Windowsサービスアカウントのパスワードリセット

サービスアカウントは、システムプログラムがアプリケーションソフトウェアサービスまたはプロセスの実行に使用し、通常のユーザーアカウントより、高い、またはより強い権限を有しています。これらは実際、重要なビジネスプロセスとサービスを実行する、非常に強力なアカウントです。サードパーティサービスまたはスケジュール設定したタスクあるいはプロセスの多くは、同じサービスアカウントを使用している結果、相互接続が複雑になります。

一般的に、個別のWindows Domainアカウントは、ネットワークアクセスが必要なWindowsサーバーで実行するサービスのサービスアカウントとして使用されます。PAM360は、特定のドメインアカウントと関連づけられたサービスアカウントを識別できます。PAM360で管理するドメインアカウントのパスワードをリセットすると、その到底のドメインアカウントをサービスアカウントとして使用するサービスを特定します。ドメインパスワードが変更されたとき、サービスアカウントパスワードは自動的にリセットされます。

場合によっては、サービスアカウントパスワードリセットを有効にするため、サービスを再起動する必要があります。PAM360のWindowsサービスアカウントのパスワードリセット機能では、これが正確に実現し、完全自動化できます。

本書では、以下のトピックについて説明します:

  1. Windowsサービスアカウントのリセットはどのようなしくみですか?
  2. Windowsサービスアカウントのパスワードリセットをどのようにセットアップしますか?
  3. Windowsサービスアカウントのパスワードリセットの構成手順
  4. サービスアカウントステータスの表示手順

1.Windowsサービスアカウントのリセットはどのようなしくみですか?

サービスアカウントリセットが有効なすべてのWindows Domainアカウントでは、PAM360は、その特定のドメインアカウントをサービスアカウントとして使用するサービスを特定し、このドメインパスワードが変更された場合にそのサービスアカウントパスワードを自動的にリセットします。

2.Windowsサービスアカウントのパスワードリセットをどのようにセットアップしますか?

2.1 前提条件

  1. Microsoft .NET framework 4.5.2以降をインストールする必要があります。
  2. Microsoft Visual C++ 2015再頒布がインストールされている必要があります。
Windowsサービスアカウントリセットを有効にする前に、以下のサービスが、依拠サービスが実行されているサーバーで有効になっているか確認します:
  1. Windows RPCサービスが有効になっている必要があります。
  2. WWMI(indows Management Instrumentation)サービスが有効になっている必要があります。
  3. PAM360サービスは、ドメイン管理者アカウントで実行する必要があります。

PAM360は、特権アカウント検出プロセス中、ドメインメンバーのサービスと関連づけられたサービスアカウントを(v8300以上)から取り込みます。サービスアカウント検出についての詳細は、ここをクリックしてください。

注記:次に、ドメインアカウントパスワードがリセットされた場合、

  • ドメイン内ですぐに修正されます。
  • PAM360は、関連づけられたリソースグループで反復し、各リソースについて、このドメインアカウントをそのサービスアカウントとして使用するサービスおよびスケジュール設定されたタスクのリストを特定します。
  • PAM360は、ドメイン管理者認証情報を使って、サーバーに朗吟し、サービスアカウントパスワードとスケジュール設定されたタスクパスワードも強制修正し、サービスを再起動します。

3.Windowsサービスアカウントのパスワードリセットの構成手順

  1. [リソース]タブに移動し、WindowsDomainリソースについて[リソース操作]アイコンをクリックします。
  2. [リモートパスワードリセットを構成]をドロップダウンから選択します。
    windows_service_account_reset
  3. 表示されるポップアップフォームで、このリソースのアカウントまたは他のリソースを使って構成するかを選択します。
    1. このリソースのアカウントを使って構成を選択する場合、[管理者アカウント]を選択します。
    2. 他のリソース のアカウントを使って構成を選択する場合、リソース名管理者アカウントを選択します。
  4. [保存]をクリックします。
  5. WindowsDomainリソース名をクリックします。開いたUIで、サービスアカウントについて[アカウント操作]アイコンをクリックし、[アカウントを編集] をドロップダウンから選択します。
    windows_service_account_reset
  6. 表示されるポップアップフォームで、希望のグループを矢印を使って右側の他のボックスに移動し、このサービスアカウントにリソースグループを関連づけます。
  7. また、PAM360でWindowsサービスアカウントを、パスワード更新後すぐに再起動する場合は、再起動オプションにチェックを入れます。
    windows_service_account_reset
  8. Windows Domainリソースに追加したサービスアカウントのチェックボックスにチェックを入れ、[保存]をクリックします。
  9. アカウントを選択し、[サービスアカウント] >> [サポートされているサービスアカウント]の順にクリックします。ここに、このドメインアカウントをアカウントのログとして使用するサービスが一覧表示されます。パスワードをリセットすると、リモートマシンでも実行しているサービスで使用するアカウントについて更新されます。

    10. 注記:場合によっては、ドメインアカウントのリセット中にサービスを停止および起動する要件があります。そのような場合、全般設定から、PAM360をサービスの開始と終了の間の指定時間(秒単位)待機するように構成できます。

これを構成するには、

  1. [管理者] >> [設定] >> [全般設定]の順に移動します。
    windows_service_account_reset
  2. 開いたUIで、左側のオプションから [パスワードリセット] を選択します。
  3. チェックボックス[サービスの停止と起動の間で指定時間待(秒単位)待機]にチェックを入れます。
  4. デフォルトでは、PAM360は、60秒間待機します。時間は必要に合わせて構成できます。
  5. [保存]をクリックします。

4.サービスアカウントステータスの表示手順

Windows Domainアカウント(Windowsサービスアカウントのリセットを有効にしている)について、関連づけられたサービスアカウント、スケジュール設定したタスクと、サービスアカウントとスケジュール設定したタスクを対応するドメインアカウントのリセット時にリセットしたかどうかについのて情報のリストが表示されます。

この情報を表示するには、

  1. [リソース]タブに進み、そのリソース名をクリックします。
  2. 開いたUIで、サービスアカウントリセットのステータスを確認するリソースのドメインアカウントを選択し、アカウントのリスト上部の[サービビスアカウント]ボタンをクリックします。
  3. 開いたダイアログボックスで、[サービスアカウントのステータス]タブに切り替えます。

    4. メモ:

    1. ドメインアカウントのパスワードを変更する場合は常に、関連づけられたWindowsサービスアカウントも変更されます。ドメインアカウント回転のスケジュールを作成した場合、サービスアカウントのリセットはそのスケジュールに従います。
    2. Windowsサービスアカウントのリセットを作成したら、サービスアカウントに関連づけられたWindowsでスケジュール設定したタスクのパスワードもリセットされます。