事前定義済みのロール、「マスターセキュリティ担当者」と「セキュリティ 担当者」に割り当てられていますが、ユーザーが新たに定義したロールに割 り当てることもできます。
11.9 ポリシーの割り当ておよび分析のルール
ポリシーの管理および分析は、このセクションで概説するルールに従って実行され ます。
11.9.1 ポリシーを割り当て、有効にする
ユーザー/コンピュータに対してポリシーを実装できるようにするには、コンテナ オブジェクト (ルート ノード、ドメイン、OU、組み込みコンテナ、またはワークグ ループ) にポリシーを割り当てる必要があります。ユーザー/コンピュータに割り当 てられたポリシーを有効にするため、階層内の任意の地点でポリシーを割り当てる と、すべてのコンピュータ (認証されたコンピュータ) およびすべてのユーザー (認 証されたユーザー) が自動的に有効化されます (有効化せずに割り当てるだけでは不 十分です)。すべてのユーザーおよびすべてのコンピュータはこれらのグループに まとめられています。
11.9.2 ポリシーの継承
ポリシーはコンテナオブジェクト間のみで継承できます。コンテナに他のコンテナ オブジェクトがグループ レベルで含まれていない場合は、そのコンテナ内でポリ シーを有効化できます。グループ間で継承することはできません。
11.9.3 ポリシーの継承階層
ポリシーが階層チェーンに沿って割り当てられる場合、ターゲット オブジェクト (ユーザー/コンピュータ) に最も近いポリシーが最も上位となります。したがって、
ターゲットオブジェクトにより近いポリシーが優先されます。
11.9.4 ポリシーの直接的な割り当て
ユーザー/コンピュータは、配置先コンテナ オブジェクトに直接割り当てられたポ リシーを取得します (別のコンテナ オブジェクトに配置されているグループのユー ザーとしてのメンバーシップだけでは不十分です)。このコンテナオブジェクトは、
このポリシーを継承していません。
11.9.5 ポリシーの間接的な割り当て
ユーザー/コンピュータは、配置先コンテナオブジェクトが上位のコンテナオブジェ クトから継承したポリシーを取得します (別のコンテナ オブジェクトに配置されて いるグループのユーザーとしてのメンバーシップだけでは不十分です)。
11.9.6 ポリシーを有効 / 無効にする
コンピュータ/ユーザーに対してポリシーを有効にするには、グループ レベルで有 効化する必要があります (ポリシーはグループ レベルのみで有効化できます)。この グループが同一のコンテナ オブジェクトに含まれているかどうかは関係ありませ
ん。重要なことは、ユーザーまたはコンピュータが、ポリシーに直接的に割り当て られているか、(継承によって) 間接的に割り当てられているかという点だけです。
コンピュータまたはユーザーが OU または継承ラインの外部にあり、この OU 内に あるグループのメンバーである場合、有効化はこのユーザーまたはコンピュータに は適用されません。このユーザーまたはコンピュータに対する有効な割り当て (直 接的または間接的) がないからです。確かにグループは有効化されましたが、有効 化はポリシーも割り当てられているユーザーおよびマシンのみに適用されます。つ まり、オブジェクトに対して直接的または間接的なポリシーの割り当てが行われて いない場合、ポリシーの有効化はコンテナの境界外には適用されません。
ポリシーは、ユーザー グループまたはコンピュータ グループに対して有効化され ることで、有効になります。ユーザー グループが分析され、次にコンピュータ グ ループ (「認証されたユーザー」および「認証されたコンピュータ」も含む) が分析 されます。両方の結果は論理和でリンクされます。この論理和リンクがコンピュー タ/ユーザーの関係に対して真となった場合は、ポリシーが適用されます。
注
: 1つのオブジェクトに対して複数のポリシーを有効にすると、前述のルールに従いながら、個々のポリシーが結合されます。つまり、オブジェクトの 実際の設定は、複数の異なるポリシーから構成されることがあることを意味 します。
グループには、次のいずれかの有効化設定を行えます。
■ アクティブ化
ポリシーが割り当てられています。グループは、SafeGuard Management Center の 有効化ペインに表示されます。
■ 非アクティブ化
ポリシーが割り当てられています。グループは有効化ペインにありません。
ポリシーがコンテナに割り当てられると、グループに対する有効化設定 (アクティ ブ化) によって、このコンテナに対するポリシーをポリシーの計算に含めるかどう かが決まります。
継承したポリシーはこれらの有効化では制御できません。よりローカルな OU では
「ポリシー継承のブロック」を設定する必要があるので、よりグローバルなポリ シーをここで有効にすることはできません。
11.9.7 ユーザー / グループの設定
ユーザーに対するポリシーの設定 (SafeGuard Management Center で黒で表示) は、コ ンピュータに対する設定 (SafeGuard Management Center で青で表示) よりも優先しま す。ユーザー設定がコンピュータに対するポリシーで指定された場合、これらの設 定はユーザーに対するポリシーによって上書きされます。