アクセス権を設定する

「共有」環境設定を使って、各クライアントコンピュータでアクセス権を設定できます。OS X Server を使用している場合は、管理用コンピュータからリモートで実行することもできます。

クライアントに変更を加えるには、コンピュータの管理者権限を持つユーザの名前とパスワードを使用する必要があります。

クライアントコンピュータでアクセス権を設定する

管理用のクライアントコンピュータの準備をするときは、「共有」環境設定で「リモートマネージメント」を有効にし、管理者アクセス権を設定します。アクセス権はすべてのユーザまたは特定のユーザアカウントに設定できます。

クライアント設定を自動的に有効にするカスタム・インストーラ・パッケージを作成する場合は、この作業を省略できます。

  1. クライアントコンピュータで、アップルメニュー>「システム環境設定」と選択し、「共有」をクリックします。

  2. 「共有」パネルで「リモートマネージメント」を選択します。

  3. コンピュータにアカウントを持つすべてのユーザにアクセスを許可するときは、「すべてのユーザ」を選択します。

    すべてのユーザに同じアクセス権が付与されます。

  4. 特定のユーザにアクセスを許可する場合、またはユーザに特定のアクセス権を与える場合は、「次のユーザのみ」を選択し、リストでユーザを選択します。ユーザを追加する必要がある場合は、「追加」「追加」ボタン をクリックし、ユーザを選択し、「選択」をクリックします。

  5. 「オプション」をクリックします。

  6. ユーザに与えるアクセス権を選択し、「OK」をクリックします。(一度にすべてのオプションを選択するには、Option キーを押しながらオプションをクリックします。)

    この変更はすぐに有効になります。

  7. 特定のユーザのアクセスを変更する場合は、手順 4 〜 6 をユーザごとに繰り返します。

クライアントの管理者権限を変更する

「Remote Desktop」を使って、クライアントコンピュータの管理者権限設定を確認および変更できます。

クライアントコンピュータをコンピュータリストに追加したら、「クライアントの設定を変更」コマンドを使って、管理者アクセス権を変更できます。

安全な Remote Desktop 環境を維持するため、管理設定を定期的に確認してください。特定のユーザの権限を特定のタスクの実行のみに限定することで、副管理者による誤用機会を減らします。

ディレクトリサービスを使って管理者権限を指定している場合は、クライアントでこの設定を変更する必要はありません。

クライアントの設定を変更アシスタントのすべてのページで選択を行う必要はありません。「続ける」をクリックすると、次の設定に移動できます。

  1. Remote Desktop ウインドウで、コンピュータリストを選択し、1 台以上のコンピュータを選択します。

  2. 「管理」>「クライアントの設定を変更」と選択し、次に「続ける」をクリックします。

  3. 「Remote Desktop を起動」で、以下のオプションを選択し、「続ける」をクリックします。

    • システム起動時にリモートマネージメントを開始するかどうかを選択します。

    • 「Remote Desktop」のメニューバーアイコンを隠すか表示するかを選択します。

  4. 「ユーザのアカウント」で、「Remote Desktop」を使ってコンピュータを管理できる新しいユーザを作成するかどうかを選択し、「続ける」をクリックします。

    「Remote Desktop」の管理者権限を使って新しいユーザアカウントを作成しても、クライアントコンピュータで既存のユーザアカウントが上書きされたり、既存のユーザパスワードが変更されたりすることはありません。

    新しいユーザアカウントを作成しないように選択する場合は、手順 6 に進みます。

  5. 「作成するユーザ」で、「追加」をクリックし、ユーザの名前とパスワードを入力します。ユーザの追加を完了する場合は、「続ける」をクリックします。

  6. 「外部からのアクセス」で、以下のいずれかを実行して、管理者アクセス権を与えるユーザを選択します:

    • ディレクトリサーバ上の特定のグループのアカウントを持つユーザにアクセス権を与えるには、「ディレクトリベースの管理を有効にする」を選択します。詳しくは、ディレクトリサービスのグループ認証を使用可能にするを参照してください。

    • すべてのローカルユーザに同一のリモート・マネージメント・アクセス権を与えるか、特定のローカルユーザにアクセス権を与えるかを選択するには、「Remote Desktop のアクセスモードを設定」を選択します。これが選択解除されている場合は、クライアントの設定が使用されます。

    • 特定のユーザにリモート・マネージメント・アクセス権を設定するかどうかを選択します。特定のユーザにリモート・マネージメント・アクセス権を設定しない場合は、手順 8 に進みます。

  7. 「アクセス権」で、「追加」をクリックしてユーザを追加するか、既存のユーザを選択して「編集」をクリックします。ユーザ名を指定し、アクセス権を設定します。次に、「続ける」をクリックします。

