Table of contents
TOC
目次を折りたたむ
目次を展開する

付録/i: Active Directory内の保護されているアカウントとグループ アカウントの管理を作成します。

Bill Mathers|最終更新日: 2017/03/10
|
1 投稿者

適用対象: Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

付録/i: Active Directory内の保護されているアカウントとグループ アカウントの管理を作成します。

高い特権を持つグループのメンバーシップを永続的に依存しないActive Directoryのモデルを実装する際の課題の1つは、グループ内の一時的なメンバーシップが必要な場合は、これらのグループを設定するためのメカニズムが存在する必要があります。 特権のidの一部の管理ソリューションでは、DAなど、フォレスト内の各ドメインでの管理者グループのメンバーシップを永続的なソフトウェアのサービス アカウントが与えられている必要があります。 ただし、技術的には必要はありません特権を持つユーザーの管理 (PIM) の解決策をこのような高い特権を持つのコンテキストで、サービスを実行します。

ここでは、ネイティブで実装されている、またはサード パーティ製のPIMソリューションを使用するには、特権が限られていると、厳密制御できますが一時昇格が必要な場合は、Active Directoryの特権のグループを設定するために使用するアカウントを作成する情報を提供します。 一時的なグループを追加を実行する管理スタッフによってこれらのアカウントを使うことが場合は、ネイティブのソリューションとしてPIMを実装する場合は、され、サービス アカウントとして機能するため、これらのアカウントに対応PIMを実装するサード パーティ製ソフトウェアによって場合、可能性ができます。

メモ

ここで説明する手順は、Active Directoryの高い特権を持つグループの管理に1つの方法を提供します。 必要に応じて、追加の制限を追加する手順を調整したり、ここで説明されている制限事項の一部を省略することができます。

Active Directory内の保護されているアカウントとグループ アカウントの管理を作成します。

アカウントの作成は、過剰な権利を付与する管理アカウントを必要とせず、特権を持つグループのメンバーシップを管理する使用でき、順を追って指示に従ってに記載されている4つの一般的なアクティビティのアクセス許可で構成されています。

  1. 最初に、これらのアカウントは、限られた信頼されたユーザーのセットによって管理される必要があるため、アカウントを管理するグループを作成する必要があります。 分離特権と保護されているアカウントとドメインの一般的な人口からシステムに対応したOUの構造があるない場合は、いずれかを作成する必要があります。 具体的な手順は、ここでは提供されていないがスクリーン ショットは、このようなOU階層の例を示します。

  2. 管理アカウントを作成します。 これらのアカウントを「通常」のユーザーのアカウントとして作成し、既定では、既にユーザーに付与されているもの以外のユーザー権利を付与しない必要があります。

  3. 作成されたを有効にして、アカウント (最初の手順で作成したグループ) を使用していることができますの制御に加えて特殊な目的でのみ使用できるようにする管理アカウントに制限を実装します。

  4. ドメイン内の特権を持つグループのメンバーシップを変更する管理アカウントを許可するには、各ドメインAdminSDHolderオブジェクトのアクセス許可を構成します。

以下の手順をすべてをテストし、運用環境でそれらを実装する前に、環境の必要に応じて変更する必要があります徹底的にします。 すべての設定が期待どおりに動作ことも確認する必要があります (一部のテスト手順は、この付録で提供されている、) との管理アカウントがご利用いただけません回復の目的で保護されたグループを設定するために使う災害回復シナリオをテストする必要があります。 バックアップと復元のActive Directoryについて詳しくは、表示、AD DSバックアップと復元Step-by-Stepガイドします。

メモ

ここで説明する手順を実装すると、EAs、DAs BAsなど高い特権Active Directoryのグループだけでなく各ドメイン内のすべての保護されているグループのメンバーシップを管理することができるアカウントを作成します。 Active Directoryで保護されているグループについて詳しくは、次を参照してください。付録c: 保護されているアカウントとActive Directory内のグループします。

