導入:
Windows Serverオペレーティングシステムに通常搭載されているActive Directoryサービスの管理と監視プロセスは、Active Directory管理として知られています。AD管理の主な目的は、Active Directoryユーザーのプロビジョニング操作を自動化すること、ルールと監査に準拠すること、セキュリティを確保し、各ユーザーのアカウントと設定への一元化されたアクセスを提供することです。通常、ネットワーク管理者が手動で行い、ADおよびWindows Serverネイティブの管理ツールやコンポーネントを活用します。
ユーザーアカウントはどのように管理しますか?
ユーザーアカウントは、Active Directoryで最も重要で広く使用されているオブジェクトの一つです。これらはワークステーションの認証と認可に使用されるほか、ADに関連する多くのサービスでも使用されます。システム管理者とヘルプデスク担当者は、大半の時間をユーザーアカウントの管理に費やします。ユーザー管理にはRSATツールのインストール、またはドメインコントローラーからのログオンが必要です。アカウントの無効化、アカウントの有効期限の設定、アカウントのロックアウト、パスワード変更の禁止など、いくつかの主要な機能がユーザー管理で利用できます。
無効化されたアカウント:
ある組織にアカウントの有効/無効状態を(自動的に)管理するプロビジョニングプロセスがある場合、またはゲスト/ベンダーとのエンゲージメントの頻度が高い場合、このプロセスは非常に効果的です。特定の終了日が不明なベンダーエンゲージメントに関随伴する不確実性のため、自動化されたプロセスは存在できません。
また、活動がないためにベンダーエンゲージメントを制御する必要があるシナリオでは、アカウントを一時的に無効化してセキュリティを確保し、必要に応じて再有効化することができます。
無効化されたアカウントを設定するには、以下の手順に従ってください:
- Active Directoryユーザーとコンピューター(ADUC)スナップインを開きます。
- ユーザーオブジェクトを右クリックします。
- [アカウント] -> [プロパティ] -> [アカウント]タブ -> [アカウントオプション]に移動します。
- [アカウントは無効です] チェックボックスを選択します。
- [OK]をクリックします。
無効化されたアカウントを有効にするには、以下に議論された手順に従ってください:
- Active Directoryユーザーとコンピューター(ADUC)スナップインを開きます。
- ユーザーオブジェクトを右クリックします。
- [アカウント] -> [プロパティ] -> [アカウント]タブ -> [アカウントオプション]に移動します。
- [アカウントは無効です] チェックボックスの選択を解除します。
- [OK]をクリックします。
アカウントのロック:
組織のアカウントロックアウトポリシーに基づき、アカウントは自動的にロックされることがあります。そのようなプロセスが設置されていない場合、アカウントは危険にさらされ、組織のデータにとって致命的になる可能性があります。
ログは大量に生成されるため、アカウントロックアウトポリシーに従わないアカウントから潜在的な侵害を発見したり、全てのアカウントを手動で無効化することは不可能です。
アカウントロックアウトの閾値を設定するには、以下の手順に従ってください:
- グループポリシーマネージメントコンソール(GPMC)を開きます。
- デフォルトドメインポリシーを右クリックし、編集を選択します。
- コンピュータの構成 -> ポリシー -> Windowsの設定 -> セキュリティ設定 -> アカウントポリシー -> アカウントロックアウトポリシーまでナビゲートします。
- アカウントロックアウト閾値を右クリックし、プロパティをクリックします。
- セキュリティポリシーの設定タブに移動し、[このポリシー設定を定義する] チェックボックスをクリックし、必要な閾値を入力します。
- OKをクリックします。
ロックされたアカウントのロックを解除するには、以下に議論されている手順に従ってください:
- アクティブディレクトリユーザーとコンピューター(ADUC)のスナップインを開きます。
- ロックされたユーザーを右クリックし、プロパティをクリックします。
- アカウントタブに移動します。
- [ロックアウトされたアカウントのロックを解除する] オプションを選択します。このアカウントは現在、このアクティブディレクトリドメインコントローラー上でロックアウトされています。
- OKをクリックします。
期限切れのアカウント:
契約ベースの割当に大きく依存している組織にとって、このユーティリティは非常に有益です。アカウントの有効期限を設定することにより、手動でアカウントを無効にする必要が消え、契約が終了すると自動的にアカウントが期限切れになり、セキュリティ違反の余地がなくなります。また、アカウントプロビジョニングプロセスが設置されている場合、この設定はそれに適応することができます。
アカウントの有効期限を設定するには、以下の手順に従ってください:
- アクティブディレクトリユーザーとコンピューター(ADUC)のスナップインを開きます。
- ユーザーオブジェクトを右クリックします。
- アカウント -> プロパティ -> アカウントタブ -> アカウントオプションへ進みます。
- アカウント有効期限セクションで、[終了する] チェックボックスを選択します。
- 希望の有効期限の日付を選択します。
- OKをクリックします。
ステータス変更後の主な違い:
変更後、ロックされたアカウントを除いて、すべてのアカウントは同様の動作をします。つまり、アカウントは指定された期間のみロックされ、その期間が終了すると「自動的に」ロック解除されます。期間が0に設定されている場合、決して「自動的に」ロック解除されることはありません。
ログオンイベントのイベントID:
Active DirectoryのイベントログはMicrosoftのネイティブのイベントビューアを使用して確認することができます。以下に示されたイベントID番号を使用して、ネットワーク上のユーザーアカウント関連の問題を診断し、解決することができます。
2003:
531: ログオン失敗。無効なアカウントを使用したログオン試行が行われました。
532: ログオン失敗。期限切れのアカウントを使用したログオン試行が行われました。
539: ログオン失敗。ログオン試行がされた時点でアカウントはロックアウトされていました。
2008:
2008年の全部のログオン失敗イベントの同等物は、「4625: アカウントのログオンに失敗しました」
失敗の理由: 上記と同じ
無効化された、期限切れの、およびロックされたアカウントを見つける方法は?
