付録 G: Active Directory の Administrators グループをセキュリティで保護する
付録 G: Active Directory の Administrators グループをセキュリティで保護する
Enterprise Admins (EA) および Domain Admins (DA) グループの場合と同様に、ビルトイン Administrator (BA) グループのメンバーシップは、構築またはディザスター リカバリーのシナリオでのみ必要になります。 Administrators グループに日常のユーザー アカウントを入れないでください。ただし、ドメインのビルトイン Administrator アカウントは、「付録 D: Active Directory の組み込み管理者アカウントをセキュリティで保護する」で説明されているように保護されている場合は、除外される可能性があります。
既定では、管理者はそれぞれのドメイン内のほとんどの AD DS オブジェクトの所有者です。 このグループのメンバーシップは、オブジェクトの所有権または所有権を取得する機能が必要な構築またはディザスター リカバリーのシナリオで必要になる場合があります。 さらに、DA と EA は、Administrators グループの既定のメンバーシップによって、多くの権利とアクセス許可を継承します。 Active Directory の特権グループについて、グループの既定の入れ子を変更しないでください。また、各ドメインの Administrators グループは、この後の詳細な手順で説明するようにセキュリティで保護する必要があります。
!注意 このドキュメントに記載されている手順は、本番環境で実行する前に、非本番環境でしっかりとテストする必要があります。
フォレスト内の各ドメインの Administrators グループについて、次のようにします。
Administrators グループからすべてのメンバーを削除します。ただし、ドメインのビルトイン Administrator アカウントは、「Active Directory の組み込み管理者アカウントをセキュリティで保護する」で説明されているように保護されている場合には、除外される可能性があります。
各ドメインのメンバー サーバーとワークステーションを含む OU にリンクされている GPO では、[コンピューターの構成] > [ポリシー] > [Windows の設定] > [セキュリティの設定] > [ローカル ポリシー] > [ユーザー権利の割り当て] で BA グループを次のユーザー権利に追加する必要があります。
ネットワークからこのコンピューターへのアクセスを拒否
バッチ ジョブとしてのログオン権限を拒否する
サービスとしてのログオン権限を拒否する
フォレスト内の各ドメインのドメイン コントローラー OU で、Administrators グループに次のユーザー権利が付与されている必要があります。
ネットワークからこのコンピューターにアクセスする
ローカル ログオンを許可
リモート デスクトップ サービスを使ったログオンを許可
Administrators グループのプロパティまたはメンバーシップが変更された場合に警告を送信するように、監査を構成する必要があります。
Administrators グループからすべてのメンバーを削除するための詳細な手順
サーバー マネージャーで、[ツール] をクリックし、[Active Directory のユーザーとコンピューター] をクリックします。
Administrators グループからすべてのメンバーを削除するには、次の手順に従います。
Administrators グループをダブルクリックし、[メンバー] タブをクリックします。
![Administrators グループからすべてのメンバーを削除するための [メンバー] タブを示すスクリーンショット。](media/appendix-g--securing-administrators-groups-in-active-directory/sad_79.gif)
グループのメンバーを選択し、[削除] をクリックし、[はい] をクリックして、[OK] をクリックします。
Administrators グループのすべてのメンバーが削除されるまで、手順 2 を繰り返します。
Active Directory の Administrators グループをセキュリティで保護するための詳細な手順
サーバー マネージャーで [ツール] をクリックし、[グループ ポリシーの管理] をクリックします。
コンソール ツリーで <Forest>\Domains\<Domain> を展開し、[グループ ポリシー オブジェクト] に移動します (ここで、<Forest> はフォレストの名前、<Domain> は、グループ ポリシーを設定するドメインの名前です)。
コンソール ツリーで、 [グループ ポリシー オブジェクト] を右クリックし、[新規] をクリックします。
![Active Directory で Administrators グループをセキュリティで保護するために [新規] を選択する場所を示すスクリーンショット。](media/appendix-g--securing-administrators-groups-in-active-directory/sad_80.gif)
[新規 GPO]ダイアログボックスに <GPO 名>を入力して [OK] をクリックします (このとき GPO 名は、この GPO の名前です)。
