付録 G: Active Directory の Administrators グループをセキュリティで保護する

  • [アーティクル]

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

付録 G: Active Directory の Administrators グループをセキュリティで保護する

Enterprise Admins (EA) および Domain Admins (DA) グループの場合と同様に、ビルトイン Administrator (BA) グループのメンバーシップは、構築またはディザスター リカバリーのシナリオでのみ必要になります。 Administrators グループに日常のユーザー アカウントを入れないでください。ただし、ドメインのビルトイン Administrator アカウントは、「付録 D: Active Directory の組み込み管理者アカウントをセキュリティで保護する」で説明されているように保護されている場合は、除外される可能性があります。

既定では、管理者はそれぞれのドメイン内のほとんどの AD DS オブジェクトの所有者です。 このグループのメンバーシップは、オブジェクトの所有権または所有権を取得する機能が必要な構築またはディザスター リカバリーのシナリオで必要になる場合があります。 さらに、DA と EA は、Administrators グループの既定のメンバーシップによって、多くの権利とアクセス許可を継承します。 Active Directory の特権グループについて、グループの既定の入れ子を変更しないでください。また、各ドメインの Administrators グループは、この後の詳細な手順で説明するようにセキュリティで保護する必要があります。

!注意 このドキュメントに記載されている手順は、本番環境で実行する前に、非本番環境でしっかりとテストする必要があります。

フォレスト内の各ドメインの Administrators グループについて、次のようにします。

  1. Administrators グループからすべてのメンバーを削除します。ただし、ドメインのビルトイン Administrator アカウントは、「Active Directory の組み込み管理者アカウントをセキュリティで保護する」で説明されているように保護されている場合には、除外される可能性があります。

  2. 各ドメインのメンバー サーバーとワークステーションを含む OU にリンクされている GPO では、[コンピューターの構成] > [ポリシー] > [Windows の設定] > [セキュリティの設定] > [ローカル ポリシー] > [ユーザー権利の割り当て] で BA グループを次のユーザー権利に追加する必要があります。

    • ネットワークからこのコンピューターへのアクセスを拒否

    • バッチ ジョブとしてのログオン権限を拒否する

    • サービスとしてのログオン権限を拒否する

  3. フォレスト内の各ドメインのドメイン コントローラー OU で、Administrators グループに次のユーザー権利が付与されている必要があります。

    • ネットワークからこのコンピューターにアクセスする

    • ローカル ログオンを許可

    • リモート デスクトップ サービスを使ったログオンを許可

  4. Administrators グループのプロパティまたはメンバーシップが変更された場合に警告を送信するように、監査を構成する必要があります。

Administrators グループからすべてのメンバーを削除するための詳細な手順

  1. サーバー マネージャーで、[ツール] をクリックし、[Active Directory のユーザーとコンピューター] をクリックします。

  2. Administrators グループからすべてのメンバーを削除するには、次の手順に従います。

    1. Administrators グループをダブルクリックし、[メンバー] タブをクリックします。

      Screenshot that shows the Members tab for removing all members from the Administrators Group.

    2. グループのメンバーを選択し、[削除] をクリックし、[はい] をクリックして、[OK] をクリックします。

  3. Administrators グループのすべてのメンバーが削除されるまで、手順 2 を繰り返します。

Active Directory の Administrators グループをセキュリティで保護するための詳細な手順

  1. サーバー マネージャー[ツール] をクリックし、[グループ ポリシーの管理] をクリックします。

  2. コンソール ツリーで <Forest>\Domains\<Domain> を展開し、[グループ ポリシー オブジェクト] に移動します (ここで、<Forest> はフォレストの名前、<Domain> は、グループ ポリシーを設定するドメインの名前です)。

  3. コンソール ツリーで、 [グループ ポリシー オブジェクト] を右クリックし、[新規] をクリックします。

    Screenshot that shows where to select New so you can secure Administrators Groups in Active Directory.

  4. [新規 GPO] ダイアログ ボックスに <GPO 名>を入力し、[OK] をクリックします (ここで、GPO 名は、この GPO の名前です)。

    Screenshot that shows where to name the G P O in the New GPO dialog box so you can secure Administrators Groups.

  5. 詳細ペインで <GPO 名> を右クリックし、[編集] をクリックします。

  6. Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies に移動し、[ユーザー権限の割り当て] をクリックします。

    Screenshot that shows where to navigate so you can select the User Rights Admin option to secure Administrators Groups.

