュリティ ロールを選択し、\[削除\] をクリックします。

  7. セキュリティ ロールに関連付けられているセキュリティ スコープとコレクションを変更するには、[セキュリティ スコープ] タブをクリックします。

    - 新しいセキュリティ スコープまたはコレクションを、この管理ユーザーに割り当てられているセキュリティ ロールに関連付けるには、\[追加\] をクリックし、4 つのオプションのいずれかを選択します。**\[セキュリティ スコープ\]** または **\[コレクション\]** を選択した場合、1 つ以上のオブジェクトのチェック ボックスをオンにしてから、**\[OK\]** をクリックします。

- セキュリティ スコープまたはコレクションを削除するには、オブジェクトを選択し、\[削除\] をクリックします。

  8. [OK] をクリックしてこの手順を完了します。

保護可能なオブジェクトの動作が [指定したセキュリティ スコープとコレクションに割り当てられるオブジェクトのインスタンスのみ] に設定されている管理ユーザーを変更するには、次の手順に従います。

オプション:指定したセキュリティ スコープとコレクションに割り当てられるオブジェクトのインスタンスのみ

  1. Configuration Manager コンソールで、[管理] をクリックします。

  2. [管理] ワークスペースで、[セキュリティ] を展開してから、[管理ユーザー] をクリックします。

  3. 変更する管理ユーザーを選択します。

  4. [ホーム] タブの [プロパティ] グループで、[プロパティ] をクリックします。

  5. [セキュリティ スコープ] タブをクリックして、管理ユーザーが [指定したセキュリティ スコープまたはコレクションに割り当てられるオブジェクトのインスタンスのみ] に構成されていることを確認します。

  6. 割り当てられているセキュリティ ロールを変更するには、[セキュリティ ロール] タブをクリックします。

    - この管理ユーザーに追加のセキュリティ ロールを割り当てるには、\[追加\] をクリックします。**\[セキュリティ ロールの追加\]** ダイアログ ボックスで、1 つ以上の使用可能なセキュリティ ロールを選択してから、**\[追加\]** をクリックして、選択したセキュリティ ロールに関連付けるオブジェクトの種類を選択します。**\[セキュリティ スコープ\]** または **\[コレクション\]** を選択した場合、1 つ以上のオブジェクトのチェック ボックスをオンにしてから、**\[OK\]** をクリックします。

  <div class="alert">


  > [!メモ]
  > <P>選択したセキュリティ ロールを管理ユーザーに割り当てる前に、少なくとも 1 つのセキュリティ スコープを構成する必要があります。 複数のセキュリティ ルールを選択した場合、構成する各セキュリティ スコープとコレクションが、選択した各セキュリティ ロールに関連付けられます。</P>


  </div>

- セキュリティ ロールを削除するには、一覧から 1 つまたは複数のセキュリティ ロールを選択し、\[削除\] をクリックします。

  7. 特定のセキュリティ ロールに関連付けられたセキュリティ スコープとコレクションを変更するには、[セキュリティ スコープ] タブをクリックし、セキュリティ ロールを選択してから、[編集] をクリックします。

    - 新しいオブジェクトをこのセキュリティ ロールに関連付けるには、\[追加\] をクリックし、選択したセキュリティ ロールに関連付けるオブジェクトの種類を選択します。**\[セキュリティ スコープ\]** または **\[コレクション\]** を選択した場合、1 つ以上のオブジェクトのチェック ボックスをオンにしてから、**\[OK\]** をクリックします。

  <div class="alert">


  > [!メモ]
  > <P>少なくとも 1 つのセキュリティ スコープを構成する必要があります。</P>


  </div>

- このセキュリティ ロールに関連付けられているセキュリティ スコープまたはコレクションを削除するには、オブジェクトを選択し、\[削除\] をクリックします。

- 関連付けられたオブジェクトの変更が終了したら、\[OK\] をクリックします。

  8. [OK] をクリックしてこの手順を完了します。

    System_CAPS_caution注意

    セキュリティ ロールによって管理ユーザーにコレクション展開のアクセス許可が付与されると、これらの管理ユーザーは、該当するセキュリティ スコープが異なるセキュリティ ロールに関連付けられている場合でも、オブジェクトの [読み取り] アクセス許可を持っている任意のセキュリティ スコープからオブジェクトを配布できるようになります。

Configuration Manager で使用するアカウントの管理

Configuration Manager は、Windows アカウントのさまざまなタスクとユーザーをサポートしています。

さまざまなタスク用に構成されているアカウントを表示し、各アカウントについて Configuration Manager が使用するパスワードを管理するには、次の手順に従います。

Configuration Manager で使用されるアカウントを管理するには

  1. Configuration Manager コンソールで、[管理] をクリックします。

  2. [管理] ワークスペースで、[セキュリティ] を展開してから、[アカウント] をクリックして、Configuration Manager に構成されたアカウントを表示します。

  3. Configuration Manager に構成されているアカウントのパスワードを変更するには、そのアカウントを選択します。

  4. [ホーム] タブの [プロパティ] グループで、[プロパティ] をクリックします。

  5. [設定] をクリックして、[Windows ユーザー アカウント] ダイアログ ボックスを開きます。Configuration Manager のアカウントに使用する新しいパスワードを指定します。

    [!メモ]

    指定するパスワードが、Active Directory ユーザーとコンピューターのアカウントに指定されているパスワードと一致している必要があります。

  6. [OK] をクリックして手順を完了します。