IIS AppPoolアカウントパスワードリセット

通常、Windows Domainアカウントは、IIS Apppoolを実行するアイデンティティとして使用します。ドメインアカウントのパスワードがドメインコントローラーで変更されると、Webアプリケーションを支障なく実行するため、新しいパスワードを関連づけられたすべてのアプリプールで個別に更新する必要があります。さまざまなアプリプールを実行するのに使用する各ドメインアカウントについて、すべてのパスワード変更を手動で有効にするのは、IT管理者にとって手間のかかる作業です。

PAM360は、PAM360に保存されている個別Windows Domainアカウントを使って実行するIIS apppoolを特定することができます。PAM360に保存されているドメインアカウントのパスワードをリセットするとき、その特定ドメインアカウントを使って実行するアプリプールを探し出汁、ドメインアカウントパスワードがリセットされた後、アプリツールアイデンティティでも変更が自動更新されます。

アプリプールアカウントをPAM360に追加し、関連づけられたパスワードリセットを行うには、GUIで以下の手順を実行します:

手順のサマリ

  1. ドメインコントローラーをリソースとして追加
  2. ドメインメンバーサーバーを新しいリソースとして追加およびリソースグループを作成
  3. IIS AppPoolの実行に使用するドメインアカウントを追加
  4. IIS AppPool Accountアカウントにリモートパスワードを構成
  5. IIS AppPool Accountアカウントにリソースグループを関連づける
  6. サポートされているIIS AppPoolアカウントを認証
  7. パスワードの変更

メモ:ユースケースの説明

手続きを簡単に理解できるように、手順では、以下の参照を使用しています:

  • ドメイン コントローラーは DC1 です。
  • Windows Domain名はPAM360DCです。
  • ドメイン管理者のアカウントは DA1 です。
  • アプリ プール アカウントは A1 と A2 です。
  • アプリプールアカウントA1を使用するドメインメンバーサーバーは、Win1、Win2、Win3、およびWin4です。
  • リソース グループは RG1 で、Win1、Win2、Win3、Win4 で構成されます。

1.ドメインコントローラーをリソースとして追加

  1. [リソース]タブに移動します。
  2. リソースを追加]ボタンをクリックし、[手動で追加]をドロップダウンから選択します。
  3. 開いたポップアップで、ドメインコントローラー-DC1をリソースタイプをWindows Domainとする新しいリソースとして追加します。
  4. NETBIOS名 - PAM360DCをドメイン名フィールドに大文字で入力します。
  5. DNS等の他の詳細を入力します。
  6. [保存して続行]をクリックします。
    iis-account-reset

2.ドメイン管理者アカウントとIIS AppPoolアカウントを追加します。

  1. [リソース]タブに移動します。
  2. 新しく追加したリソースについて[リソース操作]アイコンをクリックし、[アカウントを追加]をドロップダウンリストから選択します。
    iis-account-reset
  3. 開いたポップアップで、ドメイン管理者アカウントDA1を追加し、[追加]をクリックします。
  4. 次に、引き続きアプリプールアカウントをA1、A2を同じように追加します。完了したら、[保存]をクリックします。

3.ドメインメンバーサーバーを新しいリソースとして追加およびリソースグループを作成

ドメインの他のメンバーサーバー - Win1、Win2、Win3、およびWin4を上の説明と同様に、新しいリソースとして引き続き追加します。

  1. [リソース]タブに移動します。
  2. [リソースを追加]ボタンをクリックして、メンバーサーバーを各ローカルアカウントとあわせて追加します。
  3. [グループ]タブに進み、[グループを追加]ボタンをクリックして、[ダイナミックグループ]をドロップダウンから選択します。
  4. 開いたポップアップフォームで、グループにRG1の名前を付け、[以下のいずれかと一致]を選択します。Win1、Win2、Win3、およびWin4を選択します。
  5. [保存]をクリックします。
    iis-account-reset

代替手順:リソースと関連づけられたアカウントの自動検出

手順3で説明した手動追加の代わりに、下の手順にしたがって、ドメインの中で必要なリソースとグループを検出することもできます。:

  1. [リソース]タブに移動します。
  2. リソースタブにある[リソースを検出]を選択します。
  3. ドメイン詳細(PAM360DC)をWindows画面に入力し、[グループとOUを取り込む].をクリックします。
  4. 列挙されたリストから、インポートするグループまたはOUを選択します。
  5. [インポート]をクリックします。これで、グループ/OUが取り込まれ、この場合は、グループ,に一覧表示されます。
  6. インポートされたグループ/OU のメンバー サーバーも、それぞれのローカル アカウントとともにリソースの下に個別に一覧表示されます。

4.IIS AppPoolアカウントにリモートパスワードリセットを構成します。.

