Windowsサービスアカウントのパスワード変更
(プレミアムエディションとエンタープライズエディションでのみ利用可能な機能)

Windowsサービスアカウントは、システムプログラムがアプリケーションソフトウェアサービスやプロセスの実行に使用し、通常、ユーザーアカウントより高い、または必要以上の権限を有しています。これらは実際、重要なビジネスプロセスやサービスを実行する、非常に強力なアカウントです。サードパーティサービス、スケジュール設定したタスクやプロセスの多くは、同サービスアカウントを使用する可能性があり、その結果、相互接続が複雑になります。

一般的に、個別のWindowsドメインアカウントは、ネットワークアクセスが必要な、Windowsサーバーで稼働するサービスのサービスアカウントとして使用されます。Password Manager Proは、特定のドメインアカウントと関連づけられたサービスアカウントを特定することができます。Password Manager Proが管理するドメインアカウントのパスワードを変更する際、その特定のドメインアカウントをサービスアカウントして使用するサービスを探します。ドメインパスワードが変更されるとき、サービスアカウントパスワードは自動的に変更されます。

場合によっては、サービスアカウントのパスワード変更を反映させるため、サービスを再起動する必要があります。Password Manager ProのWindowsサービスアカウントのパスワード変更機能により、高精度且つ完全自動で実現可能となります。

本ドキュメントでは、以下のトピックについて説明します。

  1. Windowsサービスアカウントの変更はどのように機能しますか?
  2. Windowsサービスアカウントのパスワード変更の設定手順
  3. Windowsサービスアカウントのパスワード変更の構成手順
  4. サービスアカウントの状態の表示手順

1.Windowsサービスアカウントの変更はどのように機能しますか?

サービスアカウントの変更が有効化されているすべてのWindowsドメインアカウントで、Password Manager Proは、その特定のドメインアカウントをサービスアカウントとして使用するサービスを探し、このドメインパスワードが変更された場合、そのサービスアカウントのパスワードを自動的に変更します。

2.Windowsサービスアカウントのパスワード変更の設定手順

2.1 前提条件

以下は必須です。

  1. Microsoft .NET framework 4.5.2以降をインストールする必要があります。
  2. Microsoft Visual C++ 2015 Redistributableがインストールされている必要があります。

Windowsサービスアカウントの変更を有効化する前に、以下のサービスが、サービスが実行されているサーバーで有効になっているか確認します。

  1. Windows RPCサービスが有効になっている必要があります。
  2. WMI(Windows Management Instrumentation)サービスが有効になっている必要があります。
  3. Password Manager Proサービスは、ドメイン管理者アカウントで実行する必要があります。

Password Manager Proは、特権アカウント検出プロセス中に、ドメインメンバーのサービスと関連づけられたサービスアカウントを取り込みます(from v8300以降)。Windowsサービスアカウント検出についての詳細は、こちらをクリックしてください。

注記:ドメインアカウントパスワードが変更された場合、

  • ドメイン内ですぐに変更されます。
  • Password Manager Proは、関連づけられたリソースグループで繰り返し、各リソースについて、このドメインアカウントをサービスアカウントして使用するサービスと、スケジュール設定したタスクの一覧を探します。
  • Password Manager Proは、ドメイン管理者の認証情報を使用してサーバーにログインし、サービスアカウントのパスワードとスケジュール設定したタスクのパスワードも強制的に変更し、サービスを再起動します。

3.Windowsサービスアカウントのパスワード変更の構成手順

  1. [リソース]タブに移動し、WindowsDomainリソース[リソースアクションアイコンをクリックします。
  2. [パスワード変更用の資格情報を設定]をドロップダウンから選択します。
    windows_service_account_reset1
  3. 表示されるポップアップフォームで、管理者アカウントとしてドメイン管理者アカウントを選択します。
  4. [保存]をクリックします。
    windows_service_account_reset2
  5. WindowsDomainリソース名をクリックします。開いたUIで、サービスアカウントの[アカウントアクション]アイコンをクリックし、[アカウントを編集]をドロップダウンから選択します。
    windows_service_account_reset3
  6. 表示されるポップアップフォームで、希望のグループを右側のボックスに移動し、このサービスアカウントのリソースグループを関連づけます。
  7. また、パスワードの更新後すぐに、Windowsサービスアカウントを再起動するようにしたい場合は、[再起動]オプションにチェックを入れます。
    windows_service_account_reset4
  8. WindowsDomainのリソースに追加したサービスアカウントのチェックボックスにチェックを入れ、[保存]をクリックします。
  9. アカウントを選択し、[サービスアカウント]>[サポートされるサービスアカウント]の順にクリックします。ここに、このドメインアカウントをログオンアカウントとして使用するサービスが一覧表示されます。パスワードを変更すると、リモートマシンで実行しているサービスでも変更されます。

    注記: ドメインアカウントの変更中に、サービスを停止および起動する必要がある場合があります。そのような場合、[一般設定]で、サービスの停止と開始の間に、Password Manager Proを指定した時間(秒)待機するように設定できます。

設定手順は以下の通りです。

  1. [管理]>[設定]>[一般設定]の順に移動します。
    admin-page
  2. 開いたUIで、左側のオプションから [パスワード変更] を選択します。
  3. [秒間待機する XX サービスアカウントのパスワード変更後、サービス停止と開始の間に]のチェックボックスにチェックを入れます。
  4. デフォルトでは、Password Manager Proは60秒待機します。必要に応じて時間を設定できます。
  5. [保存]をクリックします。
    windows_service_account_reset6

4.サービスアカウントの状態の表示手順

(Windowsサービスアカウントの変更を有効にしている)全てのWindowsドメインアカウントで、対応するドメインアカウントの変更時に、関連づけられたサービスアカウント、スケジュール設定したタスク、サービスアカウントとスケジュール設定したタスクが変更されたかどうかについのて情報の一覧が表示されます。

この情報を表示する手順は以下の通りです。

  1. [リソース]タブに進み、該当のリソース名をクリックします。
  2. 開いたUIで、サービスアカウントの変更の状態を確認したいドメインアカウントを選択し、アカウント一覧の上部にある[サービスアカウント]ボタンをクリックします。
  3. 開いたダイアログボックスで、[サービスアカウントの状態]タブに切り替えます。

注記:

  1. ドメインアカウントのパスワードを変更する場合は常に、関連づけられたWindowsサービスアカウントも変更されます。ドメインアカウントのローテーションのスケジュールを設定している場合は、サービスアカウントの変更はそのスケジュールに従います。
  2. Windowsサービスアカウントの変更を設定すると、サービスアカウントに関連づけられた、Windowsのスケジュール設定したタスクのパスワードも変更されます。