IIS App pool アカウントのパスワード変更

通常、WindowsドメインアカウントはIISアプリケーションプールを実行するためのIDとして使用されます。ドメインコントローラのドメインアカウントのパスワードが変更されるたびに、Webアプリケーションが支障なく実行できるように、関連するすべてのアプリケーションプールで新しいパスワードを個別に更新する必要があります。多数のアプリケーションプールを実行するために使用される各ドメインアカウントで、すべてのパスワード変更を手作業で行うことは、IT管理者にとって退屈な仕事です。

Password Manager Proには、Password Manager Proに格納されている特定のWindowsドメインアカウントを使用して実行されるIISアプリケーションプールを識別する機能があります。Password Manager Proに保存されているドメインアカウントのパスワードをリセットすると、特定のドメインアカウントを使用して実行されるアプリケーションプールが検出され、ドメインアカウントのパスワードをリセットした後も自動的にアプリケーションプールIDの変更が更新されます。

Password Manager Proにアプリケーションプールアカウントを追加し、パスワードの自動リセットを実現するには、GUIで次の手順を実行します。

手順の概要

  • ステップ 1: リソースとしてドメインコントローラーを追加
  • ステップ 2: ドメイン管理者アカウントと IIS app poolアカウントを追加
  • ステップ 3: IIS AppPoolを動かせるドメインアカウントを追加
  • ステップ 4: IIS app poolアカウントのためのパスワード変更を設定
  • ステップ 5: IIS app poolアカウントのためのリソースグループの関連付け
  • ステップ 6: IIS app poolアカウントの検証
  • ステップ 7: パスワード変更

重要メモ: ユースケース

この手順をより早く理解するために、以下が手順で使用されています:

  • ドメインコントローラー: DC1.
  • Windowsドメイン名: PMPDC.
  • ドメイン管理者名: DA1
  • App pool アカウント:A1 と A2
  • アプリケーションプールアカウントA1を使用するドメインメンバーサーバーは、Win1、Win2、Win3、およびWin4です。
  • リソースグループはRG1で、Win1、Win2、Win3、およびWin4で構成されています。

ステップ 1: リソースとしてドメインコントローラーを追加

  • "リソース"タブに移動します。
  • "リソースを追加"をクリックして、"追加"を選択します。
  • ドメインコントローラーを追加します。- リソース種別WindowsDomainのDC1を新しく追加
  • 'Domain Name'フィールドにNETBIOS名(PMPDC)を大文字で入力します。
  • DNSなどの詳細を入力します。
  • "保存 & 続行"をクリックします。
    • iis-account-reset

ステップ 2: ドメイン管理者アカウントと IIS app poolアカウントを追加

  • "リソース"タブに移動します。
  • 新しく追加したリソースの"リソースアクション" をクリックして、"アカウントの追加"を選択します。
    • iis-account-reset
  • ドメイン管理者アカウントDA1を追加し、[追加]をクリックします。
  • 次に、同じ方法で、アプリケーションプールアカウントA1、A2を追加し続けます。完了したら、[保存]をクリックします。

ステップ 3 - ドメインメンバーサーバーを新しいリソースとして追加し、リソースグループを作成

上で説明したのと同じ方法で、ドメインの他のメンバーサーバー(Win1、Win2、Win3、およびWin4)を新しいリソースとして追加し続けます。

  • "リソース"タブに移動します。
  • "リソースの追加"をクリックして、それぞれのローカルアカウントとともにメンバーサーバーを追加します。
  • 「グループ」タブに移動し、「グループを追加」ボタンをクリックし、ドロップダウンから条件グループを選択します。
  • グルプにRG1という名前を付けて、[次のいずれかに一致]を選択します。Win1、Win2、Win3、およびWin4を選択します。
  • "保存"をクリックします。
    • iis-account-reset

代替 ステップ: リソースと関連するアカウントの自動検出

手順3で説明した手動での追加の代わりに、次の手順に従ってドメイン内の必要なリソースとグループを検出することもできます。

  • "リソース"タブに移動します。
  • リソースリストの上部からディスカバリ―リソース'をクリックします。
  • [ Windows ]画面でドメインの詳細(PMPDC)を入力し、グループとOUの取得をクリックします。
  • 列挙されたリストから、インポートするグループまたはOUを選択します。
  • 'インポート'をします。これにより、グループ/OUが取得されてグループタブにリスト化されます。
  • インポートされたグループ/ OU内のメンバーサーバーは、それぞれのローカルアカウントと共にリソースの下に個別に表示されます。

ステップ 4 - IIS app poolアカウントのためのパスワード変更を設定

手順3で説明した手動での追加の代わりに、次の手順に従ってドメイン内の必要なリソースとグループを検出することもできます。

  • "リソース"タブに移動します。
  • WindowsDomainの"リソースアクション"をクリックします。そして、ドロップダウンからパスワード変更用の資格情報設定を選択します。
    • iis-account-reset
  • 「管理者アカウント」として「ドメイン管理者(DC1)」アカウントを選択します。
  • "保存"をクリックします。
    • iis-account-reset