手順3で説明した手動追加の代わりに、下の手順にしたがって、ドメインの中で必要なリソースとグループを検出することもできます。:

  1. [リソース]タブに移動します。
  2. Windows DomainDC1リソースについて[リソース操作]アイコンをクリックし、[パスワードリセットを構成]をドロップダウンから選択します。
    iis-account-reset
  3. 表示されるポップアップで、「ドメイン管理者」(DC1)アカウントを管理者アカウントに選択します。
  4. [保存]をクリックします。
    iis-account-reset

5.IIS AppPool Accountアカウントにリソースグループを関連づける

  1. Windows DomainDC1リソース名をクリックします。
    iis-account-reset
  2. 開いたUIで、AppPoolアカウントについて[アカウント操作]アイコンをクリックし(この場合はM1) 、次に、[アカウントを編集]をドロップダウンから選択します。
    iis-account-reset
  3. 表示されるポップアップフォームで、このサービスアカウントのリソースグループを他のボックスに移動して、関連づえkます。
  4. PAM360で、apppoolを更新直後に再起動する場合は、[IIS AppPoolを再起動]にチェックを入れます。
  5. [保存]をクリックします。

6.サポートされているIIS AppPoolアカウントを認証

  1. Windows DomainDC1リソース名をクリックします。
  2. appPoolアカウントM1を選択し、[IIS AppPool]ボタンをクリックします。
  3. 表示されるポップアップフォームで、[サポートされているIIS AppPoolアカウント][今すぐ取り込む]をクリックします。
  4. PAM360が各apppoolアカウントでサーバーで実行されているすべてのapppoolをスキャンおよび一覧表示します。リストを確認して、[OK]を押します。

注記:この手順は、apppoolアカウントがどこで使用されている課をチェックする検証が目的です。これは必須ではありません。

7.パスワードの変更

  1. WindowsDomain DC1リソース名をクリックします。
  2. apppoolアカウントM1について、アカウント操作アイコンをクリックし、次に、[パスワードを変更]をドロップダウンから選択します。
  3. 表示されるポップアップフォームで、新しいパスワードを入力するか、生成します。[リモートリソースにパスワード変更を敵機用]を有効にしていることを確認します。
  4. [保存]をクリックします。PAM360は、初めに、ドメインのパスワードをすぐにリセットし、M1がapppoolの実行に使用されるすべてのサーバーで新しいパスワードを自動更新します。

IIS AppPoolアカウントに定期パスワードリセットをスケジュール設定する追加手順

前述の手順は、要求があったときにいつでもアプリプールアカウントにパスワードリセットを実行するのに十分です。定期的に自動パスワードリセットを構成する場合は、下の追加手順を実行します:

apppoolアカウントについてスケジュール設定されたパスワードリセットを構成するには、

  1. 初めに、リソースグループが、必要なapppoolアカウントすべてで構成され、作成されている必要があります。
  2. リソースグループについて[操作]アイコンをクリックし、[スケジュール設定されたパスワードリセット]をドロップダウンから選択します。
  3. 必要なスケジュールを作成できる4つの手順プロセスある、ポップアップフォームが開きます。手順は次の通りです:

手順1:事前通知

パスワードが特定時刻にリセットされるようにスケジュール設定されている場合、通知を予め送信し、リセット操作を事前予告することができます。

通知を送信するには、

  1. 通知を送信するまでの日数および/または時間および/または分を選択します。
  2. 通知の受信者リストを指定することもできます。
  3. パスワードにアクセスするユーザー - パスワードの共有許可(読取専用/読取と書込み/管理)の1つを通知が生成される時刻に所有するユーザー。
  4. 他のユーザー/ユーザーグループ - リストから選択する他の個別ユーザー。
  5. メールId - メールエイリアスまたはメールアドレスの指定リストに通知を生成します。
  6. [次へ]をクリックします。

手順2:新しいパスワードを指定

  1. スケジュール設定されたタスクの実行中、リソースに使用する新しいパスワードを指定するオプションがあります。
  2. 使用する新しいパスワードを指定するには、任意に生成された一意のパスワードを、グループについて設定されたパスワードポリシーにしたがってアカウントに割り当てるオプションを使うか、グループにすでに指定されたパスワードポリシーにしたがって、新しいパスワードをすべてのリソースに割り当てることができます。
  3. また、同じパスワードをすべてのユーザーアカウントに割り当てることもできます。ただし、パスワードは、すべてのスケジュールに変更されます。
  4. 必要な選択肢を選択して、[次へ]をクリックします。

手順3:リセットスケジュールを指定

パスワードリセット用のスケジュールの実際作成は、この手順で指定します。リセットは、一回限り実行するか、定期間隔で繰り返すことができます。

リセットスケジュールを指定する:

  1. オプション - 一回限り/日数/毎月/しないから選択し、他の必要な詳細を指定します。
  2. [次へ]をクリックします。

手順4:リセット後通知

パスワードリセットスケジュール設定が完了した後、リセット完了の通知を、パスワードにアクセスできる全員に送信できます。

通知を送信するには、

  1. 通知する受信者を指定します。
  2. パスワードにアクセスするユーザー - パスワードの共有許可(読取専用/読取と書込み/管理)の1つを通知が生成される時刻に所有するユーザー。
  3. 他のユーザー/ユーザーグループ - リストから選択する他の個別ユーザー。
  4. メールId - メールエイリアスまたはメールアドレスの指定リストに通知を生成します。
  5. [終了]をクリックします。
  6. 必要なパスワードリセットスケジュールが作成されました。設定は、別のリソースグループへのパスワードリセットスケジュールの構成で使用するためのテンプレートとして保存できます。

これらの手順が完了すると、PAM360は引き続き、定期的にapppoolアカウントパスワードを自動リセットします。