付録 G: Active Directory の Administrators グループをセキュリティで保護する
Enterprise Admins (EA) および Domain Admins (DA) グループの場合と同様に、ビルトイン Administrator (BA) グループのメンバーシップは、構築またはディザスター リカバリーのシナリオでのみ必要になります。 Administrators グループに日常のユーザー アカウントを入れないでください。ただし、ドメインのビルトイン Administrator アカウントは、「付録 D: Active Directory の組み込み管理者アカウントをセキュリティで保護する」で説明されているように保護されている場合は、除外される可能性があります。
既定では、管理者はそれぞれのドメイン内のほとんどの AD DS オブジェクトの所有者です。 このグループのメンバーシップは、オブジェクトの所有権または所有権を取得する機能が必要な構築またはディザスター リカバリーのシナリオで必要になる場合があります。 さらに、DA と EA は、管理者グループの既定のメンバーシップによって、多くの権利とアクセス許可を継承します。 Active Directory の特権グループについて、グループの既定の入れ子を変更しないでください。また、各ドメインの Administrators グループは、この後の詳細な手順で説明するようにセキュリティで保護する必要があります。
!注意 このドキュメントで説明する手順は、運用環境で実行する前に、非運用環境で十分にテストする必要があります。
フォレスト内の各ドメインの Administrators グループについて、次のようにします。
Administrators グループからすべてのメンバーを削除します。ただし、ドメインのビルトイン Administrator アカウントは、「Active Directory の組み込み管理者アカウントをセキュリティで保護する」で説明されているように保護されている場合には、除外される可能性があります。
各ドメインのメンバー サーバーとワークステーションを含む OU にリンクされている GPO では、[コンピューターの構成] > [ポリシー] > [Windows の設定] > [セキュリティの設定] > [ローカル ポリシー] > [ユーザー権利の割り当て] で BA グループを次のユーザー権利に追加する必要があります。
ネットワークからこのコンピューターへのアクセスを拒否
バッチ ジョブとしてのログオン権限を拒否する
サービスとしてのログオン権限を拒否する
フォレスト内の各ドメインのドメイン コントローラー OU で、Administrators グループに次のユーザー権利が付与されている必要があります。
ネットワーク経由でこのコンピュータへアクセス
ローカルでのログオンを許可
リモート デスクトップ サービスを使ったログオンを許可
管理者グループのプロパティまたはメンバシップが変更された場合に警告を送信するように、監査を構成する必要があります。
Administrators グループからすべてのメンバーを削除するための詳細な手順
サーバー マネージャーで、[ツール] をクリックし、[Active Directory ユーザーとコンピューター] をクリックします。
Administrators グループからすべてのメンバーを削除するには、次の手順に従います。
Administrators グループをダブルクリックし、[メンバー] タブをクリックします。
![Administrators グループからすべてのメンバーを削除するための [メンバー] タブを示すスクリーンショット。](media/appendix-g--securing-administrators-groups-in-active-directory/sad_79.gif)
グループのメンバーを選択し、[ 削除] をクリックし、[ はい] をクリックして、[ OK] をクリックします。
Administrators グループのすべてのメンバーが削除されるまで、手順 2 を繰り返します。
Active Directory の Administrators グループをセキュリティで保護するための詳細な手順
サーバー マネージャーで、[ツール] をクリックし、[グループ ポリシーの管理] をクリックします。
コンソール ツリーで <Forest>\Domains\<Domain> を展開し、[グループ ポリシー オブジェクト] に移動します (ここで、<Forest> はフォレストの名前、<Domain> は、グループ ポリシーを設定するドメインの名前です)。
コンソール ツリーで、 [グループ ポリシー オブジェクト] を右クリックし、[新規] をクリックします。
![Active Directory で Administrators グループをセキュリティで保護するために [新規] を選択する場所を示すスクリーンショット。](media/appendix-g--securing-administrators-groups-in-active-directory/sad_80.gif)
[ 新しい GPO ] ダイアログ ボックスで、「 <GPO 名>」と入力し、[ OK] をクリックします ( ここで、GPO 名 はこの GPO の名前です)。
