付録 F: Active Directory の Domain Admins グループをセキュリティで保護する

• 適用対象:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

付録 F: Active Directory の Domain Admins グループをセキュリティで保護する

エンタープライズ管理グループと同様に、ドメイン管理グループのメンバーシップは、構築またはディザスター リカバリーのシナリオでのみ必要です。 「付録D:Active Directory の組み込み管理者アカウントの保護」で説明されているように保護されている場合は、ドメインのローカル管理者アカウントを除き、DAグループに日常のユーザーアカウントは設定しないでください。

ドメイン管理者は、既定では、それぞれのドメイン内のすべてのメンバーサーバーおよびワークステーションのローカル管理者グループのメンバーとなります。 この既定の入れ子は、サポートとディザスター リカバリーのために変更することはできません。 ドメイン管理者グループがメンバサーバー上のローカルの管理者グループから削除された場合は、リンクされたGPOの制限されたグループ設定を使用して、ドメイン内の各メンバ サーバーおよびワークステーションの管理者グループに追加する必要があります。 各ドメインの Domain Admins グループは、以下の手順に従ってセキュリティで保護する必要があります。

フォレスト内の各ドメインのドメイン 管理者グループの場合:

1. 「付録 D: Active Directory の組み込み管理者アカウントをセキュリティで保護する」の説明に従って保護されている場合は、ドメインの組み込み管理者アカウントを除き、DA グループからすべてのメンバーを削除します。

2. 各ドメインのメンバー サーバーとワークステーションを含む OU にリンクされている GPO では、Enterprise Admins グループをComputer Configuration\Policies\ Windows 設定 \Security 設定 \Local の権限の割り当ての次のユーザー権利に追加する必要があります:

   • ネットワークからこのコンピューターへのアクセスを拒否

   • バッチ ジョブとしてのログオン権限を拒否する

   • サービスとしてのログオン権限を拒否する

   • ローカルでのログオンを拒否する

   • リモート デスクトップ サービスを使ったログオンを拒否

3. DA グループのプロパティまたはメンバーシップが変更された場合にアラートを送信するように、監査を構成する必要があります。

Enterprise Admins グループからすべてのメンバーを削除するための詳細な手順

1. Server Manager で、[ツール] をクリックし、[Active Directory のユーザーとコンピューター] をクリックします。

2. DA グループからすべてのメンバーを削除するには、次の手順に従います:

   1. Domain Admins グループをダブルクリックし、[ メンバー] タブ をクリック します。

      

   2. グループのメンバーを選択し、[削除] をクリックし、[はい] をクリックして、[OK] を クリックします。

3. EA グループのすべてのメンバーが削除されるまで、手順 2 を繰り返します。

Active Directory で Enterprise 管理者をセキュリティで保護するための詳細な手順

1. サーバー マネージャーで [ツール] をクリックし、[グループ ポリシーの管理] をクリックします。

2. コンソール ツリーで <Forest>\Domains\<Domain> を展開し、[グループ ポリシー オブジェクト] に移動します (ここで、<Forest> はフォレストの名前、<Domain> は、グループ ポリシーを設定するドメインの名前です)。

3. コンソール ツリーで、 [グループ ポリシー オブジェクト] を右クリックし、[新規] をクリックします。

   

4. [新規 GPO]ダイアログボックスに <GPO 名>を入力して [OK] をクリックします (このとき <GPO 名>は、この GPO の名前です)。

   

5. 詳細ペインで <GPO 名> を右クリックし、[編集] をクリックします。

6. Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies に移動し、[ユーザー権限の割り当て] をクリックします。

   

7. 次の手順を実行して、Enterprise Admins グループのメンバーがネットワーク経由でメンバー サーバーおよびワークステーションにアクセスできないようにするには、ユーザーの権限を構成します:

   1. [ネットワーク経由のアクセスを拒否] をダブルクリックし、[これらのポリシーの設定を定義する] を選択します。

   2. [ユーザーまたはグループの追加] をクリックし、[参照] を クリックします。

   3. 「 Domain Admins」と入力し、[ 名前の確認] をクリックして、[OK] を クリックします。

      

   4. [OK] をクリックし、もう一度 [OK] をクリックします。

8. 次の手順を実行して、Enterprise Admins グループのメンバーがバッチ ジョブとしてログオンしないようにユーザーの権限を構成します:

   1. [バッチ ジョブとしてのログオンを拒否] をダブルクリックし、[これらのポリシーの設定を定義する] を選択します。

   2. [ユーザーまたはグループの追加] をクリックし、[参照] を クリックします。

   3. 「 Domain Admins」と入力し、[ 名前の確認] をクリックして、[OK] を クリックします。

      

