次の方法で共有

付録 D: Active Directory の組み込み管理者アカウントをセキュリティで保護する

付録 D: Active Directory の組み込み管理者アカウントをセキュリティで保護する

Active Directory の各ドメインでは、ドメインの作成の一環として管理者アカウントが作成されます。 このアカウントは、既定でドメイン内の Domain Admins および Administrators グループのメンバーです。 ドメインがフォレスト ルート ドメインである場合、このアカウントは Enterprise Admins グループのメンバーでもあります。

ドメインの Administrator アカウントの使用は、最初のビルド アクティビティと、ディザスター リカバリー (発生した場合) のシナリオ専用にする必要があります。 ビルトイン Administrator アカウントを使用して、他のアカウントが使用できない場合に修復を実行できるようにするために、フォレスト内のどのドメインでも Administrator アカウントの既定のメンバーシップを変更しないでください。 そうではなく、次のセクションで説明し、後続の詳細な手順で説明するように、フォレスト内の各ドメインの Administrator アカウントをセキュリティで保護する必要があります。

Note

このガイドでは以前は、アカウントを無効にすることを推奨していました。 これは削除されました。フォレストの回復に関するホワイト ペーパーで既定の Administrator アカウントが使用されているからです。 その理由は、これがグローバル カタログ サーバーなしでログオンできる唯一のアカウントであるためです。

組み込みの管理者アカウントのコントロール

フォレスト内の各ドメインのあらかじめ登録された Administrator アカウントには、次の設定を構成する必要があります。

  • アカウントの [アカウントは重要なので委任できない] フラグを有効にします。

  • アカウントの [対話型ログオンにはスマート カードが必要] フラグを有効にします。

  • 次のように、ドメインに参加しているシステム上の Administrator アカウントの使用を制限するように GPO を構成します。

    • 1 つまたは複数の GPO を作成し、各ドメイン内のワークステーションおよびメンバーサーバー OU にリンクする場合は、Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignmentsで、各ドメインの管理者アカウントを次のユーザー権利に追加します。

      • ネットワークからこのコンピューターへのアクセスを拒否

      • バッチ ジョブとしてのログオン権限を拒否する

      • サービスとしてのログオン権限を拒否する

      • リモート デスクトップ サービスを使ったログオンを拒否

Note

この設定にアカウントを追加するときは、ローカルの Administrator アカウントとドメインの Administrator アカウントのどちらを構成するかを指定する必要があります。 たとえば、TAILSPINTOYS ドメインの Administrator アカウントをこれらの拒否権限の対象として追加するには、アカウントを「TAILSPINTOYS\Administrator」と入力するか、TAILSPINTOYS ドメインの Administrator アカウントを参照する必要があります。 グループ ポリシー オブジェクト エディターでこれらのユーザー権限設定に "Administrator" と入力すると、GPO が適用される各コンピューターのローカルの Administrator アカウントが制限されます。

ドメインベースの管理者アカウントと同様に、メンバーサーバーやワークステーションのローカル管理者アカウントを制限することをお勧めします。 したがって、一般的には、フォレスト内の各ドメインの管理者アカウントと、ローカル コンピューターの管理者アカウントをこれらのユーザー権限設定に追加する必要があります。 次のスクリーンショットは、ローカルの Administrator アカウントとドメインの Administrator アカウントが、これらのアカウントに必要ないログオンを実行するのを防止するようにこれらのユーザー権限を構成する例を示しています。

[ユーザー権利の割り当て] を強調表示したスクリーン ショット。

  • 次のように、ドメイン コントローラー上の Administrator アカウントを制限するように GPO を構成します。

    • フォレスト内の各ドメインの [コンピューターの構成] > [ポリシー] > [Windows の設定] > [セキュリティの設定] > [ローカル ポリシー] > [ユーザー権利の割り当て] で、既定のドメイン コントローラー GPO またはドメイン コントローラー OU にリンクされたポリシーを変更して、各ドメインの Administrator アカウントを次のユーザー権限に追加する必要があります。

      • ネットワークからこのコンピューターへのアクセスを拒否

      • バッチ ジョブとしてのログオン権限を拒否する

      • サービスとしてのログオン権限を拒否する

      • リモート デスクトップ サービスを使ったログオンを拒否

Note

これらの設定により、ドメインのあらかじめ登録された Administrator アカウントはローカルでドメイン コントローラーにログオンできますが、このアカウントを使用してドメイン コントローラーに接続することはできなくなります。 このアカウントを使用するのは、ディザスター リカバリーのシナリオのみにする必要があるため、少なくとも 1 つのドメイン コントローラーに物理的にアクセスできるか、ドメイン コントローラーにリモートでアクセスする権限を持つ他のアカウントを使用できることが予想されます。