ステップ 5 - IIS app poolアカウントのためのリソースグループの関連付け

  • WindowsDomain DC1のリソース名をクリックします。
    • iis-account-reset
  • アプリケーションプールアカウント(この場合はM1)に対してアカウントアクションアイコンをクリックし、ドロップダウンからアカウントの編集を選択します。
    • iis-account-reset
  • 他の移動させるサービスアカウントをリソースグループを関連付けます。
  • パスワードが更新された直後にPassword Manager Proでアプリケーションプールを再起動するには 'IIS AppPools再起動'をクリックします。
  • "保存"をクリックします。

ステップ 6 - IIS app poolアカウントの検証

  • WindowsDomain DC1のリソース名をクリックします。
  • AppPoolアカウントM1を選択し、"IIS AppPool"ボタンをクリックします。
  • "Supported IIS App Pool Accounts""今すぐ取得"をクリックします。
  • Password Manager Proは、それぞれのアプリケーションプールアカウントを使用してサーバーで実行されているすべてのアプリケーションプールをスキャンして一覧表示します。リストを見直したら、「OK」を押してください。
重要メモ:このステップは、アプリケーションプールアカウントがどこで使用されているかを確認するための検証目的にのみ使用します。必須ではありません。

ステップ 7 - パスワード変更

  • WindowsDomain DC1のリソース名をクリックします。
  • アプリケーションプールアカウントM1に対して アカウントアクションアイコンをクリックし、ドロップダウンからパスワードの変更を選択します。
  • 新しいパスワードを入力または生成します。「リモートリソースにパスワード変更を適用」を有効にしてください。
  • "保存"をクリックします。 Password Manager Proは、まずドメイン内のパスワードをリセットした後、M1がアプリケーションプールを実行するために使用されるすべてのサーバーで新しいパスワードを自動的に更新します。

IIS App Poolアカウントの定期的なパスワードリセットをスケジュールするための追加手順

前述の手順は、オンデマンドでいつでもアプリプールアカウントのパスワードリセットを実行するのに適しています。自動パスワードリセットを定期的に設定する場合は、以下の追加手順を実行してください。

アプリケーションプールアカウントのスケジュールされたパスワードリセットを設定するには、

  • すべての必要なアプリケーションプールアカウントで構成されるリソースグループを最初に作成する必要があります。
  • リソースグループに対して「アクション」アイコンをクリックし、ドロップダウンから「スケジュールされたパスワードリセット」を選択します。
  • 必要なスケジュールを作成するための4つのステップが表示されます。手順を以下に説明します。

ステップ 1: 事前通知

パスワードが特定の時刻にリセットされるようにスケジュールされている場合、事前にユーザーに通知を送信して、リセット操作時にその旨を伝えることができます。

通知を送信するには、

  • 通知を送信する日数および/または時間および/または分を選択します。
  • 通知する受信者のリストを指定することもできます
  • パスワードにアクセスできるユーザー - 通知が生成された時点で、パスワードの共有権限のいずれか(読み取り専用/読み取りおよび書き込み/管理)を所有しているユーザー
  • その他のユーザー/ユーザーグループ - リストから選択する他の特定のユーザー
  • 電子メール Ids - 電子メールのエイリアスまたは電子メールアドレスの指定されたリストへの通知を生成します
  • "次へ"をクリックします。

ステップ 2: 新しいパスワードを指定する

  • スケジュールされたタスクの実行中にリソースに使用する新しいパスワードを指定するオプションがあります。
  • 使用する新しいパスワードを指定するには、グループに設定されているパスワードポリシーに基づいて、ランダムに生成された一意のパスワードをアカウントに割り当てるか、またはパスワードポリシーに基づいてすべてのリソースに新しいパスワードを割り当てますグループに指定されています。
  • また、スケジュールごとにパスワードが変更されている場合は、すべてのユーザーアカウントに同じパスワードを割り当てることもできます。
  • 希望の選択肢を選択し、「次へ」をクリックします。

ステップ 3: リセットスケジュールを指定する

このステップでは、パスワードリセットのスケジュールの実際の作成が指定されています。リセットは1回行うことも、定期的に繰り返すこともできます。

リセットスケジュールを指定するには

  • 日/月/日オプションから選択し、必要なその他の詳細を指定します。
  • "次へ"をクリックします。

ステップ 4: リセット後の通知

パスワードリセットスケジュールの完了後、リセット完了に関する通知をパスワードにアクセスできるすべてのユーザーに送信できます。

通知を送信するには、

  • 通知の受信者を指定します。
  • パスワードにアクセスできるユーザー - 通知が生成された時点で、パスワードの共有権限のいずれか(読み取り専用/読み取りおよび書き込み/管理)を所有しているユーザー
  • その他のユーザー/ユーザーグループ - リストから選択する他の特定のユーザー
  • 電子メール Ids - 電子メールのエイリアスまたは電子メールアドレスの指定されたリストへの通知を生成します
  • "完了"をクリックします。
  • 必要なパスワードリセットスケジュールが作成されました。この設定は、別のリソースグループのパスワードリセットスケジュールの設定に使用するためのテンプレートとして保存できます。

これらの手順が完了すると、Password Manager Proは定期的にアプリケーションプールアカウントのパスワードを自動的にリセットし続けます。