  7. 次のようにして、Administrators グループのメンバーがネットワーク経由でメンバー サーバーとワークステーションにアクセスできないようにユーザー権利を構成します。

    1. [ネットワーク経由のアクセスを拒否] をダブルクリックし、[これらのポリシーの設定を定義する] を選択します。

    2. [ユーザーまたはグループの追加] をクリックし、[参照] をクリックします。

    3. Administrators」と入力し、[名前の確認] をクリックして、[OK] をクリックします。

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the Administrators group from accessing member servers and workstations over the network.

    4. [OK] をクリックし、もう一度 [OK] をクリックします。

  8. 次のようにして、Administrators グループのメンバーがバッチ ジョブとしてログオンできないようにユーザーの権利を構成します。

    1. [バッチ ジョブとしてのログオンを拒否] をダブルクリックし、[これらのポリシーの設定を定義する] を選択します。

    2. [ユーザーまたはグループの追加] をクリックし、[参照] をクリックします。

    3. Administrators」と入力し、[名前の確認] をクリックして、[OK] をクリックします。

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the Administrators group from logging on as a batch job.

    4. [OK] をクリックし、もう一度 [OK] をクリックします。

  9. 次のようにして、Administrators グループのメンバーがサービスとしてログオンできないようにユーザー権利を構成します。

    1. [サービスとしてのログオンを拒否] をダブルクリックし、[これらのポリシーの設定を定義する] を選択します。

    2. [ユーザーまたはグループの追加] をクリックし、[参照] をクリックします。

    3. Administrators」と入力し、[名前の確認] をクリックして、[OK] をクリックします。

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the Administrators group from logging on as a service.

    4. [OK] をクリックし、もう一度 [OK] をクリックします。

  10. グループ ポリシー管理エディターを終了するには、[ファイル] をクリックし、[終了]を クリックします。

  11. グループポリシー管理で、次の手順に従って、GPO をメンバーサーバーとワークステーションの OU にリンクします:

    1. <Forest>>\Domains\<Domain> に移動します (ここで <Forest> はフォレストの名前、<Domain> はフォレストを設定するドメインの名前グループ ポリシー)。

    2. GPO を適用する OU を右クリックし、[既存の GPO へのリンクを作成] をクリックします。

      Screenshot that shows the Link an existing G P O menu option when you right-click the OU.

    3. 作成した GPO を選択し、[OK] をクリックします。

      Screenshot that shows where to select the GPO you just created.

    4. ワークステーションを含む他のすべての OU へのリンクを作成します。

    5. メンバー サーバーを含む他のすべての OU へのリンクを作成します。

      重要

      ジャンプ サーバーを使用してドメイン コントローラーと Active Directory を管理する場合は、ジャンプ サーバーが、この GPO がリンクされていない OU に存在する必要があります。

      注意

      GPO の Administrators グループに制限を実装すると、Windows は、ドメインの Administrators グループに加えて、コンピューターのローカルの Administrators グループのメンバーにも設定を適用します。 そのため、Administrators グループに制限を実装する場合は注意が必要です。 Administrators グループのメンバーによるネットワーク、バッチ、サービスへのログオンは、実装可能な限り禁止することをお勧めしますが、ローカル ログオンやリモート デスクトップ サービスを経由したログオンは制限しないでください。 これらのログオンの種類をブロックすると、ローカルの Administrators グループのメンバーによるコンピューターの正当な管理がブロックされる恐れがあります。

      次のスクリーンショットは、組み込みのローカルまたはドメイン管理者グループの不正使用に加えて、組み込みのローカルおよびドメイン管理者アカウントの不正使用をブロックする構成設定を示すものです。 リモート デスクトップ サービスによるログオンを拒否するユーザー権利には、管理者グループは含まれていません。この設定に含めると、ローカル コンピューターの管理者グループのメンバーであるアカウントに対するこれらのログオンもブロックされるためです。 コンピュータ上のサービスが、このセクションで説明されている特権グループのいずれかのコンテキストで実行されるように構成されている場合、これらの設定を実装すると、サービスおよびアプリケーションがエラーになる可能性があります。 そのため、このセクションで説明するすべての推奨事項と同様に、使用の環境での設定の適用性を徹底的にテストする必要があります。

      Screenshot that shows configuration settings that block misuse of built-in local and domain Administrator accounts.

Administrators グループにユーザー権利を付与するための詳細な手順

  1. サーバー マネージャー[ツール] をクリックし、[グループ ポリシーの管理] をクリックします。

  2. コンソール ツリーで <Forest>\Domains\<Domain> を展開し、[グループ ポリシー オブジェクト] に移動します (ここで、<Forest> はフォレストの名前、<Domain> は、グループ ポリシーを設定するドメインの名前です)。

  3. コンソール ツリーで、 [グループ ポリシー オブジェクト] を右クリックし、[新規] をクリックします。

    Screenshot that shows the menu that displays when you right-click Group Policy Objects.