   4. [OK] をクリックし、もう一度 [OK] をクリックします。

9. EA グループのメンバーがサービスとしてログオンできないようにするには、次の手順を実行してユーザーの権限を構成します:

   1. [サービスとしてのログオンを拒否] をダブルクリックし、[これらのポリシーの設定を定義する] を選択します。

   2. [ユーザーまたはグループの追加] をクリックし、[参照] を クリックします。

   3. 「 Domain Admins」と入力し、[ 名前の確認] をクリックして、[OK] を クリックします。

      

   4. [OK] をクリックし、もう一度 [OK] をクリックします。

10. 次の手順を実行して、Enterprise Admins グループのメンバーがメンバー サーバーおよびワークステーションにログオンできないようにユーザーの権限を構成します:

    1. [ローカルでのログを拒否する] をダブルクリックし、[これらのポリシー設定を定義する] を選択します。

    2. [ユーザーまたはグループの追加] をクリックし、[参照] を クリックします。

    3. 「 Domain Admins」と入力し、[ 名前の確認] をクリックして、[OK] を クリックします。

       

    4. [OK] をクリックし、もう一度 [OK] をクリックします。

11. 次の手順を実行して、Enterprise Admins グループのメンバーがリモート デスクトップ サービス経由でメンバー サーバーおよびワークステーションにアクセスできないようにするには、ユーザーの権限を構成します:

    1. [リモート デスクトップ サービスを使ったログオンを拒否] をダブルクリックし、[これらのポリシーの設定を定義する] を選択します。

    2. [ユーザーまたはグループの追加] をクリックし、[参照] を クリックします。

    3. 「 Domain Admins」と入力し、[ 名前の確認] をクリックして、[OK] を クリックします。

       

    4. [OK] をクリックし、もう一度 [OK] をクリックします。

12. グループ ポリシー管理エディターを終了するには、[ファイル] をクリックし、[終了]を クリックします。

13. [グループ ポリシー管理]で、次の手順に従って、メンバー サーバーとワークステーションの OU に GPO をリンクします:

    1. <Forest>\Domains\<Domain> に移動します (ここで <Forest> はフォレストの名前、<Domain> はフォレストを設定するドメインの名前グループ ポリシー)。

    2. GPO を適用する OU を右クリックし、[既存の GPO へのリンクを作成] をクリックします。

       

    3. 作成した GPO を選択し、[OK] をクリックします。

       

    4. ワークステーションを含む他のすべての OU へのリンクを作成します。

    5. メンバー サーバーを含む他のすべての OU へのリンクを作成します。

       重要

       ジャンプ サーバーを使用してドメイン コントローラーと Active Directory を管理する場合は、ジャンプ サーバーが、この GPO がリンクされていない OU に存在する必要があります。

検証手順

[ネットワーク経由のアクセスを拒否] GPO 設定を確認する

GPO の変更 (「ジャンプ サーバー」など) の影響を受けないメンバー サーバーまたはワークステーションから、GPO の変更の影響を受けるネットワーク経由でメンバー サーバーまたはワークステーションへのアクセスを試みてください。 GPO 設定を確認するには、NET USE コマンドを使用して、システム ドライブ のマッピングを試みます。

1. Domain Admins グループのメンバーであるアカウントを使用していることを確認します。

2. マウスを使用して、画面の右上または右下の隅にポインターを移動します。 [チャーム] バーが表示されたら、[検索] をクリックします。

3. [検索] ボックスに「コマンド プロンプト」と入力して、[コマンド プロンプト] を右クリックし、[管理者として実行] をクリックすると、管理者特権でのコマンド プロンプトが開きます。

4. 管理者特権の承認を求めるメッセージが表示されたら、[はい] を クリックします。

   

5. コマンド プロンプト ウィンドウで、「net use \\<Server Name>\c$」と入力します。このとき <Server Name> は、ネットワークを使用してアクセスしようとするメンバー サーバーまたはワークステーションの名前です。

6. 次のスクリーンショットは、表示されるエラー メッセージを示しています。

   

