Reading Time: 1 minutes【目次】 連載:ADについて学ぼう 今回はグループポリシーで設定できるポリシーの中でも、特にセキュリティに深く関係している「アカウントポリシー」について説明していきます。 ◆ Point... >>続きを読む
ロックアウト
サービスアカウントのロックを追跡する
Reading Time: 1 minutes我々が所有しているサーバーにはそれぞれ起動しているサービスがあります。そのサービスの多くは、サービスアカウント関連でActive Directoryのユーザーアカウントを要求します。サービスアカウントとはそれぞれに与えられたジョブ実行権限を持つ非常に重要なアカウントです。しかしながら、もしサービスアカウントが認証結果をドメインコントローラーに送るのを失敗してしまったら、多くの問題が発生します。更にもしサービスアカウントが何度も認証を失敗してしまったのならば、そのユーザーはロックアウトされてしまいます。以下では、この問題に対する理解を深めていただき、よりよい対応策を追求していきたいと思います。 何がサービスアカウントの認証失敗を招き、ユーザーがロックアウトされてしまう原因を作るのでしょうか。ほぼ全てのケースにおいて、問題はパスワードの「誤入力」にあります。根本的な原因は、パスワードがWindows サーバーのサービスでハードコードされており、ユーザーアカウントのパスワードがサービス内ではなく、Active Directory内で変更されてしまうことです。たくさんのサービスアカウントが、一つあるいはそれ以上のサーバー/サービスで使用されることから、それぞれのサービスに対して設定したパスワードを忘れてしまいがちです。... >>続きを読む
ユーザーアカウントがロックされたときにアラートを受け取る
Reading Time: 1 minutes我々は皆、重役の方々(役員ルームにいるような人々)が大切だということは理解しています。重役の方々は従業員の中でも特別なグループに属しており、大切にされなければなりません。その方々はコンピューターの使い方を知らないかもしれませんし、パスワードを誤って入力するかもしれませんし、あるいはアカウントを誰よりも多くロックされてしまうかもしれません! 勿論、どの管理者やヘルプデスクの技術者にとっても、ユーザーアカウントがロックされた重役から呼び出されることは、好ましいことではありません。 このような状況を繰り返す代わりに、ユーザーアカウントのロックアウトのアラートを受け取ることで、連絡がある前にこのような状況をコントロールしましょう。このアラート機能を使用することで、重役がロックアウトに気づく前にロックを解除することが出来ます。 そのためには、ADAudit Plusでレポートプロファイルを生成しなくてはいけません。レポートプロファイルは図1を見ていただければわかる通り、簡単に設定を行うことが出来ます。... >>続きを読む