[タイトル]
Ctx_SmaUserアカウントに必要な権限と権利
[概要]
この文書は、Ctx_SmaUserアカウント関連の問題のトラブルシューティング方法が改良されたことに伴い、以前「Ctx_SmaUserアカウントを再作成する方法」という題名で公開されていた文書を更新したものです。
Ctx_SmaUserアカウントを再作成する場合は、Citrix Knowledge BaseのCTX111464 – CTX_SmaUser Re-creation Toolで提供されているツールを使用することをお勧めします。このツールを使用すると、Presentation Server 4.0のインストール時と同じ方法でCtx_SmaUserアカウントが自動的に再作成されます。
Ctx_SmaUserアカウントを手動で作成または再作成することはお勧めしません。
この文書では、特にこの再作成ツールに焦点を合わせて、Ctx_SmaUserアカウントに割り当てられる標準的な設定について説明します。サーバーのセキュリティ強化やトラブルシューティングを行うときには、この文書をチェックリストとして使用してください。
[背景]
Ctx_SmaUserアカウントは、Citrix Print Manager ServiceおよびCitrix SMA Serviceで特定の機能をサーバーのローカルアカウントで実行するために作成されるアカウントです。デフォルトでは、このアカウントには、これらの機能の実行に必要な権限、グループメンバーシップ、権利だけが与えられます。サーバーのセキュリティ強化やロックダウンのためにこのデフォルトの権限と権利を変更すると、好ましくない影響が生じることがあります(ICAセッションでプリンタが自動作成されない、Access Suite管理コンソールの特定のレポートコンポーネントが正常に機能しない、など)。
場合によっては、印刷関連の問題やAccess Suite管理コンソール関連の問題を切り分け調査するために、一時的にこのアカウントにローカル管理者権限を与えたり、前述のサービスのいずれかまたは両方をLocal Systemアカウントで実行するように設定したりする必要があります。しかし、このような変更をそのままにしておくと、Ctx_SmaUserアカウントの存在意義が失われてしまいます。したがって、このような方法でトラブルシューティングを行った場合は、トラブルシューティング後にCTX111464 - CTX_SmaUser Re-creation Toolの手順に従ってこのアカウントを再作成するようにしてください。
[ローカルグループメンバシップ]
Windows 2000 ServerおよびWindows Server 2003では、Ctx_SmaUserアカウントはPower Usersグループに属しています。このグループメンバシップにより、Ctx_SmaUserアカウントには、一般のユーザーには与えられないさまざまなリソースへのアクセス権限が与えられます。また、このグループには特別なセキュリティ権限も数多く割り当てられています。詳しくは、Microsoftの以下の文書を参照してください。
このグループが各種サーバーリソースのアクセス制御リスト(ACL)にどの程度現れるかは、Microsoft SysinternalsのAccessEnumというツールを使って知ることができます。このツールでは、ファイルシステムまたはレジストリ内の特定のリソースへのアクセス権限を持つアカウントとグループを、すべて表示することができます。なお、このツールでPower Usersグループのアクセス権限を確認するときには、Power UsersグループはEveryoneグループにも属していることに注意してください。また、SysinternalsからはAccessChkというコマンドラインユーティリティも提供されています。このユーティリティでは、Power Usersの各種リソースへのアクセス権限や、より具体的にCtx_SmaUserの各種リソースへのアクセス権限を確認できます。これらのツールの内容と使用方法について詳しくは、以下のSysinternalsのマニュアルを参照してください。
[Ctx_SmaUserアカウントに割り当てられる権利]
Ctx_SmaUserアカウントに割り当てられている権利の一覧を表示するには、サーバーの[ローカルセキュリティポリシー]を開きます。
Windows 2000 Serverでは、[ユーザー権利の割り当て]ノードで、Ctx_SmaUserアカウントまたはPower Userグループに以下の権利が割り当てられていることを確認します。
