セキュリティ : Cisco Firepower Management Center

Sourcefire ユーザ エージェントが使用するアクティブ ディレクトリ ユーザアカウントへのアクセス許可最小限の権限

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料に AD ドメインコントローラを問い合わせるのに必要とされる最小権限を Active Directory (AD) ユーザに与える方法を記述されています。 Sourcefire ユーザ エージェントは AD ドメインコントローラを問い合わせるために AD ユーザを使用します。 クエリを行うために、AD ユーザは追加権限を必要としません。 

Nazmul Rajib およびダグラス損失によって貢献される、Cisco TAC エンジニア。

前提条件

要件

Cisco は Microsoft Windows システムで Sourcefire ユーザ エージェントをインストールし、AD ドメインコントローラにアクセスを提供することを必要とします。

使用するコンポーネント

このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

設定

最初に、管理者はユーザ エージェント アクセスのための新しい AD ユーザをとりわけ作成する必要があります。 この新規 ユーザがドメイン管理者 グループのメンバー(およびそれらあるべきではないです)でなければ、ユーザは Windows 管理装置(WMI)セキュリティ ログにアクセスする明示的に付与されたアクセス許可でなければならないかもしれません。 権限を与えるために、これらのステップを完了して下さい:

  1. WMI 制御卓を開いて下さい:

    1. AD サーバで、Start メニューを選択して下さい。

    2. wmimgmt.msc を『Run』 をクリック し、入力して下さい

    3. [OK] をクリックします。 WMI 制御卓は現われます。



  2. WMI コンソールツリーで、右クリック WMI コントロールはそれから『Properties』 をクリック し。

  3. [Security] タブをクリックします。

  4. ユーザかグループ アクセス(Root\CIMV2)を可能にしたいと思う選択し次に『Security』 をクリック して下さいネームスペースを。



  5. Security ダイアログボックスで、『Add』 をクリック して下さい。



  6. Select Users, Computers, または Groups ダイアログボックスでは、そのオブジェクトの名前を(ユーザかグループ)追加したいと思います入力して下さい。 エントリを確認し、次に『OK』 をクリック するためにチェック名前をクリックして下さい。 位置を変更するか、またはオブジェクトのために問い合わせるために『Advanced』 をクリック しなければならないかもしれません。 より多くの詳細については状況依存 の ヘルプを(か。)参照して下さい。

  7. Security ダイアログボックスでは、Permissions セクションで、新規 ユーザかグループに許可を選択して下さい(すべての許可を与えること容易な)与えるために割り当てるか、または否定します。 ユーザは少なくともリモート イネーブル 権限を与える必要があります。

  8. 変更を保存するために『Apply』 をクリック して下さい。 ウィンドウを閉じます。

確認

現在、この設定に使用できる確認手順はありません。

トラブルシューティング

ここでは、設定のトラブルシューティングに役立つ情報について説明します。

問題がコンフィギュレーション変更の後で続く場合、リモートアクセスを許可するために Distributed Component Object Model (DCOM)設定をアップデートして下さい:

  1. Start メニューを選択して下さい。

  2. DCOMCNFG を『Run』 をクリック し、入力して下さい。

  3. [OK] をクリックします。 コンポーネント サービス ダイアログボックスは現われます。



  4. 次にコンポーネント サービス ダイアログボックスでは、コンポーネント サービスを拡張し、コンピュータを拡張し、マイ コンピュータを右クリックし、『Properties』 を選択 して下さい。

  5. マイ コンピュータ Properties ダイアログボックスで、COM Security タブをクリックして下さい。



  6. 起動およびアクティベーション権限の下で、制限を『Edit』 をクリック して下さい。

  7. 起動およびアクティベーション アクセス許可ダイアログ ボックスでは、名前かグループがグループに現われないか、またはユーザネームがリストしたら場合これらのステップを完了して下さい:

    1. 起動およびアクティベーション アクセス許可ダイアログ ボックスで、『Add』 をクリック して下さい。

    2. Select Users, Computers, または Groups ダイアログボックスでは、名前およびグループを入力でオブジェクト名 SELECT フィールドに入力し、次に『OK』 をクリック して下さい。

  8. 起動およびアクティベーション アクセス許可ダイアログ ボックスで、ユーザを選択し、グループかユーザネーム セクションでグループ化して下さい。



  9. ユーザ向けの権限の下の割り当てカラムでは、リモート起動およびリモート アクティベーション チェックボックスをチェックし、次に『OK』 をクリック して下さい。

    : ユーザネームは AD サーバのユーザ ログイン データのために問い合わせる権限がなければなりません。 プロキシによってユーザと認証するために、完全修飾 ユーザネームを入力して下さい。 デフォルトで、エージェントを自動読み込む Domain フィールドをインストールしたコンピュータにログイン するのが常であったアカウントのためのドメイン。 供給するユーザが異なるドメインのメンバー、アップデートすれば供給されるユーザーの資格情報のためのドメインをなら。

  10. 問題が持続する場合、ドメインコントローラで Manage 監査およびセキュリティ ログ ポリシーのユーザを追加することを試みて下さい。 ユーザを追加するために、これらのステップを完了して下さい:

    1. グループ ポリシー管理 エディタを選択して下さい。

    2. 設定 > ウィンドウ設定 > Security 設定 > ローカル ポリシー > ユーザ 権限 割り当てを『Computer』 を選択 して下さい。

    3. choose Manage 監査およびセキュリティ ログ

    4. ユーザを追加します。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 118637