![Administrators グループをセキュリティで保護できるように、[新しい GPO] ダイアログ ボックスで G P O の名前を付ける場所を示すスクリーンショット。](media/appendix-g--securing-administrators-groups-in-active-directory/sad_81.gif)
詳細ペインで <GPO 名> を右クリックし、[編集] をクリックします。
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies に移動し、[ユーザー権限の割り当て] をクリックします。
![Administrator グループを保護するための [ユーザー権限の管理] オプションを選択できるようにナビゲートする場所を示すスクリーンショット。](media/appendix-g--securing-administrators-groups-in-active-directory/sad_82.gif)
次のようにして、Administrators グループのメンバーがネットワーク経由でメンバー サーバーとワークステーションにアクセスできないようにユーザー権利を構成します。
[ネットワーク経由のアクセスを拒否] をダブルクリックし、[これらのポリシーの設定を定義する] を選択します。
[ユーザーまたはグループの追加] をクリックし、[参照] をクリックします。
「Administrators」と入力し、[名前の確認] をクリックして、[OK] をクリックします。
[OK] をクリックし、もう一度 [OK] をクリックします。
次のようにして、Administrators グループのメンバーがバッチ ジョブとしてログオンできないようにユーザーの権利を構成します。
[バッチ ジョブとしてのログオンを拒否] をダブルクリックし、[これらのポリシーの設定を定義する] を選択します。
[ユーザーまたはグループの追加] をクリックし、[参照] をクリックします。
「Administrators」と入力し、[名前の確認] をクリックして、[OK] をクリックします。
[OK] をクリックし、もう一度 [OK] をクリックします。
次のようにして、Administrators グループのメンバーがサービスとしてログオンできないようにユーザー権利を構成します。
[サービスとしてのログオンを拒否] をダブルクリックし、[これらのポリシーの設定を定義する] を選択します。
[ユーザーまたはグループの追加] をクリックし、[参照] をクリックします。
「Administrators」と入力し、[名前の確認] をクリックして、[OK] をクリックします。
[OK] をクリックし、もう一度 [OK] をクリックします。
グループ ポリシー管理エディターを終了するには、[ファイル] をクリックし、[終了]を クリックします。
グループポリシー管理で、次の手順に従って、GPO をメンバーサーバーとワークステーションの OU にリンクします:
<Forest>>\Domains\<Domain> に移動します (ここで <Forest> はフォレストの名前、<Domain> はフォレストを設定するドメインの名前グループ ポリシー)。
GPO を適用する OU を右クリックし、[既存の GPO へのリンクを作成] をクリックします。
![OU を右クリックしたときの [既存の G P O をリンクする] メニュー オプションを示すスクリーンショット。](media/appendix-g--securing-administrators-groups-in-active-directory/sad_86.gif)
作成した GPO を選択し、[OK] をクリックします。
ワークステーションを含む他のすべての OU へのリンクを作成します。
メンバー サーバーを含む他のすべての OU へのリンクを作成します。
重要
ジャンプ サーバーを使用してドメイン コントローラーと Active Directory を管理する場合は、ジャンプ サーバーが、この GPO がリンクされていない OU に存在する必要があります。
注意
GPO の Administrators グループに制限を実装すると、Windows は、ドメインの Administrators グループに加えて、コンピューターのローカルの Administrators グループのメンバーにも設定を適用します。 そのため、Administrators グループに制限を実装する場合は注意が必要です。 Administrators グループのメンバーによるネットワーク、バッチ、サービスへのログオンは、実装可能な限り禁止することをお勧めしますが、ローカル ログオンやリモート デスクトップ サービスを経由したログオンは制限しないでください。 これらのログオンの種類をブロックすると、ローカルの Administrators グループのメンバーによるコンピューターの正当な管理がブロックされる恐れがあります。
次のスクリーンショットは、組み込みのローカルまたはドメイン管理者グループの不正使用に加えて、組み込みのローカルおよびドメイン管理者アカウントの不正使用をブロックする構成設定を示すものです。 リモート デスクトップ サービスによるログオンを拒否するユーザー権利には、管理者グループは含まれていません。この設定に含めると、ローカル コンピューターの管理者グループのメンバーであるアカウントに対するこれらのログオンもブロックされるためです。 コンピュータ上のサービスが、このセクションで説明されている特権グループのいずれかのコンテキストで実行されるように構成されている場合、これらの設定を実装すると、サービスおよびアプリケーションがエラーになる可能性があります。 そのため、このセクションで説明するすべての推奨事項と同様に、使用の環境での設定の適用性を徹底的にテストする必要があります。
