付録 E: Active Directory の Enterprise Admins グループをセキュリティで保護する

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

付録 E: Active Directory の Enterprise Admins グループをセキュリティで保護する

フォレスト ルート ドメインに格納されている Enterprise 管理者 (EA) グループは、 「付録 D: Active Directory での Built-In 管理者アカウントのセキュリティ保護」で説明されているように、セキュリティで保護されている場合に、ルート ドメインの管理者アカウントを除き、ユーザーを毎日含めることはできません。

Enterprise 管理者は、既定では、フォレスト内の各ドメインの Administrators グループのメンバーになります。 各ドメインの管理者グループから EA グループを削除しないでください。フォレストのディザスター リカバリー シナリオでは、EA 権限が必要になる可能性があるためです。 フォレストの Enterprise 管理者グループは、次の手順で詳細に説明されているようにセキュリティで保護する必要があります。

フォレストの Enterprise 管理者グループの場合:

1. 各ドメインのメンバー サーバーとワークステーションを含む OU にリンクされている GPO では、Enterprise Admins グループをComputer Configuration\Policies\ Windows 設定 \Security 設定 \Local の権限の割り当ての次のユーザー権利に追加する必要があります:

   • ネットワークからこのコンピューターへのアクセスを拒否

   • バッチ ジョブとしてのログオン権限を拒否する

   • サービスとしてのログオン権限を拒否する

   • ローカルでのログオンを拒否する

   • リモート デスクトップ サービスを使ったログオンを拒否

2. Enterprise Admins グループのプロパティまたはメンバーシップに何らかの変更が加えられた場合にアラートを送信するように監査を構成します。

Enterprise Admins グループからすべてのメンバーを削除するための詳細な手順

1. Server Manager で、[ツール] をクリックし、[Active Directory のユーザーとコンピューター] をクリックします。

2. フォレストのルート ドメインを管理していない場合は、コンソール ツリーで [<ドメイン>] を右クリックし、[ドメインの変更] をクリックします (ここで<ドメイン>は現在管理しているドメインの名前です)。

   

3. [ドメインの変更] ダイアログボックスで、[参照] をクリックしてフォレストのルートドメインを選択し、[OK] をクリックします。

   

4. EA グループからすべてのメンバーを削除するには、次のようにします:

   1. Enterprise Admins グループをダブルクリックし、[メンバー] タブをクリックします。

      

   2. グループのメンバーを選択し、[削除] をクリックし、[はい] をクリックして、[OK] を クリックします。

5. EA グループのすべてのメンバーが削除されるまで、手順 2 を繰り返します。

Active Directory で Enterprise 管理者をセキュリティで保護するための詳細な手順

1. サーバー マネージャーで、[ツール] をクリックし、[グループ ポリシーの管理] をクリックします。

2. コンソール ツリーで、expandv <Forest>\Domains\<Domain> 、そしてグループ ポリシー オブジェクトに移動します (ここで<Forest> はフォレストの名前、<Domain> はグループ ポリシーを設定するドメインの名前です)。

   注意

   複数のドメインが含まれているフォレストでは、Enterprise Admins グループをセキュリティで保護することを要求する、類似した GPO を各ドメインに作成する必要があります。

3. コンソール ツリーで、 [グループ ポリシー オブジェクト] を右クリックし、[新規] をクリックします。

   

4. [新規 GPO] ダイアログ ボックスに <GPO 名>を入力し、[OK] をクリックします (ここで、<GPO 名>は、この GPO の名前です)。

   

5. 詳細ペインで <GPO 名> を右クリックし、[編集] をクリックします。

6. Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies に移動し、[ユーザー権限の割り当て] をクリックします。

   

7. 次の手順を実行して、Enterprise Admins グループのメンバーがネットワーク経由でメンバー サーバーおよびワークステーションにアクセスできないようにするには、ユーザーの権限を構成します:

   1. [ネットワークからこのコンピューターへのアクセスを拒否する] をダブルクリックし、[これらのポリシー設定を定義する] を選択します。

   2. [ユーザーまたはグループの追加] をクリックし、[参照] を クリックします。

   3. 「Enterprise Admins」と入力し、[名前の確認] をクリックして、[OK] をクリックします。

      

   4. [OK] をクリックし、もう一度 [OK] をクリックします。

8. 次の手順を実行して、Enterprise Admins グループのメンバーがバッチ ジョブとしてログオンしないようにユーザーの権限を構成します:

   1. [バッチ ジョブとしてログオンを拒否する] をダブルクリックし、[これらのポリシー設定を定義する] を選択します。

   2. [ユーザーまたはグループの追加] をクリックし、[参照] を クリックします。

      注意

      複数のドメインを含むフォレストで、[場所] をクリックし、フォレストのルート ドメインを選択します。

   3. 「Enterprise Admins」と入力し、[名前の確認] をクリックして、[OK] をクリックします。

      

   4. [OK] をクリックし、もう一度 [OK] をクリックします。

9. EA グループのメンバーがサービスとしてログオンできないようにするには、次の手順を実行してユーザーの権限を構成します:

   1. [サービスとしてのログを拒否する] をダブルクリックし、[これらのポリシー設定を定義する] を選択します。

   2. [ユーザーまたはグループの追加] をクリックし、[参照] を クリックします。

      注意

      複数のドメインを含むフォレストで、[場所] をクリックし、フォレストのルート ドメインを選択します。

   3. 「Enterprise Admins」と入力し、[名前の確認] をクリックして、[OK] をクリックします。

      

   4. [OK] をクリックし、もう一度 [OK] をクリックします。

10. 次の手順を実行して、Enterprise Admins グループのメンバーがメンバー サーバーおよびワークステーションにログオンできないようにユーザーの権限を構成します:

    1. [ローカルでのログを拒否する] をダブルクリックし、[これらのポリシー設定を定義する] を選択します。

    2. [ユーザーまたはグループの追加] をクリックし、[参照] を クリックします。

       注意

       複数のドメインを含むフォレストで、[場所] をクリックし、フォレストのルート ドメインを選択します。

    3. 「Enterprise Admins」と入力し、[名前の確認] をクリックして、[OK] をクリックします。

       

    4. [OK] をクリックし、もう一度 [OK] をクリックします。

11. 次の手順を実行して、Enterprise Admins グループのメンバーがリモート デスクトップ サービス経由でメンバー サーバーおよびワークステーションにアクセスできないようにするには、ユーザーの権限を構成します:

    1. [リモート デスクトップ サービス経由でのログオンを拒否する] をダブルクリックし、[これらのポリシー設定を定義する] を選択します。

    2. [ユーザーまたはグループの追加] をクリックし、[参照] を クリックします。

       注意

       複数のドメインを含むフォレストで、[場所] をクリックし、フォレストのルート ドメインを選択します。

    3. 「Enterprise Admins」と入力し、[名前の確認] をクリックして、[OK] をクリックします。

       

    4. [OK] をクリックし、もう一度 [OK] をクリックします。

12. グループ ポリシー管理エディターを終了するには、[ファイル] をクリックし、[終了]を クリックします。

13. グループポリシー管理で、次の手順に従って、GPO をメンバーサーバーとワークステーションの OU にリンクします:

    1. <Forest>\Domains\<Domain> に移動します (ここで <Forest> はフォレストの名前、<Domain> はフォレストを設定するドメインの名前グループ ポリシー)。

    2. GPO を適用する OU を右クリックし、[既存の GPO へのリンクを作成] をクリックします。

       

    3. 作成した GPO を選択し、[OK] をクリックします。

       

    4. ワークステーションを含む他のすべての OU へのリンクを作成します。

    5. メンバー サーバーを含む他のすべての OU へのリンクを作成します。

    6. 複数のドメインが含まれているフォレストでは、Enterprise Admins グループをセキュリティで保護することを要求する、類似した GPO を各ドメインに作成する必要があります。

重要

ジャンプ サーバーを使用してドメイン コントローラーと Active Directory を管理する場合は、ジャンプ サーバーが、この GPO がリンクされていない OU に存在する必要があります。

検証手順

[ネットワーク経由のアクセスを拒否] GPO 設定を確認する

GPO の変更 (「ジャンプ サーバー」など) の影響を受けないメンバー サーバーまたはワークステーションから、GPO の変更の影響を受けるネットワーク経由でメンバー サーバーまたはワークステーションへのアクセスを試みてください。 GPO 設定を確認するには、次の手順を実行して、 NET USE コマンドを使用してシステム ドライブをマップします:

1. EA グループのメンバーであるアカウントを使用してローカルにログオンします。

2. マウスを使用して、ポインターを画面の右上隅または右下隅に移動します。 [チャーム] バーが表示されたら、[検索] をクリックします。

3. [検索] ボックスに「コマンド プロンプト」と入力して、[コマンド プロンプト] を右クリックし、[管理者として実行] をクリックすると、管理者特権でのコマンド プロンプトが開きます。

4. 管理者特権の承認を求めるメッセージが表示されたら、[はい] を クリックします。

   

5. コマンド プロンプト ウィンドウで、「net use \\<Server Name>\c$」と入力します。このとき <Server Name> は、ネットワークを使用してアクセスしようとするメンバー サーバーまたはワークステーションの名前です。

6. 次のスクリーンショットは、表示されるエラー メッセージを示しています。

   

「バッチ ジョブとしてログオンを拒否する」GPO 設定を確認

GPO の変更の影響を受けるメンバー サーバーまたはワークステーションから、ローカルでログオンします。

バッチ ファイルを作成する

1. マウスを使用して、ポインターを画面の右上隅または右下隅に移動します。 チャーム バーが表示されたら、[検索] をクリックします。

2. [検索] ボックスに「notepad」と入力し、[メモ帳] をクリックします。

3. メモ帳に「dir c:」と入力します。

4. [ファイル] をクリックして、 [名前を付けて保存] をクリックします。

5. [ファイル名] ボックスに「 <Filename>.bat」と入力します (ここで <Filename> は新しいバッチ ファイルの名前です)。

タスクをスケジュールする

1. マウスを使用して、ポインターを画面の右上隅または右下隅に移動します。 チャーム バーが表示されたら、[検索] をクリックします。

2. [検索] ボックスに「task scheduler」と入力し、[タスク スケジューラ] をクリックします。

   注意

   Windows 8 が実行されているコンピューターの [検索] ボックスに「schedule tasks」と入力し、[タスクのスケジュール] をクリックします。

3. [操作] をクリックし、[タスクの作成] をクリックします。

4. [タスクの作成] ダイアログ ボックスで、「 <Task Name>」と入力します (ここで b<Task Name> は新しいタスクの名前です)。

5. [操作] タブをクリックし、[新規] をクリックします。

6. [アクション] フィールドで 、[プログラムの開始] を選択します。

7. [プログラム/スクリプト] の [参照] をクリックし、[バッチ ファイルの作成] セクションで作成したバッチ ファイルを見つけて選択し、[開く] をクリックします。

8. [OK] をクリックします。

9. [General] タブをクリックします。

10. [セキュリティ オプション] フィールドで、[ユーザーまたはグループ の変更] をクリックします。

11. EA グループのメンバーであるアカウントの名前を入力し、[名前の確認] をクリックして、[OK] をクリックします。

12. [ユーザーがログオンしているかどうかを実行する] を選択し、[ パスワードを保存しない] を選択します。 タスクは、ローカル コンピューター リソースにのみアクセスできます。

13. [OK] をクリックします。

14. タスクを実行するためのユーザー アカウント資格情報を求めるダイアログ ボックスが表示されます。

15. 資格情報を入力した後、[OK] を クリックします。

16. 次のようなダイアログ ボックスが表示されます。

    

「サービスとしてのログオンを拒否する」GPO 設定を確認

1. GPO の変更の影響を受けるメンバー サーバーまたはワークステーションから、ローカルでログオンします。

2. マウスを使用して、画面の右上または右下の隅にポインターを移動します。 [チャーム] バーが表示されたら、[検索] をクリックします。

3. [検索] ボックスに 「services」と入力し、[サービス] をクリックします。

4. 印刷スプーラーを見つけてダブルクリックします。

5. [ログオン] タブをクリックします。

6. [次のアカウントでログオン] で[このアカウント] を選択します。

7. [参照] をクリックし、EA グループのメンバーであるアカウントの名前を入力てし、[名前の確認] をクリックして、[OK] をクリックします。

8. [パスワード: ] と[パスワードの確認] で、選択したアカウントのパスワードを入力し、[OK] をクリックします。

9. [OK] をさらに 3 回クリックします。

10. 印刷スプーラー サービスを 右クリックし、 [再起動] を選択します。

11. サービスが再起動すると、次のようなダイアログ ボックスが表示されます。

    

プリンター スプーラー サービスへの変更を元に戻す

1. GPO の変更の影響を受けるメンバー サーバーまたはワークステーションから、ローカルでログオンします。

2. マウスを使用して、画面の右上または右下の隅にポインターを移動します。 [チャーム] バーが表示されたら、[検索] をクリックします。

3. [検索] ボックスに 「services」と入力し、[サービス] をクリックします。

4. 印刷スプーラーを見つけてダブルクリックします。

5. [ログオン] タブをクリックします。

6. 次のアカウントでログオン で、ローカル システム アカウント を選択し、OK をクリックします。

「ローカルでログオンを拒否する」 GPO 設定を確認

1. GPO の変更の影響を受けるメンバー サーバーまたはワークステーションから、EA グループのメンバーであるアカウントを使用してローカルでログオンを試みてください。 次のようなダイアログ ボックスが表示されます。

   

[リモート デスクトップ サービスを使ったログオンを拒否] GPO 設定を確認する

1. マウスを使用して、ポインターを画面の右上隅または右下隅に移動します。 [チャーム] バーが表示されたら、[検索] をクリックします。

2. [検索] ボックス に「remote desktop connection」と入力し、[リモート デスクトップ接続] をクリックします。

3. [コンピューター] フィールドに、接続先のコンピューターの名前を入力し、[接続] をクリックします。 (コンピューター名の代わりに IP アドレスを入力することもできます)

4. プロンプトが表示されたら、EA グループのメンバーであるアカウントの資格情報を指定します。

5. 次のようなダイアログ ボックスが表示されます。