Step-by-Step保護されたグループの管理アカウントを作成するための手順

有効にして、管理アカウントを無効にするグループを作成します。

管理アカウントでは、自分のパスワードを使用するたびにリセットする必要があり、それらを必要とするアクティビティが完了したときに無効にする必要があります。 これらのアカウントのスマート カード ログオン要件を実装することも検討する可能性があります、これは、オプションの構成と、これらの手順は、管理アカウントが最低限のコントロールとして、ユーザー名と、長くて複雑なパスワードを構成することを想定しています。 この手順では、管理アカウントのパスワードをリセットして有効にして、アカウントを無効にするアクセス許可を持つグループを作成するされます。

有効にして、アカウントの管理を無効にするグループを作成するには、次の手順を実行します。

  1. 管理アカウントを格納するOU構造では、グループを作成するOUを右クリックしてクリックして新規クリックグループします。

    管理アカウントの作成

  2. 新しいオブジェクトのグループ] ダイアログ ボックスで、グループの名前を入力します。 「アクティブ」、フォレスト内のすべての管理アカウントにこのグループを使用する場合は、作成、ユニバーサル セキュリティ グループを指定します。 単一ドメインのフォレストにした場合、またはドメインごとにグループを作成する場合は、グローバル セキュリティ グループを作成することができます。 クリックしてOKグループを作成します。

    管理アカウントの作成

  3. 作成したグループを右クリックし、クリックしてプロパティ、] をクリックし、オブジェクト] タブ。 グループのオブジェクトのプロパティダイアログ ボックスで、誤って削除されないように保護するオブジェクトがないのみ防ぐことは許可されているその他のユーザーのグループを削除してからがもしない限り、別のOUに移動できない属性は、まず選択解除します。

    管理アカウントの作成

    メモ

    グループの親の管理を限られたユーザーのセットを制限するOuで、アクセス許可が既に構成されている場合、次の手順を実行する必要はありません。 提供されここできるように、グループに対する変更を保護する場合でも、このグループを作成したOU構造の限られた管理制御をまだ実装していない場合は、承認されていないユーザー。

  4. クリックして、メンバータブをクリックし、アカウントの管理を有効にするか、設定を担当するチームのメンバーには、必要に応じてグループが保護されているアカウントを追加します。

    管理アカウントの作成

  5. 既に行っていないための場合、Active Directoryユーザーとコンピューターコンソールで、クリックしてビュー高度な機能します。 作成したグループを右クリックし、クリックしてプロパティ、] をクリックし、セキュリティ] タブ。 上、セキュリティ] タブをクリックして詳細します。

    管理アカウントの作成

  6. [グループ] のセキュリティの詳細設定ダイアログ ボックスで、クリックしてを無効に継承します。 メッセージが表示されたら、クリックして変換には、このオブジェクトにアクセス許可を明示的に許可が継承されて、] をクリックし、OKグループに戻るにセキュリティ] ダイアログ ボックス。

    管理アカウントの作成

  7. セキュリティ] タブで、このグループにアクセスが許可されませんグループを削除します。 たとえば、Authenticated Usersグループの名前と一般的なプロパティの読み取りを可能にしたくない場合は、そのACEを削除できます。 アカウントの演算子やpre-Windows 2000 Server互換性のあるアクセスされている物などAceを削除することもできます。 ただし、最小一連のオブジェクトのアクセス許可のままににおいてするは、します。 以下のAceをままにするには。

    • SELF

    • システム

    • Domain Admins

    • Enterprise Admins

    • 管理者

    • Windows認証アクセス グループ (該当する場合)