Administrators グループにユーザー権利を付与するための詳細な手順
サーバー マネージャーで [ツール] をクリックし、[グループ ポリシーの管理] をクリックします。
コンソール ツリーで <Forest>\Domains\<Domain> を展開し、[グループ ポリシー オブジェクト] に移動します (ここで、<Forest> はフォレストの名前、<Domain> は、グループ ポリシーを設定するドメインの名前です)。
コンソール ツリーで、 [グループ ポリシー オブジェクト] を右クリックし、[新規] をクリックします。
[新規 GPO]ダイアログボックスに <GPO 名>を入力して [OK] をクリックします (このとき <GPO 名>は、この GPO の名前です)。
詳細ペインで <GPO 名> を右クリックし、[編集] をクリックします。
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies に移動し、[ユーザー権限の割り当て] をクリックします。
![[ユーザー権限の管理] を選択して Administrators グループをセキュリティで保護できる場所を示すスクリーンショット。](media/appendix-g--securing-administrators-groups-in-active-directory/sad_91.gif)
次のようにして、Administrators グループのメンバーがネットワーク経由でドメイン コントローラーにアクセスできるようにユーザー権利を構成します。
[ネットワーク経由でのアクセス] をダブルクリックし、[これらのポリシーの設定を定義する] を選択します。
[ユーザーまたはグループの追加] をクリックし、[参照] をクリックします。
[ユーザーまたはグループの追加] をクリックし、[参照] をクリックします。
[OK] をクリックし、もう一度 [OK] をクリックします。
次のようにして、Administrators グループのメンバーがローカルでログオンできるようにユーザー権利を構成します。
[ローカル ログオンを許可] をダブルクリックし、[これらのポリシーの設定を定義する] を選択します。
[ユーザーまたはグループの追加] をクリックし、[参照] をクリックします。
「Administrators」と入力し、[名前の確認] をクリックして、[OK] をクリックします。
[OK] をクリックし、もう一度 [OK] をクリックします。
次のようにして、Administrators グループのメンバーがリモート デスクトップ サービスを使用してログオンできるようにユーザー権利を構成します。
[リモート デスクトップ サービスを使ったログオンを許可] をダブルクリックし、[これらのポリシーの設定を定義する] を選択します。
[ユーザーまたはグループの追加] をクリックし、[参照] をクリックします。
「Administrators」と入力し、[名前の確認] をクリックして、[OK] をクリックします。
[OK] をクリックし、もう一度 [OK] をクリックします。
グループ ポリシー管理エディターを終了するには、[ファイル] をクリックし、[終了] をクリックします。
[グループ ポリシー管理] で、次のようにして GPO をドメイン コントローラーの OU にリンクします。
<フォレスト>\Domains\<ドメイン> に移動します (ここで、<フォレスト> はフォレストの名前、<ドメイン> は、グループ ポリシーを設定するドメインの名前です)。
ドメイン コントローラーの OU を右クリックし、[既存の GPO のリンク] をクリックします。
![ドメイン コントローラー OU に G P O をリンクしようとしている場合の [既存の GPO のリンク] メニュー オプションを示すスクリーンショット。](media/appendix-g--securing-administrators-groups-in-active-directory/sad_95.gif)
作成した GPO を選択し、[OK] をクリックします。
検証手順
[ネットワーク経由のアクセスを拒否] GPO 設定を確認する
GPO の変更 (「ジャンプ サーバー」など) の影響を受けないメンバー サーバーまたはワークステーションから、GPO の変更の影響を受けるネットワーク経由でメンバー サーバーまたはワークステーションへのアクセスを試みてください。 GPO 設定を確認するには、NET USE コマンドを使用して、システム ドライブのマッピングを試みます。
Administrators グループのメンバーであるアカウントを使用してローカルにログオンします。
マウスを使用して、画面の右上または右下の隅にポインターを移動します。 [チャーム] バーが表示されたら、[検索] をクリックします。
[検索] ボックスに「コマンド プロンプト」と入力して、[コマンド プロンプト] を右クリックし、[管理者として実行] をクリックすると、管理者特権でのコマンド プロンプトが開きます。
