付録 F: Active Directory の Domain Admins グループをセキュリティで保護する
エンタープライズ管理グループと同様に、ドメイン管理グループのメンバーシップは、構築またはディザスター リカバリーのシナリオでのみ必要です。 「付録D:Active Directory の組み込み管理者アカウントの保護」で説明されているように保護されている場合は、ドメインのローカル管理者アカウントを除き、DAグループに日常のユーザーアカウントは設定しないでください。
ドメイン管理者は、既定では、それぞれのドメイン内のすべてのメンバーサーバーおよびワークステーションのローカル管理者グループのメンバーとなります。 この既定の入れ子は、サポートとディザスター リカバリーのために変更することはできません。 ドメイン管理者グループがメンバサーバー上のローカルの管理者グループから削除された場合は、リンクされたGPOの制限されたグループ設定を使用して、ドメイン内の各メンバ サーバーおよびワークステーションの管理者グループに追加する必要があります。 各ドメインの Domain Admins グループは、以下の手順に従ってセキュリティで保護する必要があります。
フォレスト内の各ドメインのドメイン 管理者グループの場合:
「付録 D: Active Directory の組み込み管理者アカウントをセキュリティで保護する」の説明に従って保護されている場合は、ドメインの組み込み管理者アカウントを除き、DA グループからすべてのメンバーを削除します。
各ドメインのメンバー サーバーとワークステーションを含む OU にリンクされている GPO では、Enterprise Admins グループをComputer Configuration\Policies\ Windows 設定 \Security 設定 \Local の権限の割り当ての次のユーザー権利に追加する必要があります:
ネットワークからこのコンピューターへのアクセスを拒否
バッチ ジョブとしてのログオン権限を拒否する
サービスとしてのログオン権限を拒否する
ローカルでのログオンを拒否する
リモート デスクトップ サービスを使ったログオンを拒否
DA グループのプロパティまたはメンバーシップが変更された場合にアラートを送信するように、監査を構成する必要があります。
Enterprise Admins グループからすべてのメンバーを削除するための詳細な手順
サーバー マネージャーで、[ツール] をクリックし、[Active Directory ユーザーとコンピューター] をクリックします。
DA グループからすべてのメンバーを削除するには、次の手順に従います:
Domain Admins グループをダブルクリックし、[メンバー] タブをクリックします。
![Domain Admins グループからすべてのメンバーを削除するための [メンバー] タブを示すスクリーンショット。](media/appendix-f--securing-domain-admins-groups-in-active-directory/sad_62.gif)
グループのメンバーを選択し、[ 削除] をクリックし、[ はい] をクリックして、[ OK] をクリックします。
EA グループのすべてのメンバーが削除されるまで、手順 2 を繰り返します。
Active Directory で Enterprise 管理者をセキュリティで保護するための詳細な手順
サーバー マネージャーで、[ツール] をクリックし、[グループ ポリシーの管理] をクリックします。
コンソール ツリーで <Forest>\Domains\<Domain> を展開し、[グループ ポリシー オブジェクト] に移動します (ここで、<Forest> はフォレストの名前、<Domain> は、グループ ポリシーを設定するドメインの名前です)。
コンソール ツリーで、 [グループ ポリシー オブジェクト] を右クリックし、[新規] をクリックします。
![Active Directory で Domain Admins Group をセキュリティで保護するために [新規] を選択する場所を示すスクリーンショット。](media/appendix-f--securing-domain-admins-groups-in-active-directory/sad_63.gif)
[ 新しい GPO ] ダイアログ ボックスで、「 <GPO 名>」と入力し、[ OK ] をクリックします (ここで、 <GPO 名> はこの GPO の名前です)。
詳細ウィンドウで、 <GPO 名>を右クリックし、[ 編集] をクリックします。
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies に移動し、[ユーザー権限の割り当て] をクリックします。
![Active Directory で Domain Admins をセキュリティで保護するために [ユーザー権限の管理] を選択できる場所を示すスクリーンショット。](media/appendix-f--securing-domain-admins-groups-in-active-directory/sad_65.gif)
次の手順を実行して、Enterprise Admins グループのメンバーがネットワーク経由でメンバー サーバーおよびワークステーションにアクセスできないようにするには、ユーザーの権限を構成します:
[ネットワーク経由のアクセスを拒否] をダブルクリックし、[これらのポリシーの設定を定義する] を選択します。
[ユーザーまたはグループの追加] をクリックし、[参照] を クリックします。
