インストールおよび構成の際に必要なユーザー・アカウント情報

インストールおよび構成時には、特定の権限が割り当てられた、さまざまなユーザー・アカウントが使用されます。サービス・アカウントとローカル・システム・ユーザー・アカウントは、同じユーザー名とパスワードを持つ単一アカウントである場合もあります。ただし、組織で職務を分離する必要がある場合は、インストールおよび構成時にはローカル・システム・ユーザー・アカウントを使用し、SQL Server データベース・アクセスの保守時にはサービス・アカウントを使用します。

インストールおよび構成時のサービス・アカウントの使用

1. インストール・アカウントとしてのサービス・アカウントの使用

許可 説明
サービス・アカウントをローカル管理者にします。ソフトウェアのインストールまたは保守を行う場合は、このアカウントとしてログインします。サービス・アカウントには、コンピューターのローカル・セキュリティー・ポリシーで以下の権限が割り当てられている必要があります。
  • ネットワーク経由でコンピューターへアクセス
  • サービスとしてログオン (この権限は、ローカル製品管理者によって実行されているサーバー構成ウィザードによって付与されます)

SQL Server データベースでは、インストール方法に応じて、単一または複数のサービス・アカウントを使用できます。

サーバー上に、インストールおよび構成が完了した後にコンピューターのローカル・セキュリティー・ポリシーを変更して上記のいずれかの権限を取り消すようなグループ・ポリシーがデプロイされている場合、AppScan Enterprise は機能しません。

インストールしたコンポーネントの構成時に、 サービス・アカウント情報を入力する必要があります。このサービス・アカウントによって、 エージェントはデータベース・サーバーにアクセスできます。個々のユーザーは、形式にかかわらず、データベースのアクセス権は必要ありません。エージェントおよびデータベースに対して使用されるサービス・アカウントは、有効期限が切れないパスワードを持っている必要があります。ただし、定期的にパスワードを変更する必要がある場合は、すべての AppScan® Enterprise Server および Dynamic Analysis Scanner コンピューターで構成ウィザードを再実行して、新規パスワードを入力できます。

サービス・アカウントには、データベースに対する db_owner 権限が付与されます。サービス・アカウントには、データベースと表の作成、ユーザーの追加、ストアード・プロシージャーの実行、および権限の付与を行うことが許可されている必要があります。組織でサービス・アカウントに db_owner 権限を付与しないようにしている場合は、AppScan Enterprise の構成および実行に最低限必要な ddladmin、datawriter、および datareader 権限をアカウントに付与する必要があります。

ファイルおよびフォルダーの許可
サービス・アカウントには、Drive:\\YourInstallFolder\HCL\product name\ とそのすべてのサブフォルダーに対する以下の権限が付与されている必要があります。
  • 読み取りおよび実行
  • 書き込み
  • 削除
  • ファイルおよびサブフォルダーの削除
  • ファイルおよびサブフォルダーの作成
注: これらの許可によって、サービス・アカウントはログ・ファイルに書き込むことができます。また、これらの許可によって、スキャン・エージェントは一時ファイルに書き込むことができます。この書き込みができない場合、スキャンは機能しません。これらの権限は構成ウィザードで作成されます。変更しないでください。
ローカル・セキュリティー・ポリシー

サービス・アカウントには、ユーザーのログオン資格情報を偽装できるよう、ターゲット・マシンにローカルでログオンする権限が付与されている必要があります。また、サービスとしてログオンできる許可を持っている必要もあります。

レジストリー許可
サービス・アカウントには、以下の権限が付与されている必要があります。
  • 読み取りおよび実行
  • 書き込み
  • 削除

インストールおよび構成時のローカル・システム・ユーザー・アカウントの使用

ローカル・システム・ユーザー・アカウントは、マシン上のローカル製品管理者でなければなりません (サービス・アカウントである必要はありません)。このユーザーには、そのマシンのローカル・セキュリティー・ポリシーで、以下の権限が割り当てられている必要があります。
  • ネットワーク経由でコンピューターへアクセス
  • ローカルでログオンを許可
ローカル・システム・ユーザー・アカウントがインストールおよび構成時にデータベースと表の作成、ユーザーの追加、ストアード・プロシージャーの実行、および権限の付与を行うためには、SQL Server データベースに対する db_creator 権限が必要です。インストールおよび構成が完了した後、ローカル・システム・ユーザー・アカウントからデータベースに対する権限を除去し、それらの権限をサービス・アカウントに割り当てて、AppScan Enterprise とデータベースの間のすべての対話を処理できるようにします。
ヒント: AppScan Enterprise をアップグレードする場合、あるいは構成ウィザードを再実行する (これによりデータベースが変更される) 場合は、ローカル・システム・ユーザー・アカウントに適切なデータベース特権を付与してください。
  1. ローカル・システム・ユーザー・アカウントが、MS SQL Server 上に AppScan データベースを作成および構成します。
  2. ローカル・システム・ユーザー・アカウントが、データベース・サービスを db_owner としてデータベースに追加します。
  3. ローカル・システム・ユーザー・アカウントが、必要なデータを使用してデータベースを初期化します。
2. インストール・アカウントとしてのローカル・システム・ユーザー・アカウントの使用

許可 説明
ローカル・システム・ユーザー・アカウントをローカル管理者にします。ソフトウェアのインストールまたは保守を行う場合は、このアカウントとしてログインします。ローカル・システム・ユーザー・アカウントには、コンピューターのローカル・セキュリティー・ポリシーで、以下の権限が割り当てられている必要があります。
  • ネットワーク経由でコンピューターへアクセス
  • サービスとしてログオン (この権限は、ローカル製品管理者によって実行されているサーバー構成ウィザードによって付与されます)

SQL Server データベースでは、インストール方法に応じて、単一または複数のアカウントを使用できます。

サーバー上に、インストールおよび構成が完了した後にコンピューターのローカル・セキュリティー・ポリシーを変更して上記のいずれかの権限を取り消すようなグループ・ポリシーがデプロイされている場合、AppScan Enterprise は機能しません。

ローカル・システム・ユーザー・アカウントを使用することで、エージェントはデータベース・サーバーにアクセスできます。個々のユーザーは、形式にかかわらず、データベースのアクセス権は必要ありません。エージェントおよびデータベースに対して使用されるローカル・システム・ユーザー・アカウントは、有効期限が切れないパスワードを持っている必要があります。ただし、定期的にパスワードを変更する必要がある場合は、すべての AppScan® Enterprise Server および Dynamic Analysis Scanner コンピューターで構成ウィザードを再実行して、新規パスワードを入力できます。

インストールおよび構成が完了した後、ローカル・システム・ユーザー・アカウントからデータベースに対する権限を除去し、それらの権限をサービス・アカウントに割り当てて、AppScan Enterprise とデータベースの間のすべての対話を処理できるようにします。

ローカル・システム・ユーザー・アカウントには、データベースに対する db_owner 権限が付与されます。ローカル・システム・ユーザー・アカウントには、データベースと表の作成、ユーザーの追加、ストアード・プロシージャーの実行、および権限の付与を行うことが許可されている必要があります。組織でローカル・アカウントに db_owner 権限を付与しないようにしている場合は、AppScan Enterprise の構成および実行に最低限必要な ddladmin、datawriter、および datareader 権限をアカウントに付与する必要があります。

ファイルおよびフォルダーの許可
ローカル・システム・ユーザー・アカウントには、Drive:\\YourInstallFolder\HCL\product name\ とそのすべてのサブフォルダーに対する以下の権限が付与されている必要があります。
  • 読み取りおよび実行
  • 書き込み
  • 削除
  • ファイルおよびサブフォルダーの削除
  • ファイルおよびサブフォルダーの作成
注: これらの権限によって、ローカル・システム・ユーザー・アカウントにはログ・ファイルへの書き込みが許可されます。また、これらの許可によって、スキャン・エージェントは一時ファイルに書き込むことができます。この書き込みができない場合、スキャンは機能しません。これらの権限は構成ウィザードで作成されます。変更しないでください。
ローカル・セキュリティー・ポリシー

ローカル・システム・ユーザー・アカウントには、ユーザーのログオン資格情報を偽装できるよう、ターゲット・マシンにローカルでログオンする権限が付与されている必要があります。また、サービスとしてログオンできる許可を持っている必要もあります。

レジストリー許可
ローカル・システム・ユーザー・アカウントには、以下の権限が付与されている必要があります。
  • 読み取りおよび実行
  • 書き込み
  • 削除

その他のユーザー・アカウント

3. その他のユーザー・アカウント

アカウント 説明
ASPNET アカウント
ASPNET アカウントには、Drive:\\YourInstallFolder\HCL\product name\ およびこのすべてのサブフォルダーに対する以下の権限が付与されている必要があります。
  • 読み取りおよび実行
  • 書き込み
  • 削除
  • 認証後にクライアントを偽装
インターネット・ゲスト・アカウント
インターネット・ゲスト・アカウントには、Drive:\\YourInstallFolder\HCL\product name\ およびそのすべてのサブフォルダーに対する以下の権限が付与されている必要があります。
  • 読み取りおよび実行
  • 書き込み