windowsクライアントPCでやるべきユーザーの権限管理
自分含めてみんな割りと雑なので、ここにやるべき権限管理を書く。
通常だと管理者権限で常に動かしているので、裸状態で歩いているみたいなもんである。
windows serverと同じく管理者権限をAdministratorユーザーのみ使えるようにする設定方法を書きます。
企業にあるWindows PCだとBPや一般ユーザーがパソコンの状態を変更できないように
設定することはよくある。
セキュリティをちゃんとするなら設定しておくこと。
Administratorユーザーの有効化とパスワードの設定
Administratorユーザーは通常のwindowsクライアントPCでも実はユーザーが作成済みで、
無効になってパスワードが設定されていないだけなので、有効にしてパスワードを設定するだけでよい。
Windowsではパスワードの有効期限がデフォルトで設定されているので、ちゃんと無限に設定しておくこと。
設定を無限にした上でパスワード生成ツールで作成して18文字以上(できれば20文字以上)か、安心できるエントロピーを
元に作成すること。
Administratorの有効化
Enable-LocalUser -Name "Administrator"
Administratorのパスワードの設定
# Administratorのパスワード
$password = "パスワード"
$SecureString = ConvertTo-SecureString $password -AsPlainText -Force
# 一度に設定できないため分ける。
Set-LocalUser -Name "Administrator" -Password $SecureString
Set-LocalUser -Name "Administrator" -PasswordNeverExpires $true
user groupに追加
デフォルトだと入っているはずだが、もし入っていないなら下のようにしてuser groupに追加すること。
userグループにログインしていないとログイン権限が無いので、ログインできなくなる。
Add-LocalGroupMember -Group Users -Member "Administrator"
普段使いの一般ユーザーの設定
普段使いの一般ユーザーからadministratorsの権限を奪う
普段使いの一般ユーザーからAdministratorの権限を除外します。
Remove-LocalGroupMember -Group Administrators -Member "普段使いの一般ユーザー"
管理に必要な権限を与える
開発者用のツールの権限は持っておきたいとかはあると思うので追加する。
windows初め、あらゆるosではuserに権限を与える場合はgroupに所属することにより権限を付与する。
Hyper-V
Add-LocalGroupMember -Group Users -Member "Hyper-V Administrators" -Member "普段使いの一般ユーザー"
Remote desktopの許可
remote desktopでこの端末にログインできるようにするには下のように
Remote Desktop Usersに追加する。
Remote Desktopの機能はWindows Pro以上のエディションなので注意。
Add-LocalGroupMember -Group Users -Member "Remote Desktop Users" -Member "普段使いの一般ユーザー"
Dockerの権限
dockerをインストールするとシステムにdocker-users groupが作成されるのでそれを使う。
Add-LocalGroupMember -Group Users -Member "docker-users" -Member "普段使いの一般ユーザー"
user groupに追加
Administatorsグループから除外するとログインできなくなる時もあるので追加する。
Add-LocalGroupMember -Group Users -Member "普段使いの一般ユーザー"
まとめ
少人数なら自動化の手間のほうが大きくなるが、
それなりの大きさの組織としてやるならこの設定を自動化したゴールデンイメージを作って各PCにインストールすること。
Discussion