  4. [新規 GPO] ダイアログ ボックスに <GPO 名>を入力し、[OK] をクリックします (ここで、<GPO 名>は、この GPO の名前です)。

    Screenshot that shows where to name the G P O so you can secure Administrators Groups.

  5. 詳細ペインで <GPO 名> を右クリックし、[編集] をクリックします。

  6. Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies に移動し、[ユーザー権限の割り当て] をクリックします。

    Screenshot that shows where to navigate so you can select User Rights Admin to secure Administrators Groups.

  7. 次のようにして、Administrators グループのメンバーがネットワーク経由でドメイン コントローラーにアクセスできるようにユーザー権利を構成します。

    1. [ネットワーク経由でのアクセス] をダブルクリックし、[これらのポリシーの設定を定義する] を選択します。

    2. [ユーザーまたはグループの追加] をクリックし、[参照] をクリックします。

    3. [ユーザーまたはグループの追加] をクリックし、[参照] をクリックします。

      Screenshot that shows how to verify that you've configured the user rights to allow members of the Administrators group to access domain controllers over the network.

    4. [OK] をクリックし、もう一度 [OK] をクリックします。

  8. 次のようにして、Administrators グループのメンバーがローカルでログオンできるようにユーザー権利を構成します。

    1. [ローカル ログオンを許可] をダブルクリックし、[これらのポリシーの設定を定義する] を選択します。

    2. [ユーザーまたはグループの追加] をクリックし、[参照] をクリックします。

    3. Administrators」と入力し、[名前の確認] をクリックして、[OK] をクリックします。

      Screenshot that shows how to verify that you've configured the user rights to allow members of the Administrators group to log on locally.

    4. [OK] をクリックし、もう一度 [OK] をクリックします。

  9. 次のようにして、Administrators グループのメンバーがリモート デスクトップ サービスを使用してログオンできるようにユーザー権利を構成します。

    1. [リモート デスクトップ サービスを使ったログオンを許可] をダブルクリックし、[これらのポリシーの設定を定義する] を選択します。

    2. [ユーザーまたはグループの追加] をクリックし、[参照] をクリックします。

    3. Administrators」と入力し、[名前の確認] をクリックして、[OK] をクリックします。

      Screenshot that shows how to verify that you've configured the user rights to allow members of the Administrators group to log on through Remote Desktop Services.

    4. [OK] をクリックし、もう一度 [OK] をクリックします。

  10. グループ ポリシー管理エディターを終了するには、[ファイル] をクリックし、[終了] をクリックします。

  11. [グループ ポリシー管理] で、次のようにして GPO をドメイン コントローラーの OU にリンクします。

    1. <フォレスト>\Domains\<ドメイン> に移動します (ここで、<フォレスト> はフォレストの名前、<ドメイン> は、グループ ポリシーを設定するドメインの名前です)。

    2. ドメイン コントローラーの OU を右クリックし、[既存の GPO のリンク] をクリックします。

      Screenshot that shows the Link an existing GPO menu option when you're attempting to link the G P O to the domain controllers OU.

    3. 作成した GPO を選択し、[OK] をクリックします。

      Screenshot that shows where to select the GPO you just created while you're linking the G P O to the member workstations and server.

検証手順

[ネットワーク経由のアクセスを拒否] GPO 設定を確認する

GPO の変更 (「ジャンプ サーバー」など) の影響を受けないメンバー サーバーまたはワークステーションから、GPO の変更の影響を受けるネットワーク経由でメンバー サーバーまたはワークステーションへのアクセスを試みてください。 GPO 設定を確認するには、NET USE コマンドを使用して、システム ドライブのマッピングを試みます。

  1. Administrators グループのメンバーであるアカウントを使用してローカルにログオンします。

  2. マウスを使用して、画面の右上または右下の隅にポインターを移動します。 [チャーム] バーが表示されたら、[検索] をクリックします。

  3. [検索] ボックスに「コマンド プロンプト」と入力して、[コマンド プロンプト] を右クリックし、[管理者として実行] をクリックすると、管理者特権でのコマンド プロンプトが開きます。

  4. 管理者特権の承認を求めるメッセージが表示されたら、[はい] を クリックします。

    Screenshot that highlights the User Account Control dialog box.

