付録 E: Active Directory の Enterprise Admins グループをセキュリティで保護する
フォレスト ルート ドメインに格納されている Enterprise 管理者 (EA) グループは、 「付録 D: Active Directory での Built-In 管理者アカウントのセキュリティ保護」で説明されているように、セキュリティで保護されている場合に、ルート ドメインの管理者アカウントを除き、ユーザーを毎日含めることはできません。
Enterprise 管理者は、既定では、フォレスト内の各ドメインの Administrators グループのメンバーになります。 各ドメインの管理者グループから EA グループを削除しないでください。フォレストのディザスター リカバリー シナリオでは、EA 権限が必要になる可能性があるためです。 フォレストの Enterprise 管理者グループは、次の手順で詳細に説明されているようにセキュリティで保護する必要があります。
フォレストの Enterprise 管理者グループの場合:
各ドメインのメンバー サーバーとワークステーションを含む OU にリンクされている GPO では、Enterprise Admins グループをComputer Configuration\Policies\ Windows 設定 \Security 設定 \Local の権限の割り当ての次のユーザー権利に追加する必要があります:
ネットワークからこのコンピューターへのアクセスを拒否
バッチ ジョブとしてのログオン権限を拒否する
サービスとしてのログオン権限を拒否する
ローカルでのログオンを拒否する
リモート デスクトップ サービスを使ったログオンを拒否
Enterprise Admins グループのプロパティまたはメンバーシップに何らかの変更が加えられた場合にアラートを送信するように監査を構成します。
Enterprise Admins グループからすべてのメンバーを削除するための詳細な手順
サーバー マネージャーで、[ツール] をクリックし、[Active Directory ユーザーとコンピューター] をクリックします。
フォレストのルート ドメインを管理していない場合は、コンソール ツリーで <Domain> を右クリックし、[ ドメインの変更 ] をクリックします (ここで、 <ドメイン> は現在管理しているドメインの名前です)。
![[ドメインの変更] メニュー オプションが強調されているスクリーンショット。](media/appendix-e--securing-enterprise-admins-groups-in-active-directory/sad_43.gif)
[ ドメインの変更 ] ダイアログ ボックスで、[ 参照] をクリックし、フォレストのルート ドメインを選択して、[ OK] をクリックします。
![[ドメインの変更] ダイアログ ボックスの [OK] ボタンを示すスクリーンショット。](media/appendix-e--securing-enterprise-admins-groups-in-active-directory/sad_44.gif)
EA グループからすべてのメンバーを削除するには、次のようにします:
Enterprise Admins グループをダブルクリックし、[メンバー] タブをクリックします。
![Enterprise Admins グループ内の [メンバー] タブを示すスクリーンショット。](media/appendix-e--securing-enterprise-admins-groups-in-active-directory/sad_45.gif)
グループのメンバーを選択し、[ 削除] をクリックし、[ はい] をクリックして、[ OK] をクリックします。
EA グループのすべてのメンバーが削除されるまで、手順 2 を繰り返します。
Active Directory で Enterprise 管理者をセキュリティで保護するための詳細な手順
サーバー マネージャーで、[ツール] をクリックし、[グループ ポリシーの管理] をクリックします。
コンソール ツリーで、expandv <Forest>\Domains\<Domain> 、そしてグループ ポリシー オブジェクトに移動します (ここで<Forest> はフォレストの名前、<Domain> はグループ ポリシーを設定するドメインの名前です)。
Note
複数のドメインが含まれているフォレストでは、Enterprise Admins グループをセキュリティで保護することを要求する、類似した GPO を各ドメインに作成する必要があります。
コンソール ツリーで、 [グループ ポリシー オブジェクト] を右クリックし、[新規] をクリックします。
![[グループ ポリシー オブジェクト] メニューの [新規] メニュー オプションを示すスクリーンショット。](media/appendix-e--securing-enterprise-admins-groups-in-active-directory/sad_46.gif)
[ 新しい GPO ] ダイアログ ボックスで、「 <GPO 名>」と入力し、[ OK ] をクリックします (ここで、 <GPO 名> はこの GPO の名前です)。
詳細ウィンドウで、 <GPO 名>を右クリックし、[ 編集] をクリックします。
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies に移動し、[ユーザー権限の割り当て] をクリックします。
![[ユーザー権利の割り当て] を選択する場所を示すスクリーンショット。](media/appendix-e--securing-enterprise-admins-groups-in-active-directory/sad_48.gif)
次の手順を実行して、Enterprise Admins グループのメンバーがネットワーク経由でメンバー サーバーおよびワークステーションにアクセスできないようにするには、ユーザーの権限を構成します:
