公開日: 2005年7月6日
コンピュータの管理者アカウントは、アクセス許可を継承できる上に強力な権限を持っているため、コンピュータ上で最も有用なアカウントですが、最も危険なものになりうるアカウントでもあります。
侵入者はドメイン管理者のアカウントを侵害できれば、そこからドメインおよびフォレスト内のすべてのコンピュータにアクセスできるため、ドメイン レベルの管理者アカウントのセキュリティ保護には、組織は特に慎重に対処する必要があります。 マイクロソフトでは、自社の企業ネットワークのドメイン管理者アカウントをセキュリティ保護する手順を確立しており、同じ手順に従うことを他の企業にも推奨しています。
このガイドに記載されているネットワークの管理を行う際の推奨事項に従い、原則に準拠して、機密性の高いネットワーク資産および Active Directory® ディレクトリ サービスのデータに承認されていないユーザーが不正に管理者としてアクセスするリスクを軽減することをお勧めします。
ネットワーク資産をセキュリティ保護することを求めている組織にとって、管理者アカウントを可能な限りセキュリティ保護することは、重要な第一歩です。
組織が管理者アカウントをセキュリティ保護するプログラムをいまだ展開していない場合は、この計画ガイドを参照することで、そうしたプログラムを計画するための基礎を学習できます。
管理者アカウントをセキュリティ保護する計画を立てる場合は、主に次の手順に従ってください。
管理者アカウントが侵害されるリスクを軽減するためのプロセスを定義します。
Active Directory の管理者アカウントのセキュリティを強化するための戦略を特定します。
必要最小限の権限の原則に従います。
ドメイン管理者とエンタープライズ管理者の役割を区別します。
Secondary Logon サービスを使用してユーザー アカウントと管理者アカウントを別々に使用します。
管理者アカウントをセキュリティ保護するための推奨事項のガイドラインに従います。
管理者レベルのアカウントをセキュリティ保護するプログラムの整合性は、長期的なメンテナンスに依存します。 運用上の推奨事項の詳細については、「Microsoft Operations Framework」を参照してください。
管理者アカウントのセキュリティを強化する方法を案内するこのガイドは、基本的にマイクロソフトの推奨事項をまとめたものです。 Active Directory インフラストラクチャをセキュリティ保護するための、その他の推奨事項については、次の資料を参照してください。
ドメイン コントローラのセキュリティ強化の詳細については、「Windows Server 2003 セキュリティ ガイド」の「ドメイン コントローラのセキュリティ強化」を参照してください。
Windows Server 2003 のセキュリティ強化の詳細については、「Windows Server 2003 セキュリティ ガイド」をダウンロードしてください。
Windows Server 2003 のアカウントのパスワードとポリシーの詳細については、ホワイトペーパー「Account Passwords and Policies」(英語) を参照してください。
適切なセキュリティ リスク管理プログラムを計画、構築、および維持する方法の詳細については、「セキュリティ リスク管理ガイド」を参照してください。
より安全で強固なパスワードの詳細については、セキュリティ ガイダンス センターの次の文書を参照してください。
Active Directory のセキュリティ強化の詳細については、以下を参照してください。
Microsoft Windows Server 2003 Web サイトの「Best Practice Guide for Securing Active Directory Installations」(英語)
「Best Practices for Delegating Active Directory Administration」(英語)