![Administrators グループをセキュリティで保護できるように、[新しい GPO] ダイアログ ボックスで G P O の名前を付ける場所を示すスクリーンショット。](media/appendix-g--securing-administrators-groups-in-active-directory/sad_81.gif)
詳細ペインで <GPO 名> を右クリックし、[編集] をクリックします。
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies に移動し、[ユーザー権限の割り当て] をクリックします。
![Administrator グループを保護するための [ユーザー権限の管理] オプションを選択できるようにナビゲートする場所を示すスクリーンショット。](media/appendix-g--securing-administrators-groups-in-active-directory/sad_82.gif)
次のようにして、Administrators グループのメンバーがネットワーク経由でメンバー サーバーとワークステーションにアクセスできないようにユーザー権利を構成します。
[ネットワーク経由のアクセスを拒否] をダブルクリックし、[これらのポリシーの設定を定義する] を選択します。
[ユーザーまたはグループの追加] をクリックし、[参照] を クリックします。
「 管理者」と入力し、「 名前の確認」をクリックして、「 OK」をクリックします。
[ OK] をクリックし、もう一度 [OK] をクリックします 。
次のようにして、Administrators グループのメンバーがバッチ ジョブとしてログオンできないようにユーザーの権利を構成します。
[バッチ ジョブとしてのログオンを拒否] をダブルクリックし、[これらのポリシーの設定を定義する] を選択します。
[ユーザーまたはグループの追加] をクリックし、[参照] を クリックします。
「 管理者」と入力し、「 名前の確認」をクリックして、「 OK」をクリックします。
[ OK] をクリックし、もう一度 [OK] をクリックします 。
次のようにして、Administrators グループのメンバーがサービスとしてログオンできないようにユーザー権利を構成します。
[サービスとしてのログオンを拒否] をダブルクリックし、[これらのポリシーの設定を定義する] を選択します。
[ユーザーまたはグループの追加] をクリックし、[参照] を クリックします。
「 管理者」と入力し、「 名前の確認」をクリックして、「 OK」をクリックします。
[ OK] をクリックし、もう一度 [OK] をクリックします 。
グループ ポリシー管理エディターを終了するには、[ファイル] をクリックし、[終了]を クリックします。
[グループ ポリシー管理] で、次の手順に従って、メンバー サーバーとワークステーションの OU に GPO をリンクします。
<フォレスト>>\Domains\<ドメイン> に移動します (ここで、<フォレスト> はフォレストの名前、<ドメイン> は、グループ ポリシーを設定するドメインの名前です)。
GPO を適用する OU を右クリックし、[既存の GPO へのリンクを作成] をクリックします。
![OU を右クリックしたときの [既存の G P O をリンクする] メニュー オプションを示すスクリーンショット。](media/appendix-g--securing-administrators-groups-in-active-directory/sad_86.gif)
先ほど作成した GPO を選択し、[ OK] をクリックします。
ワークステーションを含む他のすべての OU へのリンクを作成します。
メンバー サーバーを含む他のすべての OU へのリンクを作成します。
Important
ジャンプ サーバーを使用してドメイン コントローラーと Active Directory を管理する場合は、ジャンプ サーバーが、この GPO がリンクされていない OU に存在する必要があります。
Note
GPO の管理者グループに制限を実装すると、Windows は、ドメインの管理者グループに加えて、コンピューターのローカルの管理者グループのメンバーにも設定を適用します。 そのため、Administrators グループに制限を実装する場合は注意が必要です。 Administrators グループのメンバーによるネットワーク、バッチ、サービスへのログオンは、実装可能な限り禁止することをお勧めしますが、ローカル ログオンやリモート デスクトップ サービスを経由したログオンは制限しないでください。 これらのログオンの種類をブロックすると、ローカルの管理者グループのメンバーによるコンピューターの正当な管理がブロックされる恐れがあります。
次のスクリーンショットは、組み込みのローカルまたはドメイン管理者グループの不正使用に加えて、組み込みのローカルおよびドメイン管理者アカウントの不正使用をブロックする構成設定を示すものです。 リモート デスクトップ サービスによるログオンを拒否するユーザー権利には、管理者グループは含まれていません。この設定に含めると、ローカル コンピューターの管理者グループのメンバーであるアカウントに対するこれらのログオンもブロックされるためです。 コンピュータ上のサービスが、このセクションで説明されている特権グループのいずれかのコンテキストで実行されるように構成されている場合、これらの設定を実装すると、サービスおよびアプリケーションがエラーになる可能性があります。 そのため、このセクションで説明するすべての推奨事項と同様に、使用の環境での設定の適用性を徹底的にテストする必要があります。