「Domain Admins」と入力し、[名前の確認] をクリックして、[OK] をクリックします。
[ OK] をクリックし、もう一度 [OK] をクリックします 。
次の手順を実行して、Enterprise Admins グループのメンバーがバッチ ジョブとしてログオンしないようにユーザーの権限を構成します:
[バッチ ジョブとしてのログオンを拒否] をダブルクリックし、[これらのポリシーの設定を定義する] を選択します。
[ユーザーまたはグループの追加] をクリックし、[参照] を クリックします。
「Domain Admins」と入力し、[名前の確認] をクリックして、[OK] をクリックします。
[ OK] をクリックし、もう一度 [OK] をクリックします 。
EA グループのメンバーがサービスとしてログオンできないようにするには、次の手順を実行してユーザーの権限を構成します:
[サービスとしてのログオンを拒否] をダブルクリックし、[これらのポリシーの設定を定義する] を選択します。
[ユーザーまたはグループの追加] をクリックし、[参照] を クリックします。
「Domain Admins」と入力し、[名前の確認] をクリックして、[OK] をクリックします。
[ OK] をクリックし、もう一度 [OK] をクリックします 。
次の手順を実行して、Enterprise Admins グループのメンバーがメンバー サーバーおよびワークステーションにログオンできないようにユーザーの権限を構成します:
[ローカルでのログを拒否する] をダブルクリックし、[これらのポリシー設定を定義する] を選択します。
[ユーザーまたはグループの追加] をクリックし、[参照] を クリックします。
「Domain Admins」と入力し、[名前の確認] をクリックして、[OK] をクリックします。
[ OK] をクリックし、もう一度 [OK] をクリックします 。
次の手順を実行して、Enterprise Admins グループのメンバーがリモート デスクトップ サービス経由でメンバー サーバーおよびワークステーションにアクセスできないようにするには、ユーザーの権限を構成します:
[リモート デスクトップ サービスを使ったログオンを拒否] をダブルクリックし、[これらのポリシーの設定を定義する] を選択します。
[ユーザーまたはグループの追加] をクリックし、[参照] を クリックします。
「Domain Admins」と入力し、[名前の確認] をクリックして、[OK] をクリックします。
[ OK] をクリックし、もう一度 [OK] をクリックします 。
グループ ポリシー管理エディターを終了するには、[ファイル] をクリックし、[終了]を クリックします。
[グループ ポリシー管理] で、次の手順に従って、メンバー サーバーとワークステーションの OU に GPO をリンクします。
<フォレスト>\Domains\<ドメイン> に移動します (ここで、<フォレスト> はフォレストの名前、<ドメイン> は、グループ ポリシーを設定するドメインの名前です)。
GPO を適用する OU を右クリックし、[既存の GPO へのリンクを作成] をクリックします。
![GPO を適用する OU を右クリックしたときの [既存の GPO をリンクする] メニュー オプションを示すスクリーンショット。](media/appendix-f--securing-domain-admins-groups-in-active-directory/sad_71.gif)
先ほど作成した GPO を選択し、[ OK] をクリックします。
ワークステーションを含む他のすべての OU へのリンクを作成します。
メンバー サーバーを含む他のすべての OU へのリンクを作成します。
Important
ジャンプ サーバーを使用してドメイン コントローラーと Active Directory を管理する場合は、ジャンプ サーバーが、この GPO がリンクされていない OU に存在する必要があります。
確認手順
[ネットワーク経由のアクセスを拒否] GPO 設定を確認する
GPO の変更の影響を受けないメンバー サーバーまたはワークステーション (ジャンプ サーバーなど) から、GPO の変更の影響を受けるネットワーク経由で、メンバー サーバーまたはワークステーションへのアクセスを試みてください。 GPO の設定を確認するには、 NET USE コマンドを使用してシステム ドライブのマップを試みます。
Domain Admins グループのメンバーであるアカウントを使用していることを確認します。
マウスを使用して、画面の右上または右下の隅にポインターを移動します。 チャーム バーが表示されたら、[検索] をクリックします。
[検索] ボックスに「コマンド プロンプト」と入力し、[コマンド プロンプト] を右クリックし、[管理者として実行] をクリックして管理者特権のコマンド プロンプトを開きます。
昇格の承認を求められたら、[ はい] をクリックします。
 設定の確認中に昇格を承認する場所を示すスクリーンショット。](media/appendix-f--securing-domain-admins-groups-in-active-directory/sad_73.gif)
コマンド プロンプト ウィンドウで、「net use \\<Server Name>\c$」と入力します。ここで、<Server Name> は、ネットワーク経由でアクセスしようとしているメンバー サーバーまたはワークステーションの名前です。
