付録 F: Active Directory の Domain Admins グループをセキュリティで保護する

  • [アーティクル]

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

付録 F: Active Directory の Domain Admins グループをセキュリティで保護する

エンタープライズ管理グループと同様に、ドメイン管理グループのメンバーシップは、構築またはディザスター リカバリーのシナリオでのみ必要です。 「付録D:Active Directory の組み込み管理者アカウントの保護」で説明されているように保護されている場合は、ドメインのローカル管理者アカウントを除き、DAグループに日常のユーザーアカウントは設定しないでください。

ドメイン管理者は、既定では、それぞれのドメイン内のすべてのメンバーサーバーおよびワークステーションのローカル管理者グループのメンバーとなります。 この既定の入れ子は、サポートとディザスター リカバリーのために変更することはできません。 ドメイン管理者グループがメンバサーバー上のローカルの管理者グループから削除された場合は、リンクされたGPOの制限されたグループ設定を使用して、ドメイン内の各メンバ サーバーおよびワークステーションの管理者グループに追加する必要があります。 各ドメインの Domain Admins グループは、以下の手順に従ってセキュリティで保護する必要があります。

フォレスト内の各ドメインのドメイン 管理者グループの場合:

  1. 付録 D: Active Directory の組み込み管理者アカウントをセキュリティで保護する」の説明に従って保護されている場合は、ドメインの組み込み管理者アカウントを除き、DA グループからすべてのメンバーを削除します。

  2. 各ドメインのメンバー サーバーとワークステーションを含む OU にリンクされている GPO では、Enterprise Admins グループをComputer Configuration\Policies\ Windows 設定 \Security 設定 \Local の権限の割り当ての次のユーザー権利に追加する必要があります:

    • ネットワークからこのコンピューターへのアクセスを拒否

    • バッチ ジョブとしてのログオン権限を拒否する

    • サービスとしてのログオン権限を拒否する

    • ローカルでのログオンを拒否する

    • リモート デスクトップ サービスを使ったログオンを拒否

  3. DA グループのプロパティまたはメンバーシップが変更された場合にアラートを送信するように、監査を構成する必要があります。

Enterprise Admins グループからすべてのメンバーを削除するための詳細な手順

  1. Server Manager で、[ツール] をクリックし、[Active Directory のユーザーとコンピューター] をクリックします。

  2. DA グループからすべてのメンバーを削除するには、次の手順に従います:

    1. Domain Admins グループをダブルクリックし、[ メンバー] タブ をクリック します。

      Screenshot that shows the Members tab for removing all members from the Domain Admins Group.

    2. グループのメンバーを選択し、[削除] をクリックし、[はい] をクリックして、[OK] を クリックします。

  3. EA グループのすべてのメンバーが削除されるまで、手順 2 を繰り返します。

Active Directory で Enterprise 管理者をセキュリティで保護するための詳細な手順

  1. サーバー マネージャー[ツール] をクリックし、[グループ ポリシーの管理] をクリックします。

  2. コンソール ツリーで <Forest>\Domains\<Domain> を展開し、[グループ ポリシー オブジェクト] に移動します (ここで、<Forest> はフォレストの名前、<Domain> は、グループ ポリシーを設定するドメインの名前です)。

  3. コンソール ツリーで、 [グループ ポリシー オブジェクト] を右クリックし、[新規] をクリックします。

    Screenshot that shows where to select New so you can secure Domain Admins in Active Directory.

  4. [新規 GPO] ダイアログ ボックスに <GPO 名>を入力し、[OK] をクリックします (ここで、<GPO 名>は、この GPO の名前です)。

    Screenshot that shows where to name the GPO so you can secure Domain Admins in Active Directory.

  5. 詳細ペインで <GPO 名> を右クリックし、[編集] をクリックします。

  6. Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies に移動し、[ユーザー権限の割り当て] をクリックします。

    Screenshot that shows where to navigate so you can select User Rights Admin to secure Domain Admins in Active Directory.

  7. 次の手順を実行して、Enterprise Admins グループのメンバーがネットワーク経由でメンバー サーバーおよびワークステーションにアクセスできないようにするには、ユーザーの権限を構成します:

    1. [ネットワーク経由のアクセスを拒否] をダブルクリックし、[これらのポリシーの設定を定義する] を選択します。

    2. [ユーザーまたはグループの追加] をクリックし、[参照] を クリックします。

    3. Domain Admins」と入力し、[ 名前の確認] をクリックして、[OK] を クリックします

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the Domain Admins group from accessing members servers and workstations over the network.

    4. [OK] をクリックし、もう一度 [OK] をクリックします。

  8. 次の手順を実行して、Enterprise Admins グループのメンバーがバッチ ジョブとしてログオンしないようにユーザーの権限を構成します:

    1. [バッチ ジョブとしてのログオンを拒否] をダブルクリックし、[これらのポリシーの設定を定義する] を選択します。

    2. [ユーザーまたはグループの追加] をクリックし、[参照] を クリックします。

    3. Domain Admins」と入力し、[ 名前の確認] をクリックして、[OK] を クリックします

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the DA group from logging on as a batch job.

