web-dev-qa-db-ja.com

AD読み取り専用アカウント(認証用)

私はLinuxサーバー管理の経験がありますが、Windowsに関して言えば、私はほとんど初心者です。

AD管理者アカウントを使用してエンタープライズActive Directoryに対して認証を実行するサードパーティアプリケーションがたくさんあります。合計で40を超える管理者アカウントが見つかりました。これは、コンプライアンスの規制の観点からは危険信号です。

私はこの状況を克服する方法があると確信しています。私の意図は、ユーザー名/パスワードが有効かどうかにかかわらず、ADフォレストにクエリを実行してアプリケーションに戻ることができるAD準備専用アカウントを用意することです。このアカウントには書き込みがあってはなりません。

このような状況に対する推奨は何ですか?

2
Andre

まず、40個の管理者レベルのアカウントを言うとき、私はあなたがドメイン管理者を意味すると仮定します。これらのタイプのアカウントのうちの40は非常に多くの理由で危険であり、すでに推測できると思います。まず、Active DirectoryでDomain Admin、Enterprise Admin、およびSchema Adminグループを開くことをお勧めします。これらのグループを開くと、[メンバー]というタブを選択して、各グループの人数を本当に確認できます。私が名前を付けた3つ(ドメイン管理者、エンタープライズ管理者、スキーマ管理者)は最も重要であり、ドメイン/フォレストを最大限に制御できるため、システム管理者としてのみあなたと、おそらく以下のいずれかである一部のFEWのみを確認する必要があります。管理者自身またはあなたが信頼する者はこれらの権利を持っています。私はあなただけを言いますが、これらの権利を取得する他の人が必要になる状況があることは知っています。めったにありませんが、それは起こります。以下は、参照用のDomain Adminプロパティのスクリーンショットです。

enter image description here

これらのサードパーティアプリがADを介して通信/認証するためのアカウントが必要なため、次に行うことは、MSAまたは管理されたサービスアカウントを作成することです。私はこれらのアカウントを使用してきましたが、ADで通常のユーザーアカウントを使用するよりも優れていると思います。管理者以外のユーザー/アカウントに管理者権限を与えることは絶対に避けてください。

私がやりたいこと、そして行ったことは、これらのサービスアカウント用にADUCに新しいOUを作成することです。これにより、これらのサービスアカウントは簡単に管理され、GPO(グループポリシーオブジェクト)のような特定の機能を持つことができます。コンピュータ/ユーザー)は、必要に応じて、それらに簡単に適用できます。

Windows PowerShellを使用してこれらのMSAを作成および管理できますが、PowerShellのバージョン2以降を使用していることを確認してください。これらのアカウントの1つを作成するコマンドは、単にAdd-ADComputerServiceAccountです。このユーザーを作成したい他のオプションは何でも見つかります here。

MSAのもう1つの優れた点は、サービス管理者(これらのMSAアカウントを管理するアクセス許可を持つADの人々)を作成して、これらのアカウントを委任できることです。この人はドメイン管理者権限を持っている必要がなく、長期的にはMSAアカウントを管理できるため時間を節約でき、より重要なsysadminに時間をかけることができるので、これはあなたにとって良いことかもしれません。

MSAのベストプラクティスのリストについては、MS Directory Servicesチームから直接 この投稿 を参照してください。

4
Brad Bouchard

ドメインユーザーグループのメンバーであるユーザーアカウントを作成するだけです。そのアカウントには、それ自体を除いて、ディレクトリの他のオブジェクトに対する書き込み権限はありません。

さらに高度なサービスアカウントが必要な場合、Windows 2008 R2には管理されたサービスアカウントと呼ばれるものがあります。私はそれらを使用したことがありませんが、それらを確認しても害はありません。

http://technet.Microsoft.com/en-us/library/dd560633%28v=ws.10%29.aspx

http://technet.Microsoft.com/en-us/library/dd548356%28v=ws.10%29.aspx

それが役に立てば幸い ;)

4
Trinue