    • エンタープライズ ドメイン コント ローラー

    このグループを管理するActive Directoryで最高の特権を持つグループを許可する直感に反する感じるかもしれませんが、これらの設定の実装の目的は、それらのグループのメンバーが承認済みの変更を加えることを防ぐしないようにです。 代わりに、目標は、非常に高いレベルの特権を必要とする状況を確認したら、承認済みの変更が成功することを確認することです。 グループの入れ子、権利、特権のある既定値を変更すること、そのアクセス許可は、このドキュメント全体にわたって推奨されていません。このためです。 既定の構造体を維持したまま、ディレクトリ内の最上位の特権グループのメンバーシップを空にするか、予期したとおりに機能をより安全な環境を作成できます。

    管理アカウントの作成

    メモ

    このグループを作成したOU構造のオブジェクトの監査ポリシーを構成していない場合は監査を構成する変更をログにこのグループ。

  8. 「チェック アウト」に使われるグループの構成を完了すると「チェックイン」アカウントのアクティビティが完了したときに必要なアカウントを管理します。

管理アカウントを作成します。

少なくとも1つのアカウント、Active Directoryのインストールに特権を持つグループのメンバーシップの管理に使われるとできれば、バックアップとして利用する2つ目のアカウントを作成する必要があります。 フォレスト内の各ドメインのアカウントの管理を実装することを選択するかどうかの手順は実質的に同じまたはグループを保護フォレスト内の1つのドメインの管理アカウントを作成し、それらすべてのドメインの管理機能を付与するものを選択するかどうか。

メモ

このドキュメントの手順は、まだ実装していない役割ベースのアクセス制御とActive Directoryの特権を持つid管理と仮定します。 したがって、アカウントを持つ該当するドメインのDomain Adminsグループのメンバーは、ユーザーがいくつかの手順を実行する必要があります。

DA特権を持つアカウントを使っている場合は、構成のアクティビティを実行するドメイン コント ローラーにログオンすることができます。 DA特権を必要としない手順は、管理者のワークステーションにログオンしている小さい特権を持つアカウントで実行できます。 明るい青色で囲まれたダイアログ ボックスを示すスクリーン ショットは、ドメイン コント ローラーで実行可能なアクティビティを表します。 濃い青色で] ダイアログ ボックスを示すスクリーン ショットは、特権が制限されているアカウントで管理者のワークステーションで実行可能なアクティビティを表します。

管理アカウントを作成するには、次の手順を実行します。

  1. ドメインのDAグループのメンバーであるアカウントを使用してドメイン コント ローラーにログオンします。

  2. 起動Active Directoryユーザーとコンピューターは管理アカウントを作るOUに移動します。

  3. OUを右クリックし、クリックして新規クリックユーザーします。

  4. 新しいオブジェクト - ユーザーダイアログ ボックスで、アカウントの場合は、必要な名前付け情報を入力し、クリックして[次へ]します。

  5. ドメインのDAグループのメンバーであるアカウントを使用してドメイン コント ローラーにログオンします。

  6. 起動Active Directoryユーザーとコンピューターは管理アカウントを作るOUに移動します。

  7. OUを右クリックし、クリックして新規クリックユーザーします。

  8. 新しいオブジェクト - ユーザーダイアログ ボックスで、アカウントの場合は、必要な名前付け情報を入力し、クリックして[次へ]します。

    管理アカウントの作成

  9. オフ、ユーザー アカウントの最初のパスワードを提供ユーザーは次回ログオン時にパスワードを変更する必要があります[ユーザーがパスワードを変更できないアカウントが無効になっている、] をクリックし、します。

    管理アカウントの作成

  10. アカウントの詳細情報が正しいことを確認] をクリックして完了します。

  11. 作成したユーザー オブジェクトを右クリックし、クリックしてプロパティします。

  12. クリックして、アカウント] タブ。

  13. アカウント オプションフィールドで、選択、アカウントは、機密性の高いと許可を委任することはできませんフラグを選択、このアカウントは、Kerberos AES 128ビット暗号化をサポートしていますや、このアカウントは、Kerberos AES 256の暗号化をサポートしています、フラグを設定し、クリックしてOKします。