  • Administrator アカウントの監査を構成します。

    各ドメインの Administrator アカウントが安全であることを確認できたら、アカウントの使用状況や変更を監視するために監査を構成する必要があります。 アカウントにサインインされたか、そのパスワードがリセットされたか、アカウントにその他の変更が加えられた場合は、組織内のインシデント対応チームに加えて、Active Directory の管理を担当するユーザーまたはチームに警告を送信する必要があります。

Active Directory のビルトイン Administrator アカウントをセキュリティで保護するための詳細な手順

  1. サーバー マネージャーで、[ツール] を選択し、[Active Directory ユーザーとコンピューター] を選択します。

  2. 委任を利用して他のシステムでアカウントの資格情報を使用する攻撃を防ぐために、次の手順を実行します。

    1. 管理者アカウントを右選択し、[プロパティ] を選択します

    2. [ アカウント ] タブを選択します。

    3. [ アカウント オプション] で、[ アカウントは機密性が高く 、次のスクリーンショットに示すように委任できないフラグ] を選択し、[ OK] を選択します

      [アカウントは重要なので委任できない] チェックボックスを示すスクリーンショット。

  3. アカウントの [対話型ログオンにはスマート カードが必要] フラグを有効にするために、次の手順に実行します。

    1. 管理者アカウントを右選択し、[プロパティ] を選択します

    2. [ アカウント ] タブを選択します。

    3. [ アカウント オプション] で、次のスクリーンショットに示すように 、対話型ログオン フラグに必要なスマート カード を選択し、[ OK] を選択します

      [対話型ログオンにはスマート カードが必要] チェックボックスを示すスクリーンショット。

ドメイン レベルで Administrator アカウントを制限するように GPO を構成

Warning

この GPO は、ディザスター リカバリー シナリオでもビルトイン Administrator アカウントを使用できなくなる可能性があるため、ドメイン レベルではリンクしないでください。

  1. サーバー マネージャーで、[ツール] を選択し、[グループ ポリシーの管理] を選択します。

  2. コンソール ツリーで、<Forest>\ドメイン\<Domain>、[グループ ポリシー オブジェクト] の順に展開します (ここで <Forest> はフォレストの名前、<Domain> はグループ ポリシーを作成するドメインの名前です)。

  3. コンソール ツリーで、[グループ ポリシー オブジェクト] を右クリックし、[新規] を選択します。

  4. [新しい GPO] ダイアログ ボックスで、「<GPO 名>」と入力し、[OK] を選択します ([GPO 名はこの GPO の名前です)。

  5. 詳細ウィンドウで、 <GPO 名>を右クリックし、[ 編集] を選択します。

  6. Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies に移動し、[ユーザー権限の割り当て] を選択します。

  7. 以下の手順を実行して、Administrator アカウントがネットワーク経由でメンバーのサーバーやワークステーションにアクセスできないように、ユーザー権限を構成します。

    1. [ネットワークからのこのコンピューターへのアクセスを拒否する] をダブルクリックし、[これらのポリシーの設定を定義する] を選択します。

    2. [ユーザーまたはグループの追加][参照] の順に選択します。

    3. 「管理者」と入力し、「名前の確認」を選択して、「OK」を選択します。 次のスクリーンショットに示すように、アカウントが <DomainName>\ユーザー名の形式で表示されることを確認します。

      DomainName/Username 形式を示すスクリーンショット。

    4. [ OK] を選択し、もう一度 [OK] を選択します

  8. 以下の手順に従って、Administrator アカウントがバッチ ジョブとしてログオンできないように、ユーザー権限を構成します。

    1. [バッチ ジョブとしてのログオンを拒否する] をダブルクリックし、[これらのポリシー設定を定義する] を選択します。

    2. [ユーザーまたはグループの追加][参照] の順に選択します。

    3. 「管理者」と入力し、「名前の確認」を選択して、「OK」を選択します。 次のスクリーンショットに示すように、アカウントが <DomainName>\ユーザー名の形式で表示されることを確認します。

      Administrator アカウントがバッチ ジョブとしてログオンするのを防ぐようにユーザーの権限が構成されているかどうかを確認する方法を示すスクリーンショット。

