共有資格情報は安全ではなく、管理が難しい

tag-icon tag-icon windows-7 networking windows-10 network-shares credentials
共有資格情報は安全ではなく、管理が難しい

共有ネットワーク ドライブがある場合、そのコンテンツにアクセスするにはユーザーとパスワードの認証が必要です。

net use コマンドまたは Windows 資格情報マネージャーを使用して、ユーザー名とパスワードを 1 台の PC に追加し、ドライブへのアクセスを許可することができます。

すべてのコンピューターとドライブは同じネットワーク上にあり、資格情報があればすべてアクセスできます。

自分の Windows 資格情報のコピーを作成することも試みました。コピーは別の PC で復元できますが、手動で行う必要があるため、これを自動的に行う方法を見つける必要があります。

どのようにできますか広める100 台の PC にこのような資格情報を 1 つずつ追加せずに保存できますか?

使用できますかネット使用IP がわかっているので、特定のデバイスで動作しますか?

ほとんどのコンピューターはドメイン内にあります。特定の権限が付与された単一のユーザーが作成され、すべてのコンピューターがその資格情報を使用してリソースを操作することが想定されています。

答え1

共有資格情報は安全ではなく、管理が難しい

ご存知のとおり、単一のユーザー アカウントを使用して複数のユーザーにリソースへのアクセスを安全に許可するのは困難です。この回答の最後で、これがなぜ難しいのか、なぜ避けるべきなのかを説明します。

ただし、まず、リソースへのアクセスを許可する正しい方法は、アクセスを必要とするユーザーごとに個別のユーザー アカウントを使用することです。これを行う方法は、ターゲット リソース ホストのドメインの一部であるマシンとそうでないマシンによって異なります。

同じドメインのメンバー

リソースをホストするコンピューターと同じドメインにあるマシンからリソースにアクセスするユーザーの場合は、アクセスを必要とする既存の AD ユーザー アカウントにアクセス権を付与するだけです。ベスト プラクティスの方法は次のとおりです。

  1. ドメイン セキュリティ グループを作成します。
  2. グループにターゲット リソースへのアクセス権を付与します。
  3. リソースへのアクセスが必要な各 AD ユーザー オブジェクトをセキュリティ グループのメンバーにします。

非ドメインメンバー

リソースのドメインにないマシンからリソースにアクセスする必要があるユーザーの場合、ベスト プラクティスの方法は、次のように個々のユーザー アカウントにアクセス権を付与することです。

  1. Active Directoryユーザーアカウントを作成するには、同じリソースへのアクセスを必要とする非ドメイン コンピューターにログオンするために使用されるユーザー名とパスワード。

    何らかの理由でユーザーのパスワードにアクセスできない場合は、次のいずれかの方法を実行できます。

    a. ドメイン外の各ユーザーに対してADユーザーアカウントを作成し、任意のパスワードを割り当てます。この場合、違う非ドメイン コンピュータで使用されているものとは異なるパスワードを使用してください。そうしないと、ユーザー名は一致しますがパスワードは一致せず、ログオンに成功しません。(推奨)

    b. すべての非ドメイン ユーザーが共有する単一の AD ユーザー オブジェクトを作成します (推奨されません。以下を参照してください)。

  2. 新しい AD ユーザー オブジェクトを、上記のセクションの手順 1 で作成したグループのメンバーにします。

複数のユーザーにアクセスを許可するときに、単一のユーザー オブジェクトを避けるのはなぜですか?

ご覧のとおり、ベスト プラクティスのアプローチでは、リソースへのアクセスを許可するために単一のユーザー名とパスワードを使用することは避けられています。これにはいくつかの理由があります。

  • 共有アカウントは、アクセス要件の変更に対して柔軟性がありません。ユーザーのアクセスを取り消すとき、共有アカウントは容赦がありません。アカウントのパスワードを変更する必要があり、そのためにはアクセスを必要とするすべてのデバイスでパスワードを変更する必要があり、その結果...

  • 共有パスワードの変更には手間がかかります。パスワードを使用して特定のユーザーを締め出す場合、パスワードの変更は避けられないと想定します。しかし、1 つのデバイスでパスワードを変更するのではなく、多くのデバイスでパスワードを変更する必要があります。その多くは集中管理されていないことがよくあります。さらに悪いことに、新しいパスワードが展開されるまで、古いパスワードを使用しているデバイスはリソースにアクセスできません。

  • 共有アカウントでは、承認されたユーザーが識別されません。 システムのどこにも、共有アカウント経由で誰がアクセスできるかはわかりません。あなた(および環境を管理する他のユーザー)は、別のリストを維持する必要があります。また、ユーザーオブジェクトに直接権限を付与する場合とは異なり、保証外部リストは正確です。さらに、リソースへのアクセスをリアルタイムで監視する場合、共有アカウントでは実際にリソースを使用しているユーザーがわかりません。

  • 共有アカウントは侵害される可能性が高くなります。 パスワードは、より多くのシステムで、より多くの場所から、より多くの人々によって使用されるため、それぞれが侵害の可能性のあるポイントとなります。パスワードの変更でこの問題を解決することの難しさについては、問題 1 を参照してください。

単一のログオン資格情報の大量配布

おそらく、リソースへのアクセスを許可するには、共有のユーザー名とパスワードを使用する必要があることに気付くでしょう。このような状況に陥った場合、残念なことに、セキュリティをある程度維持しながら、自動的に便利に配布する方法はありません。

自動化の主な問題は、共有資格情報の使用/保存が必要であるという事実です。リソースにアクセスするユーザーのログオンコンテキストでこれにより、リモート自動化プロセスが排除されます (各ユーザーのパスワードがわかっている場合は、共有資格情報を使用する必要はありません)。

残っているのは、ユーザーがいる間にコンピューターに 1 台ずつアクセスして、共有資格情報を保存しながらログインできるようにするか、ユーザーに資格情報を直接提供して、ユーザーが自分で入力できるようにすることです。

関連情報