    管理アカウントの作成

    メモ

    他のアカウントと同様、このアカウントは、限られたが、強力な機能である、ためアカウントはセキュリティで保護された管理ホスト上のみ使用してください。 セキュリティで保護された管理、すべてのホスト環境内のグループ ポリシー設定の実装を検討する必要がありますネットワーク セキュリティ: Kerberosで許可されている構成の暗号化の種類最も安全な暗号化の種類だけを許可するセキュリティで保護されたホストを実装することができます。

    ホストのより安全な暗号化の種類を実装は、資格情報の盗難攻撃を軽減することではない、適切に使用して、セキュリティで保護されたホストの構成では。 コンピューターの全体的な攻撃を軽減単に特権を持つアカウントでのみ使われるホストの強力な暗号化の種類を設定します。

    システムとアカウント上の暗号化の種類の構成について詳しくは、次を参照してください。Kerberosサポートされる暗号化の種類のWindowsの構成します。

    注:これらの設定は、Windows Server 2012、Windows Server 2008 R2、Windows 8、またはWindows 7を実行しているコンピューターでのみサポートされます。

  14. オブジェクト] タブの [誤って削除されないように保護するオブジェクトします。 これが (も承認されたユーザーの場合) によって削除されるだけオブジェクトをされなくなりますはできなくなりますして、AD DS階層内の別のOUに移動されるチェック ボックスをクリア属性を変更するアクセス許可を持つユーザーまずしない限り、します。

    管理アカウントの作成

  15. クリックして、リモコン] タブ。

  16. クリア、リモート制御を有効にするフラグ。 サポート スタッフ修正プログラムを実装するこのアカウントのセッションに接続するために必要なことはできません。

    管理アカウントの作成

    メモ

    説明されているように、Active Directory内のすべてのオブジェクトがIT所有者を指定し、指定したビジネス所有者が必要危害を受ける計画します。 (外部データベース) ではなく、Active Directory内のAD DSオブジェクトの所有権を追跡している場合は、このオブジェクトのプロパティで適切な所有者情報を入力しなければなりません。

    この例では、ビジネスの所有者は、IT部門ではほとんどの場合、返しにもIT所有者されているビジネス所有者を禁止していることはありません。 オブジェクトの所有権を確立するためのポイントでは、変更するオブジェクトに加え、おそらく年、最初に作成からする必要がある場合は、連絡先を識別することができます。

  17. クリックして、組織] タブ。

  18. AD DSオブジェクトの標準のために必要な情報を入力します。

    管理アカウントの作成

  19. クリックして、ダイヤルイン] タブ。

  20. ネットワーク アクセス許可フィールドで、選択アクセスを拒否します。このアカウントのリモート接続経由で接続する必要はありません。

    管理アカウントの作成

    メモ

    環境内で読み取り専用ドメイン コント ローラー (Rodc) へのログオンにこのアカウントを使用がある可能性があることはできません。 ただし、状況まで必要ログインするアカウントにログオンすると、RODCはこのアカウントを追加する拒否RODCパスワード レプリケーション グループRODCにそのパスワードがキャッシュされていないようにします。

    それぞれの使用後、アカウントのパスワードをリセットする必要があり、アカウントを無効にする必要があります、この設定を実装しても、アカウントにはdeleteriousの影響はありませんをアカウントのパスワードをリセットし、それを無効にする、管理者が忘れた場合の状況でことをお勧めします。

  21. クリックして、メンバーの] タブ。

  22. クリックして追加します。

  23. RODCパスワード レプリケーション グループを拒否で、ユーザーの選択、連絡先、コンピューター ] ダイアログ ボックスをクリック名前の確認します。 グループの名前は、オブジェクト ピッカーに下線が引かれます、クリックしてOKし、アカウントが次のスクリーン ショットで表示される2つのグループのメンバーであるようになりましたことを確認します。 保護されているグループにアカウントを追加しないでください。