Administrators グループにユーザー権利を付与するための詳細な手順
サーバー マネージャーで、[ツール] をクリックし、[グループ ポリシーの管理] をクリックします。
コンソール ツリーで <Forest>\Domains\<Domain> を展開し、[グループ ポリシー オブジェクト] に移動します (ここで、<Forest> はフォレストの名前、<Domain> は、グループ ポリシーを設定するドメインの名前です)。
コンソール ツリーで、 [グループ ポリシー オブジェクト] を右クリックし、[新規] をクリックします。
[ 新しい GPO ] ダイアログ ボックスで、「 <GPO 名>」と入力し、[ OK ] をクリックします (ここで、 <GPO 名> はこの GPO の名前です)。
詳細ペインで <GPO 名> を右クリックし、[編集] をクリックします。
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies に移動し、[ユーザー権限の割り当て] をクリックします。
![[ユーザー権限の管理] を選択して Administrators グループをセキュリティで保護できる場所を示すスクリーンショット。](media/appendix-g--securing-administrators-groups-in-active-directory/sad_91.gif)
次のようにして、Administrators グループのメンバーがネットワーク経由でドメイン コントローラーにアクセスできるようにユーザー権利を構成します。
[ネットワーク経由でのアクセス] をダブルクリックし、[これらのポリシーの設定を定義する] を選択します。
[ユーザーまたはグループの追加] をクリックし、[参照] を クリックします。
[ユーザーまたはグループの追加] をクリックし、[参照] を クリックします。
[ OK] をクリックし、もう一度 [OK] をクリックします 。
次のようにして、Administrators グループのメンバーがローカルでログオンできるようにユーザー権利を構成します。
[ローカル ログオンを許可] をダブルクリックし、[これらのポリシーの設定を定義する] を選択します。
[ユーザーまたはグループの追加] をクリックし、[参照] を クリックします。
「 管理者」と入力し、「名前の確認 」をクリックして、「 OK」をクリックします。
[ OK] をクリックし、もう一度 [OK] をクリックします 。
次のようにして、Administrators グループのメンバーがリモート デスクトップ サービスを使用してログオンできるようにユーザー権利を構成します。
[リモート デスクトップ サービスを使ったログオンを許可] をダブルクリックし、[これらのポリシーの設定を定義する] を選択します。
[ユーザーまたはグループの追加] をクリックし、[参照] を クリックします。
「 管理者」と入力し、「 名前の確認」をクリックして、「 OK」をクリックします。
[ OK] をクリックし、もう一度 [OK] をクリックします 。
グループ ポリシー管理エディターを終了するには、[ファイル] をクリックし、[終了]を クリックします。
[グループ ポリシー管理] で、次のようにして GPO をドメイン コントローラーの OU にリンクします。
<フォレスト>\Domains\<ドメイン> に移動します (ここで、<フォレスト> はフォレストの名前、<ドメイン> は、グループ ポリシーを設定するドメインの名前です)。
ドメイン コントローラーの OU を右クリックし、[既存の GPO のリンク] をクリックします。
![ドメイン コントローラー OU に G P O をリンクしようとしている場合の [既存の GPO のリンク] メニュー オプションを示すスクリーンショット。](media/appendix-g--securing-administrators-groups-in-active-directory/sad_95.gif)
先ほど作成した GPO を選択し、[ OK] をクリックします。
確認手順
[ネットワーク経由のアクセスを拒否] GPO 設定を確認する
GPO の変更の影響を受けないメンバー サーバーまたはワークステーション (ジャンプ サーバーなど) から、GPO の変更の影響を受けるネットワーク経由で、メンバー サーバーまたはワークステーションへのアクセスを試みてください。 GPO の設定を確認するには、 NET USE コマンドを使用してシステム ドライブのマップを試みます。
Administrators グループのメンバーであるアカウントを使用してローカルにログオンします。
マウスを使用して、画面の右上または右下の隅にポインターを移動します。 チャーム バーが表示されたら、[検索] をクリックします。
[検索] ボックスに「コマンド プロンプト」と入力し、[コマンド プロンプト] を右クリックし、[管理者として実行] をクリックして管理者特権のコマンド プロンプトを開きます。
昇格の承認を求められたら、[ はい] をクリックします。