  5. コマンド プロンプト ウィンドウで、「net use \\<Server Name>\c$」と入力します。このとき <Server Name> は、ネットワークを使用してアクセスしようとするメンバー サーバーまたはワークステーションの名前です。

  6. 次のスクリーンショットは、表示されるエラー メッセージを示しています。

    Screenshot that highlights the logon failure error message.

「バッチ ジョブとしてログオンを拒否する」GPO 設定を確認

GPO の変更の影響を受けるメンバー サーバーまたはワークステーションから、ローカルでログオンします。

バッチ ファイルを作成する

  1. マウスを使用して、ポインターを画面の右上隅または右下隅に移動します。 チャーム バーが表示されたら、[検索] をクリックします。

  2. [検索] ボックスに「notepad」と入力し、[メモ帳] をクリックします。

  3. メモ帳に「dir c:」と入力します。

  4. [ファイル] をクリックして、 [名前を付けて保存] をクリックします。

  5. [ファイル名] ボックスに「 <Filename>.bat」と入力します (ここで <Filename> は新しいバッチ ファイルの名前です)。

タスクをスケジュールする

  1. マウスを使用して、ポインターを画面の右上隅または右下隅に移動します。 チャーム バーが表示されたら、[検索] をクリックします。

  2. [検索] ボックスに「task scheduler」と入力し、[タスク スケジューラ] をクリックします。

    注意

    Windows 8 が実行されているコンピューターでは、[検索] ボックスに「タスクのスケジュール」と入力し、[タスクのスケジュール] をクリックします。

  3. [操作] をクリックし、[タスクの作成] をクリックします。

  4. [タスクの作成] ダイアログ ボックスで、「 <Task Name>」と入力します (ここで b<Task Name> は新しいタスクの名前です)。

  5. [操作] タブをクリックし、[新規] をクリックします。

  6. [操作] フィールドで、[プログラムの開始] を選択します。

  7. [プログラム/スクリプト] フィールドの [参照] をクリックし、「バッチ ファイルを作成する」セクションで作成したバッチ ファイルを見つけて選択し、[開く] をクリックします。

  8. [OK] をクリックします。

  9. [General] タブをクリックします。

  10. [セキュリティ オプション] フィールドで [ユーザーまたはグループの変更] をクリックします。

  11. Administrators グループのメンバーであるアカウントの名前を入力し、[名前の確認] をクリックして、[OK] をクリックします。

  12. [ユーザーがログオンしているかどうかにかかわらず実行する][パスワードを保存しない] を選択します。 このタスクはローカル コンピューター リソースにのみアクセスできます。

  13. [OK] をクリックします。

  14. タスクを実行するためのユーザー アカウント資格情報を求めるダイアログ ボックスが表示されます。

  15. パスワードを入力した後、[OK] をクリックします。

  16. 次のようなダイアログ ボックスが表示されます。

    Screenshot that highlights the Task Scheduler dialog box.

「サービスとしてのログオンを拒否する」GPO 設定を確認

  1. GPO の変更の影響を受けるメンバー サーバーまたはワークステーションから、ローカルでログオンします。

  2. マウスを使用して、画面の右上または右下の隅にポインターを移動します。 [チャーム] バーが表示されたら、[検索] をクリックします。

  3. [検索] ボックスに 「services」と入力し、[サービス] をクリックします。

  4. 印刷スプーラーを見つけてダブルクリックします。

  5. [ログオン] タブをクリックします。

  6. [ログオン] フィールドで、[このアカウント] を選択します。

  7. [参照] をクリックし、Administrators グループのメンバーであるアカウントの名前を入力して、[名前の確認] をクリックしてから、[OK] をクリック します。

  8. [パスワード] および [パスワードの確認] フィールドに、選択したアカウントのパスワードを入力し、[OK] をクリックします。

  9. さらに 3 回、[OK] をクリックします。

  10. [印刷スプーラー] を右クリックし、[再開] をクリックします。

  11. サービスが再開されると、次のようなダイアログ ボックスが表示されます。

    secure admin groups

プリンター スプーラー サービスへの変更を元に戻す

  1. GPO の変更の影響を受けるメンバー サーバーまたはワークステーションから、ローカルでログオンします。

  2. マウスを使用して、画面の右上または右下の隅にポインターを移動します。 [チャーム] バーが表示されたら、[検索] をクリックします。

  3. [検索] ボックスに 「services」と入力し、[サービス] をクリックします。

  4. 印刷スプーラーを見つけてダブルクリックします。

  5. [ログオン] タブをクリックします。

  6. [ログオン] フィールドで、[ローカル システム アカウント] をクリックし、[OK] をクリックします。