  24. クリックしてOKします。

    管理アカウントの作成

  25. をクリックして、セキュリティタブし、クリックして詳細します。

  26. セキュリティの詳細設定ダイアログ ボックスで、クリックして継承を無効にするとして明示的なアクセス許可は、継承されたアクセス許可をコピーし、クリックして追加します。

    管理アカウントの作成

  27. [アカウント] のアクセス許可エントリダイアログ ボックスで、クリックしてプリンシパルの選択し、前の手順で作成したグループを追加します。 ダイアログ ボックスの下部までスクロールし、クリックしてすべてクリアをすべて既定のアクセス許可を削除します。

    管理アカウントの作成

  28. 先頭にスクロール、アクセス許可のエントリ] ダイアログ ボックス。 いることを確認、種類にドロップ ダウン リストが設定されて許可、し、[、に適用ドロップダウン リストで、このオブジェクトのみします。

  29. 権限フィールドで、選択すべてのプロパティの読み取り読み取りアクセス許可、およびパスワードのリセットします。

    管理アカウントの作成

  30. プロパティフィールドで、選択userAccountControlを読み取る書き込みuserAccountControlします。

  31. をクリックしてOKOKに再度、高度なセキュリティ設定] ダイアログ ボックス。

    管理アカウントの作成

    メモ

    UserAccountControl属性は、複数のアカウントの構成オプションを制御します。 属性に書き込みアクセス許可を付与するときは、一部の構成オプションのみを変更するアクセス許可を付与することはできません。

  32. グループまたはユーザー名フィールド、セキュリティ] タブへのアクセスや、アカウントの管理は許可されませんが、すべてのグループを削除します。 EveryoneグループとSELFアカウントを計算されるようにAceの拒否で構成されている任意のグループを削除する (そのACEが設定されたとき、ユーザーがパスワードを変更できないフラグがアカウントの作成時に有効にします。 また追加したグループでは、システム アカウント、またはEA、DA、バー、またはWindows認証アクセス グループなどのグループは削除します。

    管理アカウントの作成

  33. クリックして詳細し、[セキュリティの詳細設定] ダイアログ ボックスは次のスクリーン ショットのように表示されることを確認します。

  34. をクリックしてOK、およびOK、アカウントのプロパティ] ダイアログ ボックスを閉じてもう一度にします。

    管理アカウントの作成

  35. 最初の管理アカウントのセットアップは完了します。 後の手順では、アカウントをテストします。

追加の管理アカウントの作成

前の手順を繰り返すことにより、作成したアカウントをコピーすることによって、または、目的の構成設定とアカウントを作成するスクリプトを作成することで、追加の管理アカウントを作成することができます。 ただし、作成したアカウントをコピーする場合、カスタマイズした設定とAclの多くは、新しいアカウントにコピーされず、ほとんどの構成手順を繰り返す必要ことに注意してください。

代わりに設定され、保護されているグループのunpopulate権利を委任するグループを作成することができますが、グループおよびそこに配置するアカウントを保護する必要があります。 保護されたグループのメンバーシップを管理する機能を付与されている、ディレクトリ内のごく少数のアカウントが存在する必要があります、ため個人のアカウントを作成すると最も簡単なアプローチ可能性があります。

管理できるアカウントを配置するグループを作成するを選択する方法に関係なくは、先ほど説明した各アカウントの保護を確認する必要があります。 同様に記載されているGPOの制限を実装することを考慮する必要がも付録d: セキュリティで保護するビルトインAdministratorアカウントのActive Directoryします。

アカウントの管理の監査

最低でも、アカウントへのすべての書き込みをログインするアカウントに対して監査を構成する必要があります。 これにより、成功したアカウントの有効化とも承認されていないユーザー アカウントを操作するための試行を識別するが、承認されたは、使用中に、パスワードのリセットを特定するだけでなくが許可されます。 アカウントに障害が発生した書き込みは、システムでは、セキュリティ情報とイベントの監視 (SIEM) (該当する場合)、キャプチャして、潜在的な妥協点を調査担当スタッフに通知する警告をトリガーする必要があります。