    詳しくは、アクセス権についてを参照してください。

  8. 「画面共有のオプション」で、以下を実行してから、「続ける」をクリックします。

    • ゲスト管理者がクライアントコンピュータでのアクセス権を要求したときに、その管理者に一時的なアクセスを許可することを選択します。

    • Apple 以外の VNC ソフトウェアが動作しているコンピュータにクライアントコンピュータの制御を許可するかどうかを選択します。

    詳しくは、VNC(Virtual Network Computing)のアクセスと制御を参照してください。

  9. 「システムデータ」で、システム概要レポートに表示させるこのコンピュータに関する情報を入力します。シリアル番号、アセットタグ番号、ユーザ名などを入力できます。次に、「続ける」をクリックします。

  10. 設定をレビューし、アプリケーションまたは専用のタスクサーバを使って変更を実行するように選択します。次に、「変更」をクリックします。

    詳しくは、リモートのタスクサーバを設定するを参照してください。

    クライアント設定アシスタントは、選択したすべてのコンピュータにアクセスし、管理設定を変更します。

ディレクトリサービスを使用してアクセス権を設定する

クライアントコンピュータがディレクトリサービスにバインドされている場合は、ローカルユーザを有効にしないで特定グループに「Remote Desktop」の管理者アクセスを許可できます。

ディレクトリサービスのマスタードメインから名前を付けられたグループを使ってアクセスを付与することができるため、認証のためにユーザとパスワードを追加する必要はありません。ディレクトリサービス認証がクライアントで使用可能になっていると、コンピュータでの認証時に管理者が入力するユーザ名とパスワードがディレクトリで確認されます。指定した名前が「Remote Desktop」のアクセスグループの 1 つに属している場合は、そのグループに割り当てられたアクセス権が管理者に与えられます。

  • 以下のいずれかを実行します:

    • 名前が権限鍵に対応する以下の定義済みグループを使用できます:ard_admin、ard_interact、ard_manage、ard_reports。

      まだグループがディレクトリに存在しない場合は、予約されている名前を使って新しいグループを作成できます。

      グループ名は管理された環境設定鍵に対応し、権限はその鍵と同じです。対応する権限は、これらの特殊な名前を持つグループに自動的に割り当てられます。管理された環境設定鍵をグループレコードに追加する必要はありません。

    • コンピュータのレコード、コンピュータグループのレコード、またはゲストコンピュータのレコードの MCXSettings 属性を使用してグループを作成し、権限を割り当てます。

    管理権限

    ard_admin

    ard_reports

    ard_manage

    ard_interact

    レポート作成

    X

    X

    X

     

    アプリケーションの起動と終了

    X

     

    X

     

    設定変更

    X

     

    X

     

    項目をコピー

    X

     

    X

     

    項目の削除と置き換え

    X

     

    X

     

    メッセージ送信

    X

     

    X

    X

    再起動とシステム終了

    X

     

    X

     

    制御

    X

     

     

    X

    監視

    X

     

     

    X

    監視されていることを表示

    X

     

     

    X

Remote Desktop のゲストアクセスを有効にする

クライアントコンピュータのユーザ名またはパスワードを持っていない「Remote Desktop」の管理者に、1 回限りのアクセスを許可します。

「Remote Desktop」の管理者はクライアントコンピュータを制御するたびに、アクセス権を要求する必要があります。

警告: 画面を制御するアクセス権の付与は「Remote Desktop」の最も強力な機能であり、アクセス権を無制限にします。

  1. クライアントコンピュータで、アップルメニュー>「システム環境設定」と選択し、「共有」をクリックします。

  2. 左側のリストで「リモートマネージメント」を選択します。

  3. 「コンピュータ設定」をクリックします。

  4. 「他のユーザが画面をコントロールする権限の要求を許可」を選択します。

  5. 「OK」をクリックします。

管理者以外のユーザが実行できる操作を選択する

「Remote Desktop」で管理者以外のユーザが実行できる操作を制御できます。

「Remote Desktop」を管理者以外のユーザが開くと、ユーザモードで動作します。このモードで管理者以外のユーザが実行できるタスクを制御できます。たとえば、管理者以外のユーザに対して、ファイルのコピーや削除は許可しないで、画面の監視やメッセージの送信はできるようにすることができます。

管理者以外のユーザが実行できる操作の変更は、クライアントコンピュータの「システム環境設定」の「共有」パネルで適切なアクセス権を有効にする代わりにはなりません。詳しくは、アクセス権についてを参照してください。

各タスクは相互に独立して使用可能にすることができ、「Remote Desktop」のすべての機能を管理者以外のユーザに対して使用可能にすることもできます。管理者ユーザとしてログインしていることを確認します。

  1. 「Remote Desktop」>「環境設定」と選択します。

  2. 「セキュリティ」をクリックします。

  3. 「次の機能にアクセスを制限」を選択して各機能を有効または無効にします。