無効化されたアカウント:
以下の手順に従って、PowerShellを使用して無効化されたアカウントを見つけます:
- ドメインコントローラ(DC)でPowerShellコンソールを起動します。
- 次のコマンドを使って、アクティブディレクトリPowerShellモジュールをDCにインポートします:
Import-Module ActiveDirectory
- プロパティに特に注意を払いながら、以下のPowerShellスクリプトを実行して無効化されたアカウントを見つけます: Search-ADAccount –AccountDisabled –UsersOnly –ResultPageSize 2000 –ResultSetSize $null | Select-Object SamAccountName, DistinguishedName | Export-CSV “C:\Temp\DisabledUsers.CSV” –NoTypeInformation
- 無効化されたアカウントのリストを表示するには、スクリプトによって生成されたCSVファイルをMS Excelで開きます。
注:コマンドプロンプト出力として結果を見たい場合は、スクリプトのExport-CSVコンポーネントを削除します。
期限切れアカウント:
PowerShellを使用して期限切れアカウントを特定するには、以下の指示に従ってください:
- ドメインコントローラ(DC)でPowerShellコンソールを起動します。
- 次のコマンドを使って、アクティブディレクトリPowerShellモジュールをDCにインポートします:
Import-Module ActiveDirectory
- プロパティに特に注意を払いながら、以下のPowerShellスクリプトを実行して期限切れアカウントを見つけます: Search-ADAccount -Server $ThisDomain -Credential $Creds -AccountExpired -UsersOnly -ResultPageSize 2000 -resultSetSize $null | Select-Object Name, SamAccountName, DistinguishedName, AccountExpirationDate。
- アクティブディレクトリドメインに期限切れのアカウントがある場合、それらはPowerShellウィンドウの出力にリストされます。
ロックされたアカウント:
以下の方法で、PowerShellを使用してロックアウトされたアカウントを検索します:
-
ドメインコントローラ(DC)でPowerShellコンソールを起動します。
-
次のコマンドを使って、アクティブディレクトリPowerShellモジュールをDCにインポートします:
Import-Module ActiveDirectory
-
プロパティに特に注意を払いながら、以下のPowerShellスクリプトを実行してロックアウトされたアカウントを見つけます:Search-ADAccount -LockedOut
-
アクティブディレクトリドメインにロックアウトされたアカウントがある場合、それらはPowerShellウィンドウの出力にリストされます。
PowerShellの結果にはロックされたアカウントがリストされています。AD管理は、アクティブディレクトリが適切に機能していることを保証するサーバーまたはネットワーク監視および管理活動の一部です。毎日、IT管理者はアクティブディレクトリ管理におけるさまざまな問題に直面し、特にアクティブディレクトリのユーザーアカウントの管理において問題があります。ユーザー設定を手動で構成することは、複雑なWindowsネットワークでは疲れるし、時間がかかり、エラーが発生しやすいです。さらに、ネイティブツールやPowerShellを使ってこれらのタスクを行うには、複雑なAD管理プロセスの深い理解が必要です。したがって、アクティブディレクトリ管理の効率と効果を向上させるためには、これらの時間を要する活動を簡略化し自動化できる目的に合ったソリューションが必要であり、ADオブジェクトに関する包括的なレポートを提供することも重要です。
