Windowsサービス アカウントのパスワード リセット
(この機能は、Enterprise Editionでのみサポートされています。)
Windowsサービス アカウントは、アプリケーション ソフトウェア サービスやプロセスを実行するシステムプログラムにより使用され、通常のユーザー アカウントよりも高い権限を有します。クリティカルなビジネス プロセスやサービスを実行するための強力なアカウントです。多くのサードパーティ サービス、スケジュール タスク、またはプロセスが同じサービス アカウントを使用しているので、複雑な相互関係となっています。
通常は、特定のWindowsドメイン アカウントがWindowsサーバーで稼働するサービスアカウントとして利用され、ネットワーク接続を必要としています。Password Manager Proは、特定のドメイン アカウントと関連付けられたサービス アカウントを識別することができます。Password Manager Proが管理しているドメイン アカウントのパスワードをリセットする際、そのドメインアカウトをサービスアカウントとして使用しているサービスを特定します。ドメイン パスワードが変更されると、自動的にサービス アカウントのパスワードをリセットします。
サービス アカウントのパスワード リセットを行った後、変更を適用するためにサービスの再起動が必要な場合があります。PMPによるWindowsサービス アカウントのパスワード リセット機能は、これらの操作を完全自動化されています。
Windowsサービス アカウント リセットの運用例
サービス アカウント リセットが有効化されたすべてのWindowsドメイン アカウントに対し、PMPはサービス アカウントとしてドメイン アカウントを使用するサービスを特定し、ドメインパスワードが変更された際に自動的にサービス アカウントのパスワードをリセットします。
Windowsサービス アカウントのパスワード リセット方法
必要条件:Windowsサービス アカウント リセットを行う前に、依存関係のあるサービスが稼働するサーバーで、次のサービスが有効化されていることを確認します;
(1) Windows RPCサービスが有効であること
(2) Windows Management Instrumentation (WMI)サービスが有効であること
ワークフロー概要:Windowsサービス アカウントパスワードの設定とスケジュール タスクによるパスワード リセット
例;
- サービス アカウント "SA1" が存在します。
- "SA1"を利用する4台のサーバー "Win1"、"Win2"、"Win3"、"Win4" が存在します。
- "SA1" は、ドメイン名 "MyDomain" に所属します。
- ドメイン管理者のアカウント名は "DomainAdmin"です。
Windowsサービス アカウント リセットを有効にするには、次の操作を行います;
- サービス アカウントを利用するWindowsリソースをサーバー上に作成します。上記の例においては、"Win1"、"Win2"、"Win3"、"Win4" をリソース種別 "Windows" で作成します。(サービス アカウントが複数のドメインにまたがって存在する場合、PMPはローカル管理者のアカウントを使用してログインします。そのため、複数ドメインのサービス アカウントのパスワード リセットを行う場合には、リソース作成時にローカル管理者のアカウントを入力します。)
- 上記のWindowsリソースをすべて含むリソース グループ、"RG1" を作成します。
- "Windowsドメイン"のリソースを作成します。上記の例では、ドメイン名は "MyDomain" で、リソース種別として "Windowsドメイン" を選択します。
- 個別のドメイン アカウントを追加します。上記の例では、ドメイン アカウントとして "SA1" を追加します。
- サービス アカウントとして使用するドメイン アカウントのリソースを含むリソース グループを指定します。上記の例では、"SA1"と"RG1" を関連付けます。
- ドメイン管理者アカウントを指定します。上記の例では、"DomainAdmin" になります。これはサービス アカウントのパスワード リセットを行うために必要です。
メモ:上記手順は自動化され、PMPは、特権アカウントの検出プロセス中にドメインメンバー(v8300以上)上でサービスに関連したサービスアカウントを取得します。
ドメイン アカウントのパスワードをリセットする際には;
- 変更はドメイン上でただちに行われます。
- PMPは、関連するリソース グループを順に処理し、各リソース毎にサービスアカウントとしてドメイン アカウントを使用するサービスとスケジュールタスクの一覧を表示させます。
- PMPはドメイン管理者の資格情報を使用してサーバーにログインし、強制的にサービス アカウントのパスワードとスケジュール タスクのパスワードを変更します。そして、サービスを再起動します。
Windowsサービス アカウントのパスワード リセット設定方法
- ドメイン コントローラをリソース種別 "Windowsドメイン"として追加します。追加する際にはDNS名とドメイン名を必ず入力します。
- ドメイン管理者アカウントをこの"Windowsドメイン"リソースに追加します。
- この"Windowsドメイン"リソースへのログオン用のアカウントとして使用するサービス アカウントを追加します。
- 各サービスが動作しているマシンをリソース種別、"Windows"として追加します。
- すべてのWindowsリソースを含むリソース グループを作成します。例:Service Account Group
- Windowsドメイン リソースに対するリソースアクションアイコンをクリック、[パスワード変更用の資格情報を設定]を選択します。
- 表示されるポップアップフォームで、「管理者アカウント」としてDomain Adminアカウントを選択します。
- 保存をクリックします。
- WindowsDomainリソースをクリックします。表示されるUI で、サービスアカウントに対して[ アカウントアクション ]アイコンをクリックし、ドロップダウンから[アカウント編集]を選択します。
- ポップアップ画面が表示されたら、目的のグループを右側の他のボックスに移動して、このサービスアカウントのリソースグループを関連付けます。
- また、Password Manager Proでパスワードが更新された直後にWindowsサービスアカウントを再起動する場合は、[再起動]オプションをオンにします。
- [Windowsドメイン]リソースに追加したサービスアカウントのチェックボックスをオンにして、[サービスアカウント]タブをクリックし、[サポートされているサービスアカウント]タブを選択します。このサービスアカウントをログオンアカウントとして使用するサービスが一覧表示されます。パスワードをリセットすると、パスワードはリモートマシンで実行中