「バッチ ジョブとしてログオンを拒否する」GPO 設定を確認

GPO の変更の影響を受けるメンバー サーバーまたはワークステーションから、ローカルでログオンします。

バッチ ファイルを作成する

1. マウスを使用して、ポインターを画面の右上隅または右下隅に移動します。 チャーム バーが表示されたら、[検索] をクリックします。

2. [検索] ボックスに「notepad」と入力し、[メモ帳] をクリックします。

3. メモ帳に「dir c:」と入力します。

4. [ファイル] をクリックして、 [名前を付けて保存] をクリックします。

5. [ファイル名] ボックスに「 <Filename>.bat」と入力します (ここで <Filename> は新しいバッチ ファイルの名前です)。

タスクをスケジュールする

1. マウスを使用して、ポインターを画面の右上隅または右下隅に移動します。 チャーム バーが表示されたら、[検索] をクリックします。

2. [検索] ボックスに「task scheduler」と入力し、[タスク スケジューラ] をクリックします。

   注意

   Windows 8 が実行されているコンピューターで [検索] ボックスに「タスクのスケジュール」と入力し、[タスクのスケジュール] をクリックします。

3. メニュー バーの タスク スケジューラ [ アクション ] をクリックし、[ タスクの作成] をクリックします。

4. [タスクの作成] ダイアログ ボックスで、「 <Task Name>」と入力します (ここで b<Task Name> は新しいタスクの名前です)。

5. [操作] タブをクリックし、[新規] をクリックします。

6. [アクション] フィールドで 、[プログラムの開始] を選択します。

7. [プログラム/スクリプト] の [参照] をクリックし、[バッチ ファイルの作成] セクションで作成したバッチ ファイルを見つけて選択し、[開く] をクリックします。

8. [OK] をクリックします。

9. [General] タブをクリックします。

10. [セキュリティ オプション] の [ユーザーまたは グループの変更] をクリックします。

11. EA グループのメンバーであるアカウントの名前を入力し、[名前の確認] をクリックして、[OK] をクリックします。

12. [ユーザーがログオンしているかどうかを実行する] を選択し、[ パスワードを保存しない] を選択します。 タスクは、ローカル コンピューター リソースにのみアクセスできます。

13. [OK] をクリックします。

14. タスクを実行するためのユーザー アカウント資格情報を求めるダイアログ ボックスが表示されます。

15. 資格情報を入力した後、[OK] を クリックします。

16. 次のようなダイアログ ボックスが表示されます。

    

「サービスとしてのログオンを拒否する」GPO 設定を確認

1. GPO の変更の影響を受けるメンバー サーバーまたはワークステーションから、ローカルでログオンします。

2. マウスを使用して、画面の右上または右下の隅にポインターを移動します。 [チャーム] バーが表示されたら、[検索] をクリックします。

3. [検索] ボックスに 「services」と入力し、[サービス] をクリックします。

4. 印刷スプーラーを見つけてダブルクリックします。

5. [ログオン] タブをクリックします。

6. [ログオン ] で[このアカウント] オプションを選択 します。

7. [ブラウズ]をクリックして、EA グループのメンバーであるアカウントの名前を入力し、[名前の確認] をクリックして、[OK] をクリックします。

8. [パスワード: ] と[パスワードの確認] で、選択したアカウントのパスワードを入力し、[OK] をクリックします。

9. さらに 3 回、[OK] をクリックします。

10. [印刷スプーラー] を右クリックし、[再開] をクリックします。

11. サービスが再開されると、次のようなダイアログ ボックスが表示されます。

    

プリンター スプーラー サービスへの変更を元に戻す

1. GPO の変更の影響を受けるメンバー サーバーまたはワークステーションから、ローカルでログオンします。

2. マウスを使用して、画面の右上または右下の隅にポインターを移動します。 [チャーム] バーが表示されたら、[検索] をクリックします。

3. [検索] ボックスに 「services」と入力し、[サービス] をクリックします。

4. 印刷スプーラーを見つけてダブルクリックします。

5. [ログオン] タブをクリックします。

6. 次のアカウントでログオン で、ローカル システム アカウント を選択し、OK をクリックします。

「ローカルでログオンを拒否する」 GPO 設定を確認

1. GPO の変更の影響を受けるメンバー サーバーまたはワークステーションから、EA グループのメンバーであるアカウントを使用してローカルでログオンを試みてください。 次のようなダイアログ ボックスが表示されます。

   

[リモート デスクトップ サービスを使ったログオンを拒否] GPO 設定の検証

1. マウスを使用して、ポインターを画面の右上隅または右下隅に移動します。 チャーム バーが表示されたら、[検索] をクリックします。

2. [検索] ボックスに「リモート デスクトップ接続」と入力し、[リモート デスクトップ接続] をクリックします。

3. [コンピューター] フィールドに接続先コンピューターの名前を入力し、[接続] をクリックします。 (コンピューター名の代わりに IP アドレスを入力することもできます。)

4. プロンプトが表示されたら、EA グループのメンバーであるアカウントの資格情報を指定します。

5. 次のようなダイアログ ボックスが表示されます。