Windows エンドポイント管理ガイド › アカウントの保護 › 別のユーザとしての実行の保護 › CA Access Control が別のユーザとしての実行要求に応答する方法

CA Access Control が別のユーザとしての実行要求に応答する方法

SURROGATE クラスの各レコードは、特定のユーザを別のユーザとしての実行から保護するための制限を定義します。 CA Access Control では、別のユーザとしての実行要求を権限のあるユーザのみがアクセスできる抽象オブジェクトとして扱います。 SURROGATE クラスのレコードは、代理（別のユーザとしての実行）の保護が適用される各ユーザまたはグループを表します。

あるユーザまたはグループが、別のユーザまたはグループとして実行することを要求した場合、CA Access Control は以下を実行します。

1. 要求を実行したユーザまたはグループの SURROGATE レコードのアクセス権限を確認します。 SURROGATE レコードによっては、以下のいずれかが発生します。
   • 要求を実行したユーザまたはグループの SURROGATE レコードが、別のユーザとして実行することを許可または拒否します。

     CA Access Control は、別のユーザとしての実行要求を許可または拒否する際に、SURROGATE レコードのアクセス権限を使用します。

   • ユーザまたはグループには、SURROGATE レコードはありません。

     プロセスを手順 2 に進めます。

2. ユーザまたはグループのデフォルト SURROGATE レコードのアクセス権限を以下のように確認します。
   • 要求がユーザから実行された場合、CA Access Control はそのユーザに USER._default SURROGATE レコードに定義されているアクセス タイプを付与します。
   • 要求がグループから実行された場合、CA Access Control はそのグループに GROUP._default SURROGATE レコードに定義されているアクセス タイプを付与します。

     注： USER._default、GROUP._default、および _default SURROGATEUSER のデフォルト アクセス権限は読み取り権限です。 この場合、ユーザまたはグループの SURROGATE レコード で別のユーザとしての実行要求が拒否されていない限り、CA Access Control は別のユーザまたはグループとしての実行要求をすべて許可することを意味します。 この動作を変更するには、USER._default および GROUP._default レコードのアクセス権限を変更してください。 また、_default SURROGATE レコードのアクセス権限を変更することによって、ユーザとグループに同じデフォルト設定を適用することもできます。