SIEMソリューション (たとえば、イベント ログ、アプリケーション データ、ネットワーク ストリーム、マルウェア対策製品、および侵入検出ソース) に関与するセキュリティ ソースからイベントの情報を取得するには、データの照合およびインテリジェント ビューと積極的に処理を行うしようとしています。 多くの商用SIEMソリューションがあるし、多くの企業がプライベートの実装を作成します。 適切に設計され、適切に実装されているSIEMは、セキュリティの監視とインシデント対応機能に大幅に向上させることができます。 ただし、機能と精度異なりますきわめてソリューションです。 SIEMs、このホワイト ペーパーの範囲を超えたが、SIEM実装者によって、含まれる特定のイベントの推奨事項を考慮する必要がいます。

ドメイン コント ローラーの推奨される監査の構成の設定について詳しくは、次を参照してください。署名のセキュリティ侵害のActive Directoryの監視します。 ドメイン コント ローラーに固有の構成設定が記載署名のセキュリティ侵害のActive Directoryの監視します。

保護されているグループのメンバーシップの変更へのアカウントの管理を有効にします。

この手順では、ドメイン内の保護されているグループのメンバーシップを変更する、新しく作成した管理アカウントを許可するドメインのAdminSDHolderオブジェクトのアクセス許可を構成します。 グラフィカル ユーザー インターフェイス (GUI) 経由では、この手順を実行することはできません。

説明したよう付録c: 保護されているアカウントとActive Directory内のグループ、オブジェクトが効果的に""にコピーするドメインのAdminSDHolder上のACLはSDPropタスクの実行時にオブジェクトを保護します。 保護されたグループおよびアカウントでは、AdminSDHolderオブジェクトからのアクセス許可は継承しません。そのアクセス許可がAdminSDHolderオブジェクトの識別子と一致する明示的に設定します。 したがって、AdminSDHolderオブジェクトのアクセス許可を変更すると、対象とする、保護されているオブジェクトの種類に適切な属性を変更する必要があります。

この例では、それらを読み取るおよびグループ オブジェクトのメンバーの属性の書き込みを許可する、新しく作成した管理アカウント許可しているはします。 ただし、AdminSDHolderオブジェクトは、グループ オブジェクトではないと、グラフィカルACLエディターでは、グループの属性は公開されていません。 このため、Dsaclsコマンド ライン ユーティリティを使用してアクセス許可の変更を実装することができます。 (無効) の管理に保護されているグループのメンバーシップを変更するアカウントのアクセス許可を与えるには、次の手順を実行します。

  1. ドメイン コント ローラー、ドメイン内のDAグループのメンバーが加えられているユーザー アカウントの資格情報を使って、PDCエミュレーター (PDCE) の役割を持つドメイン コント ローラーできればにログオンします。

    管理アカウントの作成

  2. 右クリックして、管理者特権のコマンド プロンプトを開きますコマンド プロンプトクリック管理者として実行します。

    管理アカウントの作成

  3. 昇格を承認するメッセージが表示されたら、クリックしてはいします。

    管理アカウントの作成

    メモ

    Windowsで昇格とユーザー アカウント制御 (UAC) の詳細については、次を参照してください。UACのプロセスと相互作用、TechNet webサイトです。

  4. コマンド プロンプト、種類 (、ドメイン固有の情報を置き換える) Dsacls [自分のドメイン内のAdminSDHolderオブジェクトの識別名]/G [管理アカウントUPN]: RPWP; メンバーします。

    管理アカウントの作成

    前のコマンド (これは区別されません) は次のように動作します。

    • Dsaclsを設定またはディレクトリ オブジェクトにAceを表示

    • CN使用 = = システム、DC含ま、DC = = msft識別オブジェクトを変更します。

    • /Gは、ACEの許可を構成していることを示します

    • PIM001@tailspintoys.msftされているAceが与えられるセキュリティ プリンシパルのユーザー プリンシパル名 (UPN)

