サービスアカウントのロックを追跡する

ADAudit Plus | January 19, 2016 | 1 min read

Reading Time: 1 minutes

我々が所有しているサーバーにはそれぞれ起動しているサービスがあります。そのサービスの多くは、サービスアカウント関連でActive Directoryのユーザーアカウントを要求します。サービスアカウントとはそれぞれに与えられたジョブ実行権限を持つ非常に重要なアカウントです。しかしながら、もしサービスアカウントが認証結果をドメインコントローラーに送るのを失敗してしまったら、多くの問題が発生します。更にもしサービスアカウントが何度も認証を失敗してしまったのならば、そのユーザーはロックアウトされてしまいます。以下では、この問題に対する理解を深めていただき、よりよい対応策を追求していきたいと思います。

何がサービスアカウントの認証失敗を招き、ユーザーがロックアウトされてしまう原因を作るのでしょうか。ほぼ全てのケースにおいて、問題はパスワードの「誤入力」にあります。根本的な原因は、パスワードがWindows サーバーのサービスでハードコードされており、ユーザーアカウントのパスワードがサービス内ではなく、Active Directory内で変更されてしまうことです。たくさんのサービスアカウントが、一つあるいはそれ以上のサーバー/サービスで使用されることから、それぞれのサービスに対して設定したパスワードを忘れてしまいがちです。
サービスアカウントの認証に失敗した場合、サービスそのものが起動できなくなってしまいます。そしてユーザー認証に何度も失敗してロックアウトされてしまった場合、サービスの立ち上げに失敗し続けてしまいます。通常サービス起動の失敗に気づくのは、ユーザーからアプリケーションが起動しないと電話を受ける管理者だけです。

複数回の認証失敗に伴うユーザーアカウントのロックアウトは、パスワードポリシーの設定に関係しています。パスワードポリシーはユーザーアカウントの構成とルールを決定し、同様にロックアウトのしきい値を設定します。ドメイン内にあるドメインコントローラーで、”secpol.msc”を起動させると、ドメインユーザーへ定義しているロックアウトのしきい値を以下の図1のように確認できます。

図1

図1.”secpol.msc”はドメインユーザーの現在設定されているアカウントロックアウトのしきい値を表示します。

最後に、ほとんどの管理者はサービスアカウントに対するソリューションとして、以下の2つを実行したいと考えています。1つ目の要望とは、すべてのサービスアカウントを対応したアラート通知(メールによる通知が理想)の実現です。サービスアカウントのパスワードが変更されたか、アカウントがロックアウトされたか、あるいは同時に発生した場合、管理者に対して迅速に通知が届きます。このアラートはサービスの起動が失敗するのを防ぐことができ、さらにアプリケーションが動かないと報告がある前に対応することを可能とします。

2つ目は、管理者はサービスアカウントのユーザーを手作業で追跡するのではなく、ロックアウトされたユーザーをサービスアカウントと連結できるようにしたいと考えています。ロックアウトユーザーアカウントは従業員かサービスアカウントのどちらでも可能です。サービスアカウントはとても大切ですので、ロックアウトされたらすぐに知る必要があります。

この両方の問題を解決するための手段として、ADAudit Plusを利用いただけます。ADAudit Plusは1つ目の要望を含む問題の解決策としては大変有効であり、詳しい情報をこちらからご覧いただけます。2つ目の要望に対しては、簡単な解決策としてADAudit Plusについてくるレポートオプションをご利用いただけます。アカウントロックアウトアナライザーレポートはシンプルであり、もしロックアウトの発生源がコンピューターのサービスアカウントであった場合、表示することが出来ます。アカウントロックアウトアナライザーは図2のように表示されます。

図2

図2. ADAudit Plusのアカウントロックアナライザー

難しい問題をActive Directoryで追跡することは難しいことではありません。ただその権限が必要なだけなのです!ADAudit Plusはロックアウトされたユーザーが、コンピューターのサービスを再度利用するために、管理者がしっかりと追跡できるよう、サービスアカウントにあらゆる変更が加わった際に知らせてくれるレポートをカスタマイズすることが出来ます。

※この記事は「ManageEngine Blog」に2015年10月2日に投稿された「Tracking Down Locked Out Service Accounts」を翻訳・加筆したものです。
※本ページに掲載されている製品名、会社名などの固有名詞は各社の商標または登録商標です。®マーク、マークは省略しています。

【翻訳・加筆】
ゾーホージャパン株式会社 前田美裕


Tags : アカウントロック / サービスアカウント / しきい値 / ロックアウト
ManageEngine事業部

フィードバックフォーム

当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。

Comments are closed.