    4. [OK] をクリックし、もう一度 [OK] をクリックします。

  9. EA グループのメンバーがサービスとしてログオンできないようにするには、次の手順を実行してユーザーの権限を構成します:

    1. [サービスとしてのログオンを拒否] をダブルクリックし、[これらのポリシーの設定を定義する] を選択します。

    2. [ユーザーまたはグループの追加] をクリックし、[参照] を クリックします。

    3. Domain Admins」と入力し、[ 名前の確認] をクリックして、[OK] を クリックします

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the DA group from logging on as a service.

    4. [OK] をクリックし、もう一度 [OK] をクリックします。

  10. 次の手順を実行して、Enterprise Admins グループのメンバーがメンバー サーバーおよびワークステーションにログオンできないようにユーザーの権限を構成します:

    1. [ローカルでのログを拒否する] をダブルクリックし、[これらのポリシー設定を定義する] を選択します。

    2. [ユーザーまたはグループの追加] をクリックし、[参照] を クリックします。

    3. Domain Admins」と入力し、[ 名前の確認] をクリックして、[OK] を クリックします

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the Domain Admins group from logging on locally to member servers and workstations.

    4. [OK] をクリックし、もう一度 [OK] をクリックします。

  11. 次の手順を実行して、Enterprise Admins グループのメンバーがリモート デスクトップ サービス経由でメンバー サーバーおよびワークステーションにアクセスできないようにするには、ユーザーの権限を構成します:

    1. [リモート デスクトップ サービスを使ったログオンを拒否] をダブルクリックし、[これらのポリシーの設定を定義する] を選択します。

    2. [ユーザーまたはグループの追加] をクリックし、[参照] を クリックします。

    3. Domain Admins」と入力し、[ 名前の確認] をクリックして、[OK] を クリックします

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the Domain Admins group from accessing member servers and workstations via Remote Desktop Services

    4. [OK] をクリックし、もう一度 [OK] をクリックします。

  12. グループ ポリシー管理エディターを終了するには、[ファイル] をクリックし、[終了]を クリックします。

  13. [グループ ポリシー管理]で、次の手順に従って、メンバー サーバーとワークステーションの OU に GPO をリンクします:

    1. <Forest>\Domains\<Domain> に移動します (ここで <Forest> はフォレストの名前、<Domain> はフォレストを設定するドメインの名前グループ ポリシー)。

    2. GPO を適用する OU を右クリックし、[既存の GPO へのリンクを作成] をクリックします。

      Screenshot that shows the Link an existing GPO menu option when you right-click the OU that the GPO will be applied to.

    3. 作成した GPO を選択し、[OK] をクリックします。

      Screenshot that shows where to select the GPO you just created while you're linking the GPO to the member server.

    4. ワークステーションを含む他のすべての OU へのリンクを作成します。

    5. メンバー サーバーを含む他のすべての OU へのリンクを作成します。

      重要

      ジャンプ サーバーを使用してドメイン コントローラーと Active Directory を管理する場合は、ジャンプ サーバーが、この GPO がリンクされていない OU に存在する必要があります。

検証手順

[ネットワーク経由のアクセスを拒否] GPO 設定を確認する

GPO の変更 (「ジャンプ サーバー」など) の影響を受けないメンバー サーバーまたはワークステーションから、GPO の変更の影響を受けるネットワーク経由でメンバー サーバーまたはワークステーションへのアクセスを試みてください。 GPO 設定を確認するには、NET USE コマンドを使用して、システム ドライブ のマッピングを試みます。

  1. Domain Admins グループのメンバーであるアカウントを使用していることを確認します。

  2. マウスを使用して、画面の右上または右下の隅にポインターを移動します。 [チャーム] バーが表示されたら、[検索] をクリックします。

  3. [検索] ボックスに「コマンド プロンプト」と入力して、[コマンド プロンプト] を右クリックし、[管理者として実行] をクリックすると、管理者特権でのコマンド プロンプトが開きます。

  4. 管理者特権の承認を求めるメッセージが表示されたら、[はい] を クリックします。

    Screenshot that shows where to approve the elevation while verifying the Deny access to this computer network GPO settings.

  5. コマンド プロンプト ウィンドウで、「net use \\<Server Name>\c$」と入力します。このとき <Server Name> は、ネットワークを使用してアクセスしようとするメンバー サーバーまたはワークステーションの名前です。

  6. 次のスクリーンショットは、表示されるエラー メッセージを示しています。

    Screenshot that shows the error message that should appear while you're attempting to accsss the member server.