    4. [ OK] を選択し、もう一度 [OK] を選択します

  9. 以下の手順に従って、Administrator アカウントがサービスとしてログオンできないように、ユーザー権限を構成します。

    1. [サービスとしてのログオンを拒否する] をダブルクリックし、[これらのポリシー設定を定義する] を選択します。

    2. [ユーザーまたはグループの追加][参照] の順に選択します。

    3. 「管理者」と入力し、「名前の確認」を選択して、「OK」を選択します。 次のスクリーンショットに示すように、アカウントが <DomainName>\ユーザー名の形式で表示されることを確認します。

      Administrator アカウントがサービスとしてログオンするのを防ぐようにユーザーの権限が構成されていることを確認する方法を示すスクリーンショット。

    4. [ OK] を選択し、もう一度 [OK] を選択します

  10. 以下の手順に従って、Administrator アカウントがリモート デスクトップ サービス経由でメンバー サーバーやワークステーションにアクセスできないように、ユーザー権限を構成します。

    1. [リモート デスクトップ サービスを使ったログオンを拒否] をダブルクリックし、[これらのポリシー設定を定義する] を選択します。

    2. [ユーザーまたはグループの追加][参照] の順に選択します。

    3. 「管理者」と入力し、「名前の確認」を選択して、「OK」を選択します。 次のスクリーンショットに示すように、アカウントが <DomainName>\ユーザー名の形式で表示されることを確認します。

      BA アカウントが、メンバー サーバーとワークステーションにリモート デスクトップ サービス経由でアクセスするのを防ぐようにユーザーの権限が構成されていることを確認する方法を示すスクリーンショット。

    4. [ OK] を選択し、もう一度 [OK] を選択します

  11. グループ ポリシー管理エディターを終了するには、[ファイル][終了] の順に選択します。

  12. [グループ ポリシー管理] で、以下の手順に従って GPO をメンバー サーバーおよびワークステーションの OU にリンクします。

    1. <フォレスト>\Domains\<ドメイン> に移動します (ここで、<フォレスト> はフォレストの名前、<ドメイン> は、グループ ポリシーを設定するドメインの名前です)。

    2. GPO が適用される OU を右クリックし、[既存の GPO をリンクする] を選択します。

    3. 作成した GPO を選択し、[ OK] を選択します

    4. ワークステーションを含む他のすべての OU へのリンクを作成します。

    5. メンバー サーバーを含む他のすべての OU へのリンクを作成します。

Important

これらの設定に Administrator アカウントを追加するときは、アカウントのラベルを付ける方法によって、ローカルの Administrator アカウントとドメインの Administrator アカウントのどちらを構成するかを指定します。 たとえば、TAILSPINTOYS ドメインの管理者アカウントを、これらの拒否権限に追加するには、TAILSPINTOYS ドメインの管理者アカウントを参照します。このアカウントは、TAILSPINTOYS\Administrator と表示されています。 グループ ポリシー オブジェクト エディターでこれらのユーザー権限設定に「Administrator」と入力した場合は、すでに説明したように、GPO が適用される各コンピューターのローカルの Administrator アカウントが制限されます。

確認手順

ここで説明する検証手順は、Windows 8 と Windows Server 2012 専用です。

[対話型ログオンにスマート カードが必要] アカウント オプションの検証
  1. GPO の変更によって影響を受けたメンバー サーバーまたはワークステーションから、ドメインのビルトイン Administrator アカウントを使用して、ドメインに対話形式でのログオンを試みます。 ログオンしようとすると、ダイアログ ボックスが開き、サイン インにはスマート カードが必要であることが通知されます。
[ネットワーク経由のアクセスを拒否] GPO 設定を確認する

GPO の変更の影響を受けるメンバー サーバーまたはワークステーションに、ネットワーク経由で、GPO の変更の影響を受けないメンバー サーバーまたはワークステーションからアクセスしてみてください。 GPO の設定を確認するには、次の手順を実行して 、NET USE コマンドを使用してシステム ドライブのマップを試みます。

  1. ドメインのあらかじめ登録された Administrator アカウントを使用して、ドメインにログオンします。

  2. スタート ヒントを右選択し、Windows PowerShell (管理者) を選択します。

  3. 昇格の承認を求められたら、[ はい] を選択します。

  4. PowerShell ウィンドウで、「net use \\<Server Name>\c$」と入力します。ここで、<Server Name> は、ネットワーク経由でアクセスしようとしているメンバー サーバーまたはワークステーションの名前です。