    • RPWP付与プロパティの読み取りし、書き込みのアクセス許可

    • メンバー (属性)、プロパティの名前が、アクセス許可を設定します。

    使用の詳細についてはDsacls、コマンド プロンプトでパラメーターなしDsaclsを入力します。

    ドメインに対して複数の管理アカウントを作成する場合は、アカウントごとにDsaclsコマンドを実行する必要があります。 AdminSDHolderオブジェクトのACL構成が完了したら、実行、または、そのスケジュール済みの実行が完了するまで待機SDPropを強制する必要があります。 強制的に実行するSDPropについて詳しくは、表示「を実行しているSDProp手動で」付録c: 保護されているアカウントとActive Directory内のグループします。

    SDPropが実行すると、AdminSDHolderオブジェクトに加えた変更をドメイン内の保護されているグループに適用されていることを確認することができます。 既に説明した、上の理由から、AdminSDHolderオブジェクトのACLを表示することによって、これを確認することはできませんが、保護されたグループ上のAclを表示することによってアクセス許可が適用されたことを確認することができます。

  5. Active Directoryユーザーとコンピューター、有効にすることを確認高度な機能します。 これを行うには、クリックしてビュー、検索、Domain Adminsをグループ化し、グループを右クリックしてプロパティします。

  6. をクリックして、セキュリティタブし、クリックして詳細を開く、Domain Adminsに対してセキュリティの詳細設定] ダイアログ ボックス。

    管理アカウントの作成

  7. 選択管理アカウントに許可ACE ] をクリックして編集します。 アカウントにのみ付与されていることを確認読み取りメンバーメンバーの書き込みDAグループ、およびクリックのアクセス許可OKします。

  8. をクリックしてOKで、セキュリティの詳細設定] ダイアログ ボックスをクリックOK DAグループのプロパティ] ダイアログ ボックスを閉じます。

    管理アカウントの作成

  9. ドメインで保護されている他のグループに対して前の手順を繰り返すことができます。保護されているすべてのグループに対して同じアクセス許可があります。 このドメイン内の保護されているグループの管理アカウントの作成と構成を完了しているようになりました。

    メモ

    グループに自体をActive Directory内のグループのメンバーシップの書き込みアクセス許可を持つ任意のアカウントに追加もできます。 この動作は設計によっては、無効にすることはできません。 このため、管理アカウントを使用しない場合は無効には常にしが無効になっているとき、および使用中であれば、アカウントを監視密接にする必要があります。

グループとアカウントの構成設定を確認します。

これで、作成して、ドメイン (を最も高い特権を持つEA、DA、およびバー グループを含む) で保護されているグループのメンバーシップが変更できる管理アカウントを構成することが、アカウントと、管理グループが正しく作成されていることを確認してください。 検証は、これらの一般的なタスクで構成されます。

  1. 有効にして確認できるグループのメンバーを有効にして、アカウントを無効にして、パスワードのリセットが管理アカウントで他の管理の操作を実行することはできません管理アカウントを無効に、できるグループをテストします。

  2. 追加できることとするメンバーの削除は、ドメイン内のグループを保護しますが、保護されているアカウントとグループの他のプロパティを変更することはできませんを確認する管理アカウントをテストします。

それを有効にする、管理アカウントを無効にするグループをテストします。
  1. 管理アカウントを有効にして、パスワードのリセットをテストするには、セキュリティで保護された管理ワークステーションに、グループのメンバーであるアカウントで作成したログオン付録/i: 管理アカウントを作成するアカウントの保護とActive Directory内のグループのします。