[ネットワーク経由のアクセスを拒否] をダブルクリックし、[これらのポリシーの設定を定義する] を選択します。
[ユーザーまたはグループの追加] をクリックし、[参照] を クリックします。
「エンタープライズ管理者」と入力し、「名前の確認」をクリックして、「OK」をクリックします。
[ OK] をクリックし、もう一度 [OK] をクリックします 。
次の手順を実行して、Enterprise Admins グループのメンバーがバッチ ジョブとしてログオンしないようにユーザーの権限を構成します:
[バッチ ジョブとしてのログオンを拒否] をダブルクリックし、[これらのポリシーの設定を定義する] を選択します。
[ユーザーまたはグループの追加] をクリックし、[参照] を クリックします。
Note
複数のドメインを含むフォレストで、[ 場所 ] をクリックし、フォレストのルート ドメインを選択します。
「エンタープライズ管理者」と入力し、「名前の確認」をクリックして、「OK」をクリックします。
[ OK] をクリックし、もう一度 [OK] をクリックします 。
EA グループのメンバーがサービスとしてログオンできないようにするには、次の手順を実行してユーザーの権限を構成します:
[サービスとしてのログを拒否する] をダブルクリックし、[これらのポリシー設定を定義する] を選択します。
[ユーザーまたはグループの追加] をクリックし、[参照] を クリックします。
Note
複数のドメインを含むフォレストで、[ 場所 ] をクリックし、フォレストのルート ドメインを選択します。
「エンタープライズ管理者」と入力し、「名前の確認」をクリックして、「OK」をクリックします。
[ OK] をクリックし、もう一度 [OK] をクリックします 。
次の手順を実行して、Enterprise Admins グループのメンバーがメンバー サーバーおよびワークステーションにログオンできないようにユーザーの権限を構成します:
[ローカルでのログを拒否する] をダブルクリックし、[これらのポリシー設定を定義する] を選択します。
[ユーザーまたはグループの追加] をクリックし、[参照] を クリックします。
Note
複数のドメインを含むフォレストで、[ 場所 ] をクリックし、フォレストのルート ドメインを選択します。
「エンタープライズ管理者」と入力し、「名前の確認」をクリックして、「OK」をクリックします。
[ OK] をクリックし、もう一度 [OK] をクリックします 。
次の手順を実行して、Enterprise Admins グループのメンバーがリモート デスクトップ サービス経由でメンバー サーバーおよびワークステーションにアクセスできないようにするには、ユーザーの権限を構成します:
[リモート デスクトップ サービスを使ったログオンを拒否] をダブルクリックし、[これらのポリシーの設定を定義する] を選択します。
[ユーザーまたはグループの追加] をクリックし、[参照] を クリックします。
Note
複数のドメインを含むフォレストで、[ 場所 ] をクリックし、フォレストのルート ドメインを選択します。
「エンタープライズ管理者」と入力し、「名前の確認」をクリックして、「OK」をクリックします。
[ OK] をクリックし、もう一度 [OK] をクリックします 。
グループ ポリシー管理エディターを終了するには、[ファイル] をクリックし、[終了]を クリックします。
グループポリシー管理で、次の手順に従って、GPO をメンバーサーバーとワークステーションの OU にリンクします:
<フォレスト>\Domains\<ドメイン> に移動します (ここで、<フォレスト> はフォレストの名前、<ドメイン> は、グループ ポリシーを設定するドメインの名前です)。
GPO を適用する OU を右クリックし、[既存の GPO へのリンクを作成] をクリックします。
![[既存の GPO のリンク] メニュー オプションが強調されているスクリーンショット。](media/appendix-e--securing-enterprise-admins-groups-in-active-directory/sad_54.gif)
先ほど作成した GPO を選択し、[ OK] をクリックします。
ワークステーションを含む他のすべての OU へのリンクを作成します。
メンバー サーバーを含む他のすべての OU へのリンクを作成します。
複数のドメインが含まれているフォレストでは、Enterprise Admins グループをセキュリティで保護することを要求する、類似した GPO を各ドメインに作成する必要があります。
Important
ジャンプ サーバーを使用してドメイン コントローラーと Active Directory を管理する場合は、ジャンプ サーバーが、この GPO がリンクされていない OU に存在する必要があります。
確認手順
[ネットワーク経由のアクセスを拒否] GPO 設定を確認する
GPO の変更 (「ジャンプ サーバー」など) の影響を受けないメンバー サーバーまたはワークステーションから、GPO の変更の影響を受けるネットワーク経由でメンバー サーバーまたはワークステーションへのアクセスを試みてください。 GPO の設定を確認するには、次の手順を実行して 、NET USE コマンドを使用してシステム ドライブのマップを試みます。
EA グループのメンバーであるアカウントを使用してローカルにログオンします。
マウスを使用して、画面の右上または右下の隅にポインターを移動します。 チャーム バーが表示されたら、[検索] をクリックします。
[検索] ボックスに「コマンド プロンプト」と入力し、[コマンド プロンプト] を右クリックし、[管理者として実行] をクリックして管理者特権のコマンド プロンプトを開きます。
昇格の承認を求められたら、[ はい] をクリックします。
