このブラウザーはサポートされなくなりました。
Microsoft Edge にアップグレードすると、最新の機能、セキュリティ更新プログラム、およびテクニカル サポートを利用できます。
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(230.39999999999998, 66%, 32%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EF%3C/text%3E%3C/svg%3E)
Microsoft Defender for Identity を導入したいと考えています。
このサービスの導入手順として、
以下ドキュメントにローカルポリシーの[サービスとしてログオン]をグループポリシーに構成しなおす必要があると記載があります。
グループ ポリシー管理エディターを使用して [サービスとしてのログオン] 設定を構成する場合は、NT Service\All Services と作成した gMSA アカウントの両方を必ず追加します。
NT Service\All Servicesをグループポリシーに追加する必要があるとのことですが、
これはどのようにすればよいのでしょうか。
こちらのサービスは該当設定項目では普通に入力すると設定することができません。(おそらくドメインのオブジェクトではないため)
既定では NT Service\All Services は「サービスとしてログオン」に含まれていると思いますが、これが無くなっているのでしょうか?
@Hebikuzure aka Murachi Akira
ご回答ありがとうございます。
既定で存在しているはずと仰っているのおは、ローカルのグループポリシーのことではないでしょうか。
MSドキュメントではローカルとドメインのどちらのグループポリシーで設定するのかを読み取れないですが、今回はドメインのグループポリシーでの制御を考えています。
こちらの環境ではローカルのグループポリシーは禁止しているはずであり、ドメインのグループポリシーで設定できないいうことであれば、このサービスを利用するのは厳しいということになる事情がございます。。
手元で確認する限りでは、NT Service\All Services は
が既定の状態のようです。
ローカルポリシーはドメインのポリシーで上書きされるますが、未定義であればローカル ポリシーがそのまま適用されます。
@Hebikuzure aka Murachi Akira
仰る通りでございます。
既定ではドメインの[サービスとしてログオン]が未定義であるため、
こちらの環境のようなローカルポリシーが禁止されている環境ではドメインでMSドキュメントに案内されている NT Service\All Services を追加することが必要となります。
そのような方法(ローカルポリシーを禁止している環境でNT Service\All Servicesを[サービスとしてログオン]に追加する)は不可能なのでしょうか?
であれば、それはそれで仕方ないですので、今回はMDI導入は諦めようと考えております。
「ローカルポリシーの禁止」と書かれていることの実際の内容が良く分からないのですが、「ローカルポリシーを編集すること」が禁止されているのであれば、逆にローカルポリシーは既定値のままですから何もしなくても NT Service\All Services は [サービスとしてログオン] に含まれています。[サービスとしてログオン] をドメインポリシーで上書きしていなければ、Microsoft Defender for Identity の導入に問題はないはずです。
「ローカルポリシーの適用を禁止すること」はそもそもできないので、「ローカルポリシーの禁止」というのが上記と異なるのであれば、それについて具体的に説明してください。
また本来の目的である Microsoft Defender for Identity の導入について実際に何か問題が生じているのであれば、その問題について具体的に質問された方が良いと思います。
私も実際の運用担当者ではないので具体的な設定はわからないのですが、おそらく以下設定がなされているものと思います。
https://admx.help/?Category=Windows_10_2016&Policy=Microsoft.Policies.GroupPolicy::DisableLGPOProcessing&Language=ja-jp
この設定があるとローカルで[サービスとしてログオン]を設定することができないものと思い込んでいましたが、そうではなくローカルでの設定も可能ということでしょうか。
問題としては、既定では[サービスとしてログオン]にgMSA アカウントが含まれていないためこれが追加されるように修正が必要ですが、ローカルポリシーをブロックする制御がある環境ではドメイン単位のポリシーを利用するしかなく(そう思い込んでいました)、ドメインポリシーを利用すると今度はNT Service\All Servicesを含むことができないというところでした。
ローカルポリシーがブロックされることはありえないということですので、ローカルポリシーで設定するで問題ないと思っております。
チャブーンさんが別の回答へのコメントで書かれているように、クライアントでの実際の権限は secedit /export コマンドで確認できるので、そこでどうなっているか確認されることをお勧めします。
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(304, 43%, 39%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EA%3C/text%3E%3C/svg%3E)
チャブーンです。
この件ですが、
こちらの環境のようなローカルポリシーが禁止されている環境ではドメインでMSドキュメントに案内されている NT Service\All Services を追加することが必要となります。
なのですが、根拠というか技術的な認定ポイントをいただけますでしょうか?ローカルポリシー全体を拒否するといったことは、ドメインに参加していても不可能です。Hebikuzureさんがおっしゃっているのは、ドメイングループポリシーで上書きされる項目のうち「ポリシー項目が重なる」部分だけがドメインで反映される、[未定義]の場合スルーという意味なので、(その部分の)ローカルポリシーはそのまま適用される、ということです。
上記の質問にどうしても答えたくない、という場合、グループポリシーでも[NT SERVICE\ALL SERVICES]のプリンシパルは設定ができますので、そうしてみるのも一手です。その際ですが、[ユーザーまたはグループの追加]ボタンを押した後、出てきた(シンプルな)ダイアログに直接入力してください。[参照]ボタンを押してしまうと、この文字列でのプリンシパルは検出できないので、失敗します。
なお、グループポリシーで設定した場合、グループポリシーオブジェクトの適用範囲内の全コンピューターの[サービスとしてログオン]設定が上書きされてしまい、問題が起こるかもしれません。ですので、セキュリティフィルター等で特定のサーバーだけに適用するよう、調整してください。
上記の設定は、ドメインコントローラー上での[グループポリシーの管理]スナップインを前提としていますので、ローカルグループポリシーやクライアントOSのポリシー管理ツールは対象外です。
こちらの環境のようなローカルポリシーが禁止されている環境ではドメインでMSドキュメントに案内されている NT Service\All Services を追加することが必要となります。> なのですが、根拠というか技術的な認定ポイントをいただけますでしょうか?ローカルポリシー全体を拒否するといったことは、ドメインに参加していても不可能です。
私も実際の運用担当者ではないので具体的な設定はわからないのですが、おそらく以下設定がなされているものと思います。 https://admx.help/?Category=Windows_10_2016&Policy=Microsoft.Policies.GroupPolicy::DisableLGPOProcessing&Language=ja-jp この設定があるとローカルで[サービスとしてログオン]を設定することができないものと思い込んでいましたが、そうではなくローカルでの設定も可能ということでしょうか。
チャブーンです。
なるほど。そのポリシーがある場合、一般論としては(管理テンプレート部分)については、適用されない状態になると思います。が、セキュリティの部分については、不可視のレジストリに直接書かれていますので、この設定があったとしても「書き込み済みの『既定の設定』」については、それがそのまま適用され続けるでしょう。(ローカルGPOで後付けで値を変えることはできないと思います。)
セキュリティ部分の現時点の設定がどうなっているのか?を確認するには、secedit /exportコマンドを使ってエクスポートした内容をテキストレベルで確認できます。そこに入っていたら、そのまま動作するでしょう。
https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/secedit-export
万一ない場合は、ドメインGPOで設定してください。Default Domain Policy等既定のポリシーに設定してしまうと、全コンピューターの設定が変わってしまうので、新しくGPOを作り、適切なOUを構成するか、セキュリティフィルターなどで適用先をきちんと決めてください。
相変わらずコメント出ませんね。。