委任された管理サービス アカウントのセットアップ
委任された管理サービス アカウント (dMSA) は、資格情報の安全な管理を可能にする Active Directory (AD) アカウントです。 従来のサービス アカウントとは異なり、dMSA ではパスワードを手動で管理する必要はありません。AD によってパスワードが自動的に管理され、安全性が確保されます。 さらに、dMSA にはドメイン内のリソースにアクセスするための特定のアクセス許可を委任できるため、アクセス制御を効率的に管理できます。 現在、dMSA は Windows Server Preview でのみセットアップできます。
前提条件
- Active Directory Domain Services ロールは、お使いのデバイスのほか、リモート管理ツールを使用している場合はすべての対象デバイスにインストールする必要があります。 詳しくは、「役割、役割サービス、または機能のインストールまたはアンインストール」をご覧ください。
- ロールがインストールされたら、デバイスをドメイン コントローラー (DC) に昇格させる必要があります。 サーバー マネージャーのフラグ アイコンに新しい通知が表示されたら、[このサーバーをドメイン コントローラーに昇格する] を選択してから、必要な手順を完了します。
- クライアント デバイスのグループ ポリシー オブジェクトで、パス Computer Configuration\Administrative Templates\System\Kerberos で Kerberos を有効にする必要があります。
dMSA に移行する
dMSA に移行するサービス アカウントが複数のサーバーにアクセスできる場合は、まずレジストリ ポリシーを適用して、既定を DC に設定する必要があります。 dMSA を使用してサインインしたら、以下を実行します。
New-ItemProperty
-Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters"
-Name "DelegatedMSAEnabled"
-Value "1"
-PropertyType DWORD
-Force
レジストリを変更したら、以下を実行してサービス アカウントを dMSA にリンクできます。
Start-ADServiceAccountMigration –Identity <DMSAName> –SupersededAccount <DN of service account>
アカウントがリンクされたら、以下のコマンドを実行して、そのアカウントで現在実行中のサービスを再起動する必要があります。
Get-Service | Where-Object {$_.Status -eq "Running"} | Restart-Service
次に、dMSA オブジェクトの PrincipalsAllowedToRetrieveManagedPassword プロパティが設定されていることを確認します。
Get-ADServiceAccount -Identity <DMSAName> -Properties PrincipalsAllowedToRetrieveManagedPassword
Note
サービス アカウントが複数のデバイスに接続されていて、移行が終了した場合は、 PrincipalsAllowedToRetrieveManagedPassword を手動で更新する必要があります。
アカウントの移行を完了する
警告
移行後の問題を回避できるよう、元のサービス アカウントに戻す必要がある場合に備えて、移行を完了する際に元のサービス アカウントを削除しないでください。
アカウントの移行を完了するには、以下を実行することにより、すべてのサービスが dMSA を使用できるように、従来のサービス アカウントを無効にする必要があります。
Complete-ADServiceAccountMigration –Identity <DMSAName> –SupersededAccount <DN of service account>
移行するアカウントを誤った場合は、以下を実行して、移行中のすべての手順を元に戻します。
Undo-ADServiceAccountMigration –Identity <DMSAName> –SupersededAccount <DN of service account>
サービス アカウントを非アクティブまたはリンクされていない状態に戻すには、以下を実行します。
Reset-ADServiceAccountMigration –Identity <DMSAName> –SupersededAccount <DN of service account>
dMSA を作成する
新しい dMSA を作成するには、管理者として PowerShell を開き、以下を実行します。
New-ADServiceAccount -Name <DMSAName> -DNSHostName <host> -CreateDelegatedServiceAccount -KerberosEncryptionType AES256
New-ADServiceAccount および関連するコマンドレットの詳細については、「New-ADServiceAccount」を参照してください。
dMSA イベント ログを確認する
次のアクションを実行することにより、イベントをイベント ビューアー (eventvwr.exe) で確認できます。
- [スタート] を右クリックし、[イベント ビューアー] を選択します。
- 左側のペインで、[アプリケーションとサービス ログ] を展開し、Microsoft\Windows\Security-Kerberos\Operational に移動します。
- このプロバイダーのログ記録は、既定では無効になっています。ログ記録を有効にするには、[操作] を右クリックし、[ログの有効化] を選択します。
次の表に示すイベントがキャプチャされます。
| イベント ID | 説明 |
|---|---|
| 307 | dMSA Migration - このイベントは、移行中の dMSA と移行された dMSA の両方について出力されます。 これには、古いサービス アカウントと新しい dMSA に関する情報が含まれています。 |
| 308 | dMSA Permission Add - このイベントは、移行中に dMSA の管理パスワード フィールドの取得を許可されたプリンシパルに、マシンが自身を追加しようとするとログに記録されます。 |
| 309 | dMSA Key Fetch - このイベントは、Kerberos クライアントがドメイン コントローラーから dMSA のキーをフェッチしようとしたときにログに記録されます。 |