• [ローカルログオンを許可する]がPower Userローカルグループに割り当てられていること
• [認証後にクライアントを偽装]がCtx_SmaUserアカウントに割り当てられていること
• [バッチジョブとしてログオン]がCtx_SmaUserアカウントに割り当てられていること
• [サービスとしてログオン]がCtx_SmaUserアカウントに割り当てられていること
• [デバイスドライバのロードとアンロード]がCtx_SmaUserアカウントに割り当てられていること
また、Windows 2000 Serverでは、[セキュリティオプション]ノードで次のように設定されていることを確認します。
• ローカルログオンの権利がPower Usersグループに与えられていること
Windows 2003 Serverでは、[ユーザー権利の割り当て]ノードで、Ctx_SmaUserアカウントまたはPower Userグループに以下の権利が割り当てられていることを確認します。
• [ローカルログオンを許可する]がPower Userローカルグループに割り当てられていること
• [認証後にクライアントを偽装]がCtx_SmaUserアカウントに割り当てられていること
• [バッチジョブとしてログオン]がCtx_SmaUserアカウントに割り当てられていること
• [サービスとしてログオン]がCtx_SmaUserアカウントに割り当てられていること
[コンポーネントサービス]
Windows 2000 Serverの[コンポーネントサービス]で、Ctx_SmaUserアカウントに[マイコンピュータ]の[起動の許可]権限が与えられていることを確認します。これを確認するには、次の手順に従います。
1. [スタート]ボタンをクリックし、[プログラム]、[管理ツール]、[コンポーネントサービス]の順にクリックします。
2. 左側のツリー表示で、[コンポーネントサービス]、[コンピュータ]、[マイコンピュータ]の順に選択します。
3. [マイコンピュータ]をマウスの右ボタンでクリックし、[プロパティ]を選択します。
4. [既定のセキュリティ]タブをクリックし、[既定の起動アクセス許可]の[既定値の編集]をクリックします。
5. アクセス制御リストにCtx_SmaUserが表示されます。このアカウントに[起動の許可]権限が設定されていることを確認します。
Windows Server 2003の[コンポーネントサービス]では、複数の項目でCtx_SmaUserアカウントに権限が与えられていることを確認する必要があります。
-------------------
Windows 2003でのCOM+権限に関する機能拡張について:
「起動とアクティブ化」は、Windows 2003 Service Pack 1で追加された新機能です。
Service Pack 1より前は、「起動」権限しか存在せず、この権限にアクティブ化権限が含まれていました。Windows 2003 Service Pack 1にアップグレードすると、これが次の複数の権限に分割されます。
• ローカルからの起動
• ローカルからのアクティブ化
• リモートからの起動
• リモートからのアクティブ化
詳しくは、Microsoft TechnetのDCOMセキュリティの強化を参照してください。
----------------
1. [スタート]ボタンをクリックし、[ファイル名を指定して実行]を選択して「dcomcnfg」と入力するか、[管理ツール]、[コンポーネントサービス]の順にクリックします。
2. 左側のツリー表示で、[コンポーネントサービス]、[コンピュータ]、[マイコンピュータ]の順に選択します。
3. [マイコンピュータ]をマウスの右ボタンでクリックし、[プロパティ]を選択します。
4. [COMセキュリティ]タブをクリックし、[起動とアクティブ化のアクセス許可]の[既定値の編集]をクリックします。
a. アクセス制御リストにCtx_SmaUserアカウントが含まれていることを確認します。
b. デフォルトでは、[ローカルからの起動]が許可されています。これに加え、[ローカルからのアクティブ化]も許可します。
c. アクセス制御リストのダイアログボックスで[OK]をクリックし、[マイコンピュータのプロパティ]ダイアログボックスで[OK]をクリックします。
5. [コンポーネントサービス]ウィンドウ左側のツリー表示で[マイコンピュータ]ノードを展開し、[DCOMの構成]フォルダを選択します。
6. [DCOMの構成]フォルダを選択すると、右側にさまざまなDCOMオブジェクトが表示されます。
