スキーマをアクティブに変更しない場合は、Schema Admins グループからすべてのメンバーを削除します。

これを検討する理由とは

Schema Admins グループのメンバーだけがスキーマを変更できるため、スキーマへの変更が必要で、後で削除される場合、アカウントをこのグループだけに追加する必要があります。 このアプローチでは、攻撃者が Schema Admin アカウントを悪用して深刻な結果をもたらすことを阻止します。

カスタマーエンジニアが問題を説明する動画を見る

コンテキストおよびベストプラクティス

Schema Admins グループのメンバーは、スキーマへの変更が許可されています。 スキーマは、フォレストを構成するすべてのオブジェクトと属性の基盤となる定義です。

Schema Admins グループのメンバーシップは、スキーマの変更を行う以外の目的で必要とされることはありません。 このスキーマの変更は比較的まれであるため、変更をアクティブに行うとき以外は Schema Admins グループを空のままにしておくことをお勧めします。

そうすることで、スキーマを誤って変更してしまう可能性を低くすることができます。 また、スキーマに変更を加えたいユーザーは最初に自分自身をグループに追加する必要があるので、セキュリティの強化にもなります。

推奨される対応

Schema Admins グループからメンバーを削除します。

スキーマを変更するための要件があり、それらのアカウントが後で削除される場合、アカウントがこのグループだけに追加されることを確認するプロセスを実装します。