セキュリティを強化するために、Windows MID サーバーでは Windows ファイルの権限制限が適用されます。適用によって、MID サーバーファイルへのアクセスがユーザーとグループの制限付き許可リストに制限されます。

Windows MID サーバーのファイル権限の適用は、Orlando での起動時に MID サーバーで有効になります。デフォルトでは、エージェントフォルダーは、ローカルアドミングループ、システムアカウント、作成者の所有者、および Windows MID サーバーが使用しているユーザーアカウントの 4 つのユーザーアカウントとグループにロックされています。許可されたユーザーアカウントのリストは、MID サーバーパラメーター mid.windows_host.file_permissions.allow_list によって制御される許可リストによって管理されます。このパラメーターは、カンマで区切られたグループ名、ユーザー名、およびセキュリティ識別子 (SID) の文字列を受け取ります。グループ名とユーザー名は、SAM アカウントの命名要件に従う必要があります。ドメインアカウントは、SID を使用して指定する必要があります。

ファイル権限の変更をロールバック

ファイルの権限に対する変更が記録され、最後に使用された設定がバックアップとして /etc フォルダーに保存されます。ファイルは fileperm.aclsave です。コマンドプロンプトを開き、コマンド icacls <agent_folder> /restore <agent_folder>/etc/fileperm.aclsave を実行します。ここで、<agent_folder> はエージェントフォルダーの名前です。

非アドミニストレーターとして MID サーバーを実行する

非アドミンユーザーとして MID サーバーを実行するには、まずアドミンアカウントを使用して MID サーバーをインストールする必要があります。その後、非アドミンユーザーを追加してリストを許可し、MID サーバーを再起動します。新しい適用ルールが実行されると、MID サーバーを非アドミンサービスアカウントに切り替えることができます。非アドミンの Windows MID サーバーの設定または Linux MID Server 向けの Linux MID サーバーを非ルートユーザーとして実行 の場合の詳細については、「 Windows への MID サーバーの手動インストール」を参照してください。