NT ドメインが使用されている場合、ホスト認証(信頼できるスキャン)で使用される Windows アカウントを作成するには、以下のオプションの 1 つを使用することになります。
1)管理者権限を持つアカウントでドメインコントローラにログインします。
2)“ qualys_account ”という新しいユーザアカウントを作成します。
3)“ qualys_account ”を“ Domain Admins ”というグローバルグループのメンバーにします。
4)グループのプロパティの“ Member of ”項で、“ Domain Admins ”というグループを除くすべてのグループを削除します。グローバルグループ“ Domain Admins ”はリモートシステムへのアクセスに使用します。このグループが Windows NT ドメインのメンバーになると、“ Administrators ”というローカルグループに自動的に追加されます。
5)グループポリシーで必要な設定を行います。詳細
1)管理者権限を持つアカウントでドメインコントローラにログインします。
2)“ qualys_scanners ”という新しいグローバルグループを作成します。グループのプロパティで、グループにメンバーが存在しないことを確認します。
3)“ qualys_account ”という新しいユーザアカウントを作成し、“ qualys_scanners ”グループに追加します。アカウントのプロパティの“ Member of ”項で、“ Administrators ”を除くすべてのグループを削除します。
4)SetACL ツールを取得します。必要であれば、http://helgeklein.com/ からダウンロードしてください。
5)コマンドラインで SetACL を実行し、対象ホストのリモートアクセスレジストリキーを設定します。表示表示
setacl on "\\NETBIOS_NAME\MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg" -ot reg -actn ace -ace "n:DOMAIN\GROUPNAME;p:read;m:grant;w:dacl;i:np"
ここで、GROUPNAME は“ qualys_scanners ”グループ(作成したグローバルグループ)です。
6)グループポリシーで必要な設定を行います。詳細
Active Directory の使用Active Directory の使用
Windows Active Directory ドメインや別のバージョンの Windows を実行しているワークステーションのある一部の環境では、この方法により、特定のワークステーションのレジストリキーをリモートで設定できる場合があります。この場合、オプション 1 に従ってドメイン全体のポリシーを設定すると、レジストリキーは Windows 2000/2003/XP ワークステーション専用に設定されます。前のバージョンの Windows を実行しているワークステーションでは、これらのシステムのレジストリキーの変更には SetACL ツールを使用してください。