次のスクリーンショットは、表示されるエラー メッセージを示しています。
「バッチ ジョブとしてログオンを拒否する」GPO 設定を確認
GPO の変更の影響を受けるメンバー サーバーまたはワークステーションから、ローカルでログオンします。
バッチ ファイルを作成する
マウスを使用して、画面の右上または右下の隅にポインターを移動します。 チャーム バーが表示されたら、[検索] をクリックします。
[ 検索 ] ボックスに 「メモ帳」と入力し、[ メモ帳] をクリックします。
メモ帳に「dir c:」と入力します。
[ ファイル] をクリックし、[ 名前を付けて保存] をクリックします。
[ ファイル 名] フィールドに、「 <Filename>.bat ( <Filename> は新しいバッチ ファイルの名前です)」と入力します。
タスクをスケジュールする
マウスを使用して、画面の右上または右下の隅にポインターを移動します。 チャーム バーが表示されたら、[検索] をクリックします。
[ 検索 ] ボックスに「 タスク スケジューラ」と入力し、[ タスク スケジューラ] をクリックします。
Note
Windows 8 を実行しているコンピューターの [検索 ] ボックスに「 スケジュール タスク」と入力し、[ タスクのスケジュール] をクリックします。
[タスク スケジューラ] メニュー バーで、[アクション] をクリックし、[タスクの作成] をクリックします。
[ タスクの作成 ] ダイアログ ボックスで、「 <Task Name> ( <Task Name> は新しいタスクの名前です)」と入力します。
[ アクション ] タブをクリックし、[ 新規] をクリックします。
[ アクション ] フィールドで、[ プログラムの開始] を選択します。
[ プログラム/スクリプト] で、[ 参照] をクリックし、[バッチ ファイルの作成] セクションで作成した バッチ ファイル を見つけて選択し、[ 開く] をクリックします。
[ OK] をクリックします。
[ 全般 ] タブをクリックします。
[ セキュリティ オプション] で、[ ユーザーまたはグループの変更] をクリックします。
Domain Admins グループのメンバーであるアカウントの名前を入力し、[ 名前の確認] をクリックして、[ OK] をクリックします。
[ユーザーがログオンしているかどうかを実行する] を選択し、[ パスワードを保存しない] を選択します。 タスクは、ローカル コンピューター リソースにのみアクセスできます。
[ OK] をクリックします。
タスクを実行するためのユーザー アカウント資格情報を求めるダイアログ ボックスが表示されます。
資格情報を入力したら、[ OK] をクリックします。
次のようなダイアログ ボックスが表示されます。
「サービスとしてのログオンを拒否する」GPO 設定を確認
GPO の変更の影響を受けるメンバー サーバーまたはワークステーションから、ローカルでログオンします。
マウスを使用して、画面の右上または右下の隅にポインターを移動します。 チャーム バーが表示されたら、[検索] をクリックします。
[ 検索 ] ボックスに「 サービス」と入力し、[ サービス] をクリックします。
[印刷スプーラー] を見つけてダブルクリックします。
[ログオン] タブ を クリックします。
[ログオン ] で[このアカウント] オプションを選択 します。
[ 参照] をクリックし、Domain Admins グループのメンバーであるアカウントの名前を入力し、[ 名前の確認] をクリックして、[ OK] をクリックします。
[ パスワード ] と [ パスワードの確認] で、選択したアカウントのパスワードを入力し、[OK] をクリック します。
[ OK] を 3 回クリックします。
[印刷スプーラー] を右クリックし、[再起動] をクリックします。
サービスが再開されると、次のようなダイアログ ボックスが表示されます。
プリンター スプーラー サービスへの変更を元に戻す
GPO の変更の影響を受けるメンバー サーバーまたはワークステーションから、ローカルでログオンします。
マウスを使用して、画面の右上または右下の隅にポインターを移動します。 チャーム バーが表示されたら、[検索] をクリックします。
[ 検索 ] ボックスに「 サービス」と入力し、[ サービス] をクリックします。
[印刷スプーラー] を見つけてダブルクリックします。
[ログオン] タブ を クリックします。
次のアカウントでログオン で、ローカル システム アカウント を選択し、OK をクリックします。
「ローカルでログオンを拒否する」 GPO 設定を確認
GPO の変更の影響を受けるメンバー サーバーまたはワークステーションから、EA グループのメンバーであるアカウントを使用してローカルでログオンを試みてください。 次のようなダイアログ ボックスが表示されます。
[リモート デスクトップ サービスを使ったログオンを拒否] GPO 設定の検証
マウスを使用して、画面の右上または右下の隅にポインターを移動します。 チャーム バーが表示されたら、[検索] をクリックします。
[検索] ボックスに「リモート デスクトップ接続」と入力し、[リモート デスクトップ接続] をクリックします。
[ コンピューター ] フィールドに、接続するコンピューターの名前を入力し、[ 接続] をクリックします。 (コンピューター名の代わりに IP アドレスを入力することもできます。)
プロンプトが表示されたら、EA グループのメンバーであるアカウントの資格情報を指定します。
次のようなダイアログ ボックスが表示されます。