  5. 要求したログオン タイプがユーザーに許可されていないことを示すメッセージが表示されます。

「バッチ ジョブとしてログオンを拒否する」GPO 設定を確認

GPO の変更の影響を受けるメンバー サーバーまたはワークステーションから、ローカルでログオンします。

バッチ ファイルを作成する

  1. スタート ヒントを選択し、「メモ帳」と入力します。

  2. 結果の一覧でメモ帳を選択 します

  3. メモ帳に「dir c:」と入力します。

  4. [ ファイル] を選択し、[ 名前を付けて保存] を選択します。

  5. [ファイル名] フィールドに、「<Filename>.bat (<Filename> は新しいバッチ ファイルの名前です)」と入力します。

タスクをスケジュールする

  1. スタート ヒントを選択し、「タスク スケジューラ」と入力して、[タスク スケジューラ] を選択します。

  2. タスク スケジューラで、[アクション] を選択し、[タスクの作成] を選択します。

  3. [タスクの作成] ダイアログ ボックスで、「<Task Name> ([タスク名<>は新しいタスクの名前です)」と入力します。

  4. [ アクション] タブを選択し、[ 新規] を選択します。

  5. [ アクション:] で、[ プログラムの開始] を選択します。

  6. [ プログラム/スクリプト]:で、[ 参照] を選択し、[バッチ ファイルの作成] セクションで作成したバッチ ファイルを見つけて選択し、[ 開く] を選択します。

  7. [OK] を選択.

  8. [ 全般 ] タブを選択します。

  9. [ セキュリティ オプション] で、[ ユーザーまたはグループの変更] を選択します。

  10. ドメイン レベルで管理者アカウントの名前を入力し、[ 名前の確認] を選択して、[ OK] を選択します

  11. [ユーザーのログオン状態にかかわらず実行する][パスワードを保存しない] を選択します。 タスクは、ローカル コンピューター リソースにのみアクセスできます。

  12. [OK] を選択.

  13. タスクを実行するためのユーザー アカウント資格情報を求めるダイアログ ボックスが表示されます。

  14. 資格情報を入力したら、[ OK] を選択します

  15. ダイアログ ボックスが開き、タスクにはバッチ ジョブとしてログオンする権限を持つアカウントが必要であることが通知されます。

「サービスとしてのログオンを拒否する」GPO 設定を確認

  1. GPO の変更の影響を受けるメンバー サーバーまたはワークステーションから、ローカルでログオンします。

  2. [スタート] ヒントを選択し、「サービス」と入力して、[サービス] を選択します。

  3. [印刷スプーラー] を見つけてダブルクリックします。

  4. [ログオン] タブ 選択します。

  5. [ログオン][アカウント] を選択します。

  6. [ 参照] を選択し、ドメイン レベルで管理者アカウントの名前を入力し、[ 名前の確認] を選択して、[ OK] を選択します

  7. [ パスワード: ] と [ パスワードの確認: ] で、管理者アカウントのパスワードを入力し、[ OK] を選択します

  8. [ OK] を 3 回選択します。

  9. [印刷スプーラー] サービスを右クリックし、[再起動] を選択します。

  10. サービスが再起動されると、ダイアログ ボックスが開き、[印刷スプーラー] サービスを起動できなかったことが通知されます。

プリンター スプーラー サービスへの変更を元に戻す

  1. GPO の変更の影響を受けるメンバー サーバーまたはワークステーションから、ローカルでログオンします。

  2. [スタート] ヒントを選択し、「サービス」と入力して、[サービス] を選択します。

  3. [印刷スプーラー] を見つけてダブルクリックします。

  4. [ログオン] タブ 選択します。

  5. [ログオン名:][ローカル システム] アカウントを選択し、[OK] を選択します。

[リモート デスクトップ サービスを使ったログオンを拒否] GPO 設定の検証

  1. [ スタート] を選択し、「 リモート デスクトップ接続」と入力し、[ リモート デスクトップ接続] を選択します。

  2. [ コンピューター ] フィールドに、接続先のコンピューターの名前を入力し、[ 接続] を選択します。 (コンピューター名の代わりに IP アドレスを入力することもできます。)

  3. メッセージが表示されたら、ドメイン レベルの Administrator アカウントの名前の資格情報を入力します。

  4. リモート デスクトップ接続が拒否されます。

  • Last updated on