管理者特権の承認を求めるメッセージが表示されたら、[はい] を クリックします。
![[ユーザー アカウント制御] ダイアログ ボックスが強調表示されているスクリーンショット。](media/appendix-g--securing-administrators-groups-in-active-directory/sad_97.gif)
コマンド プロンプト ウィンドウで、「net use \\<Server Name>\c$」と入力します。このとき <Server Name> は、ネットワークを使用してアクセスしようとするメンバー サーバーまたはワークステーションの名前です。
次のスクリーンショットは、表示されるエラー メッセージを示しています。
「バッチ ジョブとしてログオンを拒否する」GPO 設定を確認
GPO の変更の影響を受けるメンバー サーバーまたはワークステーションから、ローカルでログオンします。
バッチ ファイルを作成する
マウスを使用して、ポインターを画面の右上隅または右下隅に移動します。 チャーム バーが表示されたら、[検索] をクリックします。
[検索] ボックスに「notepad」と入力し、[メモ帳] をクリックします。
メモ帳に「dir c:」と入力します。
[ファイル] をクリックして、 [名前を付けて保存] をクリックします。
[ファイル名] ボックスに「 <Filename>.bat」と入力します (ここで <Filename> は新しいバッチ ファイルの名前です)。
タスクをスケジュールする
マウスを使用して、ポインターを画面の右上隅または右下隅に移動します。 チャーム バーが表示されたら、[検索] をクリックします。
[検索] ボックスに「task scheduler」と入力し、[タスク スケジューラ] をクリックします。
注意
Windows 8 が実行されているコンピューターでは、[検索] ボックスに「タスクのスケジュール」と入力し、[タスクのスケジュール] をクリックします。
[操作] をクリックし、[タスクの作成] をクリックします。
[タスクの作成] ダイアログ ボックスで、「 <Task Name>」と入力します (ここで b<Task Name> は新しいタスクの名前です)。
[操作] タブをクリックし、[新規] をクリックします。
[操作] フィールドで、[プログラムの開始] を選択します。
[プログラム/スクリプト] フィールドの [参照] をクリックし、「バッチ ファイルを作成する」セクションで作成したバッチ ファイルを見つけて選択し、[開く] をクリックします。
[OK] をクリックします。
[General] タブをクリックします。
[セキュリティ オプション] フィールドで [ユーザーまたはグループの変更] をクリックします。
Administrators グループのメンバーであるアカウントの名前を入力し、[名前の確認] をクリックして、[OK] をクリックします。
[ユーザーがログオンしているかどうかにかかわらず実行する] と [パスワードを保存しない] を選択します。 このタスクはローカル コンピューター リソースにのみアクセスできます。
[OK] をクリックします。
タスクを実行するためのユーザー アカウント資格情報を求めるダイアログ ボックスが表示されます。
パスワードを入力した後、[OK] をクリックします。
次のようなダイアログ ボックスが表示されます。
![[タスク スケジューラ] ダイアログ ボックスが強調表示されているスクリーンショット。](media/appendix-g--securing-administrators-groups-in-active-directory/sad_99.gif)
「サービスとしてのログオンを拒否する」GPO 設定を確認
GPO の変更の影響を受けるメンバー サーバーまたはワークステーションから、ローカルでログオンします。
マウスを使用して、画面の右上または右下の隅にポインターを移動します。 [チャーム] バーが表示されたら、[検索] をクリックします。
[検索] ボックスに 「services」と入力し、[サービス] をクリックします。
印刷スプーラーを見つけてダブルクリックします。
[ログオン] タブをクリックします。
[ログオン] フィールドで、[このアカウント] を選択します。
[参照] をクリックし、Administrators グループのメンバーであるアカウントの名前を入力して、[名前の確認] をクリックしてから、[OK] をクリック します。
[パスワード] および [パスワードの確認] フィールドに、選択したアカウントのパスワードを入力し、[OK] をクリックします。
さらに 3 回、[OK] をクリックします。
[印刷スプーラー] を右クリックし、[再開] をクリックします。
サービスが再開されると、次のようなダイアログ ボックスが表示されます。
プリンター スプーラー サービスへの変更を元に戻す
GPO の変更の影響を受けるメンバー サーバーまたはワークステーションから、ローカルでログオンします。
マウスを使用して、画面の右上または右下の隅にポインターを移動します。 [チャーム] バーが表示されたら、[検索] をクリックします。
[検索] ボックスに 「services」と入力し、[サービス] をクリックします。
印刷スプーラーを見つけてダブルクリックします。
[ログオン] タブをクリックします。
[ログオン] フィールドで、[ローカル システム アカウント] をクリックし、[OK] をクリックします。