コマンド プロンプト ウィンドウで、「net use \\<Server Name>\c$」と入力します。ここで、<Server Name> は、ネットワーク経由でアクセスしようとしているメンバー サーバーまたはワークステーションの名前です。
次のスクリーンショットは、表示されるエラー メッセージを示しています。
「バッチ ジョブとしてログオンを拒否する」GPO 設定を確認
GPO の変更の影響を受けるメンバー サーバーまたはワークステーションから、ローカルでログオンします。
バッチ ファイルを作成する
マウスを使用して、画面の右上または右下の隅にポインターを移動します。 チャーム バーが表示されたら、[検索] をクリックします。
[ 検索 ] ボックスに 「メモ帳」と入力し、[ メモ帳] をクリックします。
メモ帳に「dir c:」と入力します。
[ ファイル] をクリックし、[ 名前を付けて保存] をクリックします。
[ ファイル 名] ボックスに、「 <Filename>.bat ( <Filename> は新しいバッチ ファイルの名前です)」と入力します。
タスクをスケジュールする
マウスを使用して、画面の右上または右下の隅にポインターを移動します。 チャーム バーが表示されたら、[検索] をクリックします。
[ 検索 ] ボックスに「 タスク スケジューラ」と入力し、[ タスク スケジューラ] をクリックします。
Note
Windows 8 を実行しているコンピューターの [検索 ] ボックスに「 スケジュール タスク」と入力し、[ タスクのスケジュール] をクリックします。
[ アクション] をクリックし、[ タスクの作成] をクリックします。
[ タスクの作成 ] ダイアログ ボックスで、「 <Task Name> ( <Task Name> は新しいタスクの名前です)」と入力します。
[ アクション ] タブをクリックし、[ 新規] をクリックします。
[ アクション ] フィールドで、[ プログラムの開始] を選択します。
[ プログラム/スクリプト] で、[ 参照] をクリックし、[バッチ ファイルの作成] セクションで作成した バッチ ファイル を見つけて選択し、[ 開く] をクリックします。
[ OK] をクリックします。
[ 全般 ] タブをクリックします。
[ セキュリティ オプション ] フィールドで、[ ユーザーまたはグループの変更] をクリックします。
EAs グループのメンバーであるアカウントの名前を入力し、[ 名前の確認] をクリックして、[ OK] をクリックします。
[ユーザーがログオンしているかどうかを実行する] を選択し、[ パスワードを保存しない] を選択します。 タスクは、ローカル コンピューター リソースにのみアクセスできます。
[ OK] をクリックします。
タスクを実行するためのユーザー アカウント資格情報を求めるダイアログ ボックスが表示されます。
資格情報を入力したら、[ OK] をクリックします。
次のようなダイアログ ボックスが表示されます。
![[タスク スケジューラ] ダイアログ ボックスを示すスクリーンショット。](media/appendix-e--securing-enterprise-admins-groups-in-active-directory/sad_58.gif)
「サービスとしてのログオンを拒否する」GPO 設定を確認
GPO の変更の影響を受けるメンバー サーバーまたはワークステーションから、ローカルでログオンします。
マウスを使用して、画面の右上または右下の隅にポインターを移動します。 チャーム バーが表示されたら、[検索] をクリックします。
[ 検索 ] ボックスに「 サービス」と入力し、[ サービス] をクリックします。
印刷スプーラーを見つけてダブルクリックします。
[ログオン] タブ を クリックします。
[次のアカウントでログオン] で[このアカウント] を選択します。
[ 参照] をクリックし、EAs グループのメンバーであるアカウントの名前を入力し、[ 名前の確認] をクリックして、[ OK] をクリックします。
[ パスワード: ] と [ パスワードの確認] で、選択したアカウントのパスワードを入力し、[OK] をクリック します。
[ OK] を 3 回クリックします。
印刷スプーラー サービスを右クリックし、[再起動] を選択します。
サービスが再開されると、次のようなダイアログ ボックスが表示されます。
プリンター スプーラー サービスへの変更を元に戻す
GPO の変更の影響を受けるメンバー サーバーまたはワークステーションから、ローカルでログオンします。
マウスを使用して、画面の右上または右下の隅にポインターを移動します。 チャーム バーが表示されたら、[検索] をクリックします。
[ 検索 ] ボックスに「 サービス」と入力し、[ サービス] をクリックします。
印刷スプーラーを見つけてダブルクリックします。
[ログオン] タブ を クリックします。
次のアカウントでログオン で、ローカル システム アカウント を選択し、OK をクリックします。
「ローカルでログオンを拒否する」 GPO 設定を確認
GPO の変更の影響を受けるメンバー サーバーまたはワークステーションから、EA グループのメンバーであるアカウントを使用してローカルでログオンを試みてください。 次のようなダイアログ ボックスが表示されます。
[リモート デスクトップ サービスを使ったログオンを拒否] GPO 設定の検証
マウスを使用して、画面の右上または右下の隅にポインターを移動します。 チャーム バーが表示されたら、[検索] をクリックします。
[検索] ボックスに「リモート デスクトップ接続」と入力し、[リモート デスクトップ接続] をクリックします。
[ コンピューター ] フィールドに、接続先のコンピューターの名前を入力し、[ 接続] をクリックします。 (コンピューター名の代わりに IP アドレスを入力することもできます。)
プロンプトが表示されたら、EA グループのメンバーであるアカウントの資格情報を指定します。
次のようなダイアログ ボックスが表示されます。
