役割ベースのアクセス制御により、ユーザーを役割に割り当て、各役割に割り当てた許可を追跡することができます。承認規則というスクリプトを使用して、特定の制御を適用することもできます。承認規則を使って、アクセス制御と組織の構成との関係を制御することができます。
承認マネージャーを使用すると、多くの場合、リソースへのアクセス制御を効率的に行うことができます。一般的に、ユーザー承認の役割とコンピューター構成の役割は、多くの場合、役割ベースの管理を利用します。
-
ユーザー承認の役割は、ユーザーのジョブ機能に基づきます。承認の役割を使用すると、アクセスの承認、管理者特権の委任、コンピューター ベースのリソースとの対話の管理を行えます。たとえば、支出を承認し、口座取引を監査する権利を持った会計の役割を定義することも可能です。
-
コンピューター構成の役割は、コンピューターの機能に基づきます。コンピューター構成の役割を使うと、インストールする機能の選択、サービスの有効化、およびオプションの選択を行うことができます。たとえば、Web サーバー、ドメイン コントローラー、ファイル サーバー、および組織に合わせたカスタム サーバー構成に対して、サーバー用のコンピューター構成の役割を定義できます。
承認マネージャーの開発者モードと管理者モードを使用する
承認マネージャーでは、次の 2 種類のモードを使用できます。
-
開発者モード。開発者モードでは、アプリケーションの作成、展開、および管理を行えます。すべての承認マネージャー機能に無制限のアクセス権を持っています。
-
管理者モード。これは既定のモードです。管理者モードでは、アプリケーションの展開と管理が可能です。すべての承認マネージャーの機能にアクセスできますが、新しいアプリケーションを作成したり、操作を定義することはできません。
一般的に、承認マネージャーは、実際の環境における特定の目的に合わせて記述されたカスタム アプリケーションによって使用されます。これらのアプリケーションは通常、承認マネージャーのアプリケーション プログラミング インターフェイス (API) を呼び出すことで、承認ストアを作成、管理、および使用します。この場合、開発者モードを使用する必要はありません。承認マネージャーをプログラムで使用する場合の詳細については、「承認マネージャーのリソース」を参照してください。
開発者モードを使用する場合、承認ストア、アプリケーション、およびその他の必要なオブジェクトを作成、構成するまでの間だけ、承認マネージャーを開発者モードで実行することをお勧めします。承認マネージャーを最初にセットアップした後は、承認マネージャーを管理者モードで実行します。開発者モードや管理者モードの詳細については、「承認マネージャーのオプションを設定する」を参照してください。
承認マネージャーと他の管理ツールを比較する
承認マネージャーを使用して、一度に複数の構成と許可の変更を実装できます。このバージョンの Windows で使用できる他の管理ツールを使用して、場合によっては承認マネージャーを使用するのと同じように、アクセス許可を構成することもできます。それらの管理ツールには、次のものがあります。
-
アクセス制御リスト。[セキュリティ] プロパティ タブにあるアクセス制御リスト (ACL)を使用して、Active Directory ドメイン サービス (AD DS) または Active Directory ライトウェイト ディレクトリ サービス (AD LDS) に格納されるオブジェクトや Windows オブジェクトに対するアクセス制御ポリシーを設定できます。承認マネージャーは、グループのメンバーシップだけでなく、通常は特定のジョブのタスクに基づいた役割をアクセス制御の基盤にして、付与されたアクセス許可を追跡することができるという点で、[セキュリティ] プロパティ タブとは異なっています。
-
オブジェクト制御の委任ウィザード。オブジェクト制御の委任ウィザードでも、複数のアクセス許可が自動的に設定されますが、承認マネージャーとは異なり、付与されたアクセス許可の追跡や削除を行う方法は用意されていません。
その他の参照情報