7. これらのDCOMオブジェクトの中から[Citrix IMA Service]オブジェクトを選択し、マウスの右ボタンでクリックして[プロパティ]を選択します。
8. [セキュリティ]タブをクリックします。
a. [アクセス許可]の[編集]をクリックします。
b. アクセス制御リストにCtx_SmaUserアカウントが含まれていることを確認し、このアカウントに[ローカルアクセス]と[リモートアクセス]が許可されていることを確認します。
c. アクセス制御リストのダイアログボックスで[OK]をクリックして[セキュリティ]タブに戻ります。
9. DCOMオブジェクトの一覧から[Citrix SMA Service]オブジェクトを選択し、マウスの右ボタンでクリックして[プロパティ]を選択します。
a. [セキュリティ]タブをクリックします。
b. [起動とアクティブ化]の[編集]をクリックします。アクセス制御リストにCtx_SmaUserアカウントが含まれていることを確認し、このアカウントに[ローカルからの起動]と[ローカルからのアクティブ化]が許可されていることを確認します。
c. [アクセス許可]の[編集]をクリックします。アクセス制御リストにCtx_SmaUserアカウントを追加し、このアカウントに[ローカルアクセス]と[リモートからのアクティブ化]が許可されていることを確認します。
d. [構成のアクセス許可]の[編集]をクリックします。Power Usersローカルグループに[ローカルアクセス]と[リモートからのアクティブ化]が許可されていることを確認します。
e. アクセス制御リストのダイアログボックスで[OK]をクリックして[セキュリティ]タブに戻ります。
[その他のリソースに対する権限]
Windows 2000 ServerおよびWindows Server 2003では、ICA-TCPリスナーポートに対する特別な権限がCtx_SmaUserアカウントに与えられています。これらの権限は、ICA-TCPリスナーポートを再作成するたびに設定し直す必要があります。
ICAリスナーポートの権限を設定するには
1. [管理ツール]、[ターミナルサービス構成]、[ICA-tcp]、[プロパティ]、[アクセス許可]の順に選択します。
2. リスナーのアクセス制御リストにCtx_SmaUserアカウントを追加します。追加したCtx_SmaUserアカウントにはデフォルトで[ゲストアクセス]が与えられますが、これらの権限では不十分です。[ゲストアクセス]チェックボックスをオフにします。
3. [詳細]をクリックし、一覧からCtx_SmaUserアカウントを選択します。
4. [編集]をクリックします。詳細なアクセス制御リストで、[ログオン]の[許可]チェックボックスをオフにし、[情報の照会]と[仮想チャネル]の[許可]チェックボックスをオンにします。[OK]をクリックします。
5. [OK]をクリックして変更を適用します(注:Citrix Print Management Serviceを正常に動作させるために、このように設定する必要があります)。
[その他の注意事項]
• サーバーのローカルアカウント(Ctx_SmaUserアカウントなど)のセキュリティを強化する必要がある場合は、[ユーザーはパスワードを変更できない]チェックボックスと[パスワードを無期限にする]チェックボックスをオンにする必要があります。このようにすると、Citrix Print Manager ServiceとCitrix SMA Serviceが常に起動するようになり、そのアカウントの自動生成されたパスワードが失効しなくなります。
• Ctx_SmaUserアカウントの権限に関する問題のトラブルシューティングを行うときには、Ctx_SmaUserアカウントを再作成するのではなく、ローカルコンピュータのAdministratorsグループにCtx_SmaUserアカウントを追加するという方法や、Presentation Server管理コンソールでCtx_SmaUserアカウントに[すべての管理タスク]権限レベルを割り当てるという方法をとることができます。なお、どちらの方法を使用する場合も、変更を反映させるにはCitrix Print Manager ServiceとCitrix SMA Serviceを再起動する必要があります。
[関連情報]
この資料は米国のCitrix Knowledge Baseで提供している情報をもとに作成したものです。
Document ID: CTX106393
Required Permissions and Rights for the Ctx_SmaUser Account
