特権グループに所属しているメンバーを調査する

Reading Time: 1 minutes

Active Directoryのセキュリティを強化するためには、適切なメンバーに対して特権が付与されている状態を、しっかりと保つことが大切です。グループに所属するメンバーの情報を取得すること自体は、複雑な作業ではありません。しかしながら、「継続的に」メンバーの情報を取得すること、そして「権限が昇格されたグループ」まで正しく把握することは、決して簡単なことではありません。そこで、本ブログでは、グループに所属するメンバーの一覧を効率的に取得し、レポート化するための方法について案内します。

まずは、Active Directoryにて特権が付与されているグループの一覧を列挙します。Active Directoryで管理されているグループは、大きく以下の3つに分けられるかと思います。

1．組み込みの特権グループ・・インストール時に自動登録されるグループ

例) Domain Admins、Enterprise Admins、Administrators、DNSAdmins、Group Policy Creator Ownersなど

2．サービスとアプリケーショングループ・・アプリケーションやサービスを利用されるために使用されるアカウント

例) Exchange Administrative Group、Sharepoint Administrative Group

3．カスタムグループ・・組織ごとに用意されたグループ。作成したグループをAdministratorsといった特権グループに所属させることで、権限を昇格させる

次に、それぞれのグループに所属しているメンバーの情報を取得します。この作業が、工数としては負荷が高いものとなります。では、実際にどのような取得方法があるのでしょうか。以下に、考えられる方法をいくつか挙げてみたいと思います。

方法1) 「Active Directoryユーザーとコンピューター」を使う方法

Microsoft Windows Serverに標準で組み込まれているMMCスナップイン「Active Directoryユーザーとコンピューター」は、Active Directory上のオブジェクトの管理を行うことができるツールです。これを使用して、グループひとつひとつを手動で確認する、というのが方法の一つとして考えられます。しかし、この方法は作業に大変な時間を必要とし、従業員が何万人といる大企業ともなればほぼ不可能となります。

方法2) 「PowerShell」を使う方法

PowerShellのコマンド、ならびにActive Directoryに関する知識に長けている人でしたら、この方法で問題はありません。しかしながら、PowerShellを使用した調査というのは誰にでもできる方法というわけではなく、さらに、抽出した情報を手動でレポート化する、という作業が別途必要になります。

そこで、今回はグループ所属メンバーの一覧を数クリックで抽出し、レポート化することができるツール『ADManager Plus』についてご紹介させていただきます。

ADManager Plusについてご紹介

ADManager Plusとは、Active Directoryのユーザー、コンピューター、ファイルサーバーといったリソースを、WebベースのGUIから管理し、レポート化することができるツールです。本ツールを使用することで、グループならびに所属メンバーを誰でも簡単かつ効率的に把握することが可能です。

ADManager Plusには、「選択したグループに所属しているユーザー」というレポートがあり、本レポートから特定のグループ(Administratorsなど)に所属しているオブジェクトを抽出することができます。

[グループの選択] 画面

また、抽出するオブジェクトは、自由に選択することが可能です。

詳細設定画面

対象とするオブジェクトを選択後、「作成」をクリックすることで、オブジェクトの内容が種類ごとに表示されます。

レポート画面

また、レポートの結果は「CSV」「PDF」「XLSX」「HTML」でエクスポートすることができます。

エクスポート結果(PDF)

このように、ADManager Plusを使用することで、「メンバーの抽出」と「レポート化」という煩雑な作業も、ワンクリックで行うことができるようになります。

もし、少しでもADManager Plusにご興味を持っていただけましたら、「30日間の無料トライアル（評価版）」を是非お試しください。評価期間中は、技術サポートもご利用可能です。

ADManager Plusのダウンロードページ
https://www.manageengine.jp/products/ADManager_Plus/download.html

Reading Time: 1 minutes3月31日は「世界バックアップデー」であったことはご存知でしょうか？今回は、近年増加傾向にあるランサムウェアへの対策にもなる「バックアップ」の重要性とベストプラクティスをご紹介します。世界バックアップデーとは？世界バックアップデーは、定期的なバックアップの重要性について知り、バックアップとデータ保護についての認識を高めることを目的として、2011年にRedditのコミュニティから始まりました。「データがすべて無くなった」という嘘のような信じがたい出来事が現実にならないように、エイプリルフールの前日が世界バックアップデーに設定されたと言われています。... >>続きを読む

例) Domain Admins、Enterprise Admins、Administrators、DNSAdmins、Group Policy Creator Ownersなど

例) Exchange Administrative Group、Sharepoint Administrative Group

方法1) 「Active Directoryユーザーとコンピューター」を使う方法

方法2) 「PowerShell」を使う方法

ADManager Plusについてご紹介

[グループの選択] 画面

詳細設定画面

レポート画面

エクスポート結果(PDF)

ManageEngine事業部

フィードバックフォーム

特権グループに所属しているメンバーを調査する

例) Domain Admins、Enterprise Admins、Administrators、DNSAdmins、Group Policy Creator Ownersなど

例) Exchange Administrative Group、Sharepoint Administrative Group

方法1) 「Active Directoryユーザーとコンピューター」を使う方法

方法2) 「PowerShell」を使う方法

ADManager Plusについてご紹介

[グループの選択] 画面

詳細設定 画面

レポート 画面

エクスポート結果(PDF)

ManageEngine事業部

フィードバックフォーム

Related Posts

「世界バックアップデー」記念！ランサムウェア対策のためのバックアップ・セキュリティ戦略

トヨタ関連企業も被害か？ランサムウェア攻撃への対策5点を紹介

詳細設定画面

レポート画面