UserLockサーバーが保護対象マシンにアクセスするのはどんなときか
UserLockサーバーのサービスは、Windowsの「NetworkService」アカウントで実行されています。
これはUsersグループのメンバーと同等程度の権限をもつアカウントです。
しかし、UserLockの一部の処理においては、保護対象のマシンの下記フォルダに対する管理者権限が必要となります。
\\machinename\admin$
そのため、このような処理を行う際にはNetworkServiceアカウントでは権限不足であるため、一時的に管理者権限アカウントに成り代わってサービスを実行する必要があります。
それらの高い権限を必要とする処理を行うためのアカウントを、「サービス偽装アカウント」としてあらかじめ定義しておくという仕組みになっています。
「サービス偽装アカウント」はUserLockインストール後に行われる構成ウィザード内で指定します。
「サービス偽装アカウント」にはドメイン管理者のアカウントを指定することが推奨されます。
管理者権限が必要となる処理
管理者権限は、主に以下の処理を行う際に必要となります:
- 保護対象マシンへのエージェントのインストール
- 保護対象マシンに対するロック、ログオフ等のリモート操作
- ログの収集(UserLockコンソールで診断ログの収集操作を行った際、保護対象マシンの情報も収集されます)