![[ユーザー アカウント制御] ダイアログ ボックスが強調表示されているスクリーンショット。](media/appendix-g--securing-administrators-groups-in-active-directory/sad_97.gif)
コマンド プロンプト ウィンドウで、「net use \\<Server Name>\c$」と入力します。ここで、<Server Name> は、ネットワーク経由でアクセスしようとしているメンバー サーバーまたはワークステーションの名前です。
次のスクリーンショットは、表示されるエラー メッセージを示しています。
「バッチ ジョブとしてログオンを拒否する」GPO 設定を確認
GPO の変更の影響を受けるメンバー サーバーまたはワークステーションから、ローカルでログオンします。
バッチ ファイルを作成する
マウスを使用して、画面の右上または右下の隅にポインターを移動します。 チャーム バーが表示されたら、[検索] をクリックします。
[ 検索 ] ボックスに 「メモ帳」と入力し、[ メモ帳] をクリックします。
メモ帳に「dir c:」と入力します。
[ ファイル] をクリックし、[ 名前を付けて保存] をクリックします。
[ ファイル名 ] フィールドに、「 <Filename>.bat ( <Filename> は新しいバッチ ファイルの名前です)」と入力します。
タスクをスケジュールする
マウスを使用して、画面の右上または右下の隅にポインターを移動します。 チャーム バーが表示されたら、[検索] をクリックします。
[ 検索 ] ボックスに「 タスク スケジューラ」と入力し、[ タスク スケジューラ] をクリックします。
Note
Windows 8 が実行されているコンピューターでは、[検索] ボックスに「タスクのスケジュール」と入力し、[タスクのスケジュール] をクリックします。
[ アクション] をクリックし、[ タスクの作成] をクリックします。
[ タスクの作成 ] ダイアログ ボックスで、「 <Task Name> ( <Task Name> は新しいタスクの名前です)」と入力します。
[ アクション ] タブをクリックし、[ 新規] をクリックします。
[ アクション ] フィールドで、[ プログラムの開始] を選択します。
[ プログラム/スクリプト ] フィールドで、[ 参照] をクリックし、[バッチ ファイルの作成] セクションで作成した バッチ ファイル を見つけて選択し、[ 開く] をクリックします。
OK をクリックします。
[ 全般 ] タブをクリックします。
[ セキュリティ オプション ] フィールドで、[ ユーザーまたはグループの変更] をクリックします。
Administrators グループのメンバーであるアカウントの名前を入力し、[ 名前の確認] をクリックして、[ OK] をクリックします。
[ユーザーのログオン状態にかかわらず実行する] と [パスワードを保存しない] を選択します。 タスクは、ローカル コンピューター リソースにのみアクセスできます。
OK をクリックします。
タスクを実行するためのユーザー アカウント資格情報を求めるダイアログ ボックスが表示されます。
パスワードを入力したら、[ OK] をクリックします。
次のようなダイアログ ボックスが表示されます。
![[タスク スケジューラ] ダイアログ ボックスが強調表示されているスクリーンショット。](media/appendix-g--securing-administrators-groups-in-active-directory/sad_99.gif)
「サービスとしてのログオンを拒否する」GPO 設定を確認
GPO の変更の影響を受けるメンバー サーバーまたはワークステーションから、ローカルでログオンします。
マウスを使用して、画面の右上または右下の隅にポインターを移動します。 チャーム バーが表示されたら、[検索] をクリックします。
[ 検索 ] ボックスに「 サービス」と入力し、[ サービス] をクリックします。
[印刷スプーラー] を見つけてダブルクリックします。
[ログオン] タブ を クリックします。
[ログオン] フィールドで、[このアカウント] を選択します。
[ 参照] をクリックし、Administrators グループのメンバーであるアカウントの名前を入力し、[ 名前の確認] をクリックして、[ OK] をクリックします。
[ パスワード ] フィールドと [ パスワードの確認 ] フィールドに、選択したアカウントのパスワードを入力し、[OK] をクリック します。
[ OK] を 3 回クリックします。
[印刷スプーラー] を右クリックし、[再起動] をクリックします。
サービスが再開されると、次のようなダイアログ ボックスが表示されます。
プリンター スプーラー サービスへの変更を元に戻す
GPO の変更の影響を受けるメンバー サーバーまたはワークステーションから、ローカルでログオンします。
マウスを使用して、画面の右上または右下の隅にポインターを移動します。 チャーム バーが表示されたら、[検索] をクリックします。
[ 検索 ] ボックスに「 サービス」と入力し、[ サービス] をクリックします。
[印刷スプーラー] を見つけてダブルクリックします。
[ログオン] タブ を クリックします。
[ログオン] フィールドで、[ローカル システム アカウント] をクリックし、[OK] をクリックします。