    管理アカウントの作成

  2. 開いているActive Directoryユーザーとコンピューター管理アカウントを右クリックし、クリックして、アカウントの有効化します。

    管理アカウントの作成

  3. アカウントが有効になっていることを確認ダイアログ ボックスが表示されます。

    管理アカウントの作成

  4. 次に、管理アカウントのパスワードをリセットします。 これを行うには、アカウントをもう一度右クリックし、クリックしてパスワードのリセットします。

    管理アカウントの作成

  5. 新しいアカウントのパスワードを入力、新しいパスワードパスワードの確認フィールド、およびクリックOKします。

    管理アカウントの作成

  6. ダイアログ ボックスが表示する必要がありますが、アカウントのパスワードがリセットされたことを確認します。

    管理アカウントの作成

  7. 管理アカウントの追加のプロパティを変更しようとするようになりました。 アカウントを右クリックし、クリックしてプロパティ、] をクリックし、リモコン] タブ。

  8. 選択リモート制御を有効にするクリック適用します。 操作が失敗し、アクセスが拒否エラー メッセージを表示する必要があります。

    管理アカウントの作成

  9. クリックして、アカウントタブに移動して、アカウントと、アカウントの名前、ログオン時間、またはログオン ワークステーションを変更しようとしています。 すべては失敗し、アカウントによって制御されていないオプション、userAccountControl淡色outおよび修正できません、属性を表示する必要があります。

    管理アカウントの作成

  10. DAグループなどの保護されているグループに管理グループを追加しようとしてください。 クリックするとOK、グループを変更するアクセス許可がないことを通知する、メッセージが表示されます。

    管理アカウントの作成

  11. 構成することができないもの以外の管理アカウントにすることを確認するために必要なように、追加のテストを実行userAccountControl設定とパスワードをリセットします。

    メモ

    UserAccountControl属性は、複数のアカウントの構成オプションを制御します。 属性に書き込みアクセス許可を付与するときは、一部の構成オプションのみを変更するアクセス許可を付与することはできません。

管理アカウントをテストします。

これで、保護されているグループのメンバーシップを変更できる1つまたは複数のアカウントを有効にするが、保護されているグループのメンバーシップを変更することができますが、保護されているアカウントとグループの他の変更を実行できないことを確認するアカウントをテストできます。

  1. セキュリティで保護された管理ホストに、最初の管理アカウントとしてログオンします。

    管理アカウントの作成

  2. 起動Active Directoryユーザーとコンピューターを検索し、Domain Adminsグループします。

  3. 右クリックし、Domain Adminsグループ化し、クリックしてプロパティします。

    管理アカウントの作成

  4. Domain Adminsのプロパティ、クリックして、メンバー ] タブとクリックして追加します。 一時的なドメイン管理者特権が与えられますし、[アカウントの名前を入力名前の確認します。 アカウントの名前に下線が引かれます、クリックしてOKに戻ります、メンバー ] タブ。

    管理アカウントの作成

  5. メンバータブに移動して、Domain Adminsのプロパティダイアログ ボックスで、クリックして適用します。 クリックすると適用はないエラー メッセージが表示や、アカウントがDAグループのメンバーを維持する必要があります。

    管理アカウントの作成

  6. クリックして、によって管理されている] タブで、Domain Adminsのプロパティ] ダイアログ ボックスし、すべてのフィールドにテキストを入力することはできませんし、すべてのボタンが淡色ことを確認します。

    管理アカウントの作成

  7. クリックして、全般] タブで、Domain Adminsのプロパティ] ダイアログ ボックスし、そのタブに関する情報のいずれかを変更できないことを確認します。

    管理アカウントの作成

  8. 必要に応じて、追加の保護されているグループに次の手順を繰り返します。 詳細を確認したら、ログを有効にして、管理アカウントを無効にして作成したグループのメンバーであるアカウントを使用してセキュリティで保護された管理者のホストにログオンします。 だけにテストし、アカウントを無効にする、管理アカウントのパスワードをリセットします。 管理アカウントとグループを有効にして、アカウントの無効化を担当となるのセットアップが完了しました。

© 2017 Microsoft