Caché インスタンスおよびインストール・ツリーへのアクセスの管理
Caché インスタンスおよびインストール・ツリーへのアクセスの管理
Caché が Normal または Locked-Down セキュリティでインストールされる場合、Windows Caché サービスを実行するアカウントには以下の両方がなければなりません。
-
Caché インスタンスの開始、停止、および制御に必要な権限。
サービスが既定のローカル・システム・アカウントで実行される場合またはインストール時に指定されたサービス・アカウントが Windows Administrators グループのメンバである場合、これは自動的に行われますが、その他の指定されたサービス・アカウントの場合は自動的に行われません。
-
インストール・ツリー (つまり、Caché がインストールされているディレクトリおよびそのすべてのサブディレクトリ) へのフル・アクセス権限。
すべてのアカウントに対して、これは既定で自動的に行われます。なぜなら、インストールされると、認証されたすべての Windows ユーザはインストール・ツリーへのアクセス権限を持つからです。ただし、以下で説明されているように、セキュリティ上の理由でインストール・ツリーへのアクセスを制限することもできます。
Administrators のメンバではないサービス・アカウントを指定する場合、これらの必要に対処するために、インストーラにより以下の 2 つのユーザ・グループが作成され、それぞれにサービス・アカウントが追加されます。
-
CacheServices グループ。必要なインスタンス制御特権を付与します。
-
Cache_Instance_instancename グループ (例えば、Cache_Instance_MyCache)。インストール・ツリーへのフル・アクセス権限を付与します。
これらのグループについて、以下のことに注意してください。
-
Caché のインストール・ツリーへのアクセスを Windows Administrators および Cache_Instance_instancename グループ (サービス・アカウントを含む) のメンバに制限するには、以下のコマンドを使用して、認証されたすべてのユーザにアクセス権限を付与する Windows アクセス制御エントリ (ACE) を削除します。
icacls <install-dir> /remove "NT AUTHORITY\Authenticated Users"
Important:インストール・ツリーへのアクセスを制限しない場合、Caché インスタンスをホストするシステムにログインできるユーザは、容易にそのファイルと設定を変更したり、完全に無効にしたりすることができます。
-
Caché のインストール・ツリーの外側にあるすべてのインスタンスのデータベース、ジャーナル、およびログ・ファイルに必要なアクセス権を Caché に確実に付与するには、Cache_Instance_instancename グループにこれらのファイルおよびこれらのファイルを格納しているディレクトリへのフル・アクセス権限を付与します。
-
場合によっては、Administrators のメンバではなく、しかもサービス・アカウントではない Windows アカウントにインストール・ツリーおよび他のインスタンス・ファイルへのアクセス権限を付与することもできます。これには、例えば自動化タスクを実行するサービス・アカウント、および Windows サーバに直接ログインし、ローカルのターミナル・セッションを使用するか、またはカスタム・コールイン実行可能プログラムを呼び出して Caché にアクセスするアカウントが含まれます。そのようなアカウントに必要なアクセス権限を付与するには、そのアカウントを Cache_Instance_instancename グループに追加します。
Windows Caché サービス・アカウントを、Administrators のメンバではないサービス・アカウントに変更する場合、この目的で Windows のコントロール パネルを使用しないでください。代わりに、以下のコマンドを使用してください。このコマンドにより、指定されたアカウントが CacheServices および Cache_Instance_instancename グループに追加されます。
<install-dir>\bin\Cinstall.exe setserviceusername <instance-name> <username> <password>