「バッチ ジョブとしてログオンを拒否する」GPO 設定を確認

GPO の変更の影響を受けるメンバー サーバーまたはワークステーションから、ローカルでログオンします。

バッチ ファイルを作成する

  1. マウスを使用して、ポインターを画面の右上隅または右下隅に移動します。 チャーム バーが表示されたら、[検索] をクリックします。

  2. [検索] ボックスに「notepad」と入力し、[メモ帳] をクリックします。

  3. メモ帳に「dir c:」と入力します。

  4. [ファイル] をクリックして、 [名前を付けて保存] をクリックします。

  5. [ファイル名] ボックスに「 <Filename>.bat」と入力します (ここで <Filename> は新しいバッチ ファイルの名前です)。

タスクをスケジュールする

  1. マウスを使用して、ポインターを画面の右上隅または右下隅に移動します。 チャーム バーが表示されたら、[検索] をクリックします。

  2. [検索] ボックスに「task scheduler」と入力し、[タスク スケジューラ] をクリックします。

    注意

    Windows 8 が実行されているコンピューターで [検索] ボックスに「タスクのスケジュール」と入力し、[タスクのスケジュール] をクリックします。

  3. メニュー バーの タスク スケジューラ [ アクション ] をクリックし、[ タスクの作成] をクリックします

  4. [タスクの作成] ダイアログ ボックスで、「 <Task Name>」と入力します (ここで b<Task Name> は新しいタスクの名前です)。

  5. [操作] タブをクリックし、[新規] をクリックします。

  6. [アクション] フィールドで 、[プログラムの開始] を選択します。

  7. [プログラム/スクリプト] の [参照] をクリックし、[バッチ ファイルの作成] セクションで作成したバッチ ファイルを見つけて選択し、[開く] をクリックします。

  8. [OK] をクリックします。

  9. [General] タブをクリックします。

  10. [セキュリティ オプション] の [ユーザーまたは グループの変更] をクリックします

  11. EA グループのメンバーであるアカウントの名前を入力し、[名前の確認] をクリックして、[OK] をクリックします。

  12. [ユーザーがログオンしているかどうかを実行する] を選択し、[ パスワードを保存しない] を選択します。 タスクは、ローカル コンピューター リソースにのみアクセスできます。

  13. [OK] をクリックします。

  14. タスクを実行するためのユーザー アカウント資格情報を求めるダイアログ ボックスが表示されます。

  15. 資格情報を入力した後、[OK] を クリックします。

  16. 次のようなダイアログ ボックスが表示されます。

    Screenshot that shows the error that should occur after you enter the credentials.

「サービスとしてのログオンを拒否する」GPO 設定を確認

  1. GPO の変更の影響を受けるメンバー サーバーまたはワークステーションから、ローカルでログオンします。

  2. マウスを使用して、画面の右上または右下の隅にポインターを移動します。 [チャーム] バーが表示されたら、[検索] をクリックします。

  3. [検索] ボックスに 「services」と入力し、[サービス] をクリックします。

  4. 印刷スプーラーを見つけてダブルクリックします。

  5. [ログオン] タブをクリックします。

  6. [ログオン ] で[このアカウント] オプションを選択 します。

  7. [ブラウズ]をクリックして、EA グループのメンバーであるアカウントの名前を入力し、[名前の確認] をクリックして、[OK] をクリックします。

  8. [パスワード: ] と[パスワードの確認] で、選択したアカウントのパスワードを入力し、[OK] をクリックします。

  9. さらに 3 回、[OK] をクリックします。

  10. [印刷スプーラー] を右クリックし、[再開] をクリックします。

  11. サービスが再開されると、次のようなダイアログ ボックスが表示されます。

    Screenshot that shows the dialog box that appears after the service is restarted.

プリンター スプーラー サービスへの変更を元に戻す

  1. GPO の変更の影響を受けるメンバー サーバーまたはワークステーションから、ローカルでログオンします。

  2. マウスを使用して、画面の右上または右下の隅にポインターを移動します。 [チャーム] バーが表示されたら、[検索] をクリックします。

  3. [検索] ボックスに 「services」と入力し、[サービス] をクリックします。

  4. 印刷スプーラーを見つけてダブルクリックします。

  5. [ログオン] タブをクリックします。

  6. 次のアカウントでログオン で、ローカル システム アカウント を選択し、OK をクリックします。

「ローカルでログオンを拒否する」 GPO 設定を確認

  1. GPO の変更の影響を受けるメンバー サーバーまたはワークステーションから、EA グループのメンバーであるアカウントを使用してローカルでログオンを試みてください。 次のようなダイアログ ボックスが表示されます。

    secure domain admin groups

[リモート デスクトップ サービスを使ったログオンを拒否] GPO 設定を確認する

  1. マウスを使用して、ポインターを画面の右上隅または右下隅に移動します。 チャーム バーが表示されたら、[検索] をクリックします。

  2. [検索] ボックスに「リモート デスクトップ接続」と入力し、[リモート デスクトップ接続] をクリックします。

  3. [コンピューター] フィールドに接続先コンピューターの名前を入力し、[接続] をクリックします。 (コンピューター名の代わりに IP アドレスを入力することもできます。)

  4. プロンプトが表示されたら、EA グループのメンバーであるアカウントの資格情報を指定します。

  5. 次のようなダイアログ ボックスが表示されます。

    Screenshot that shows the message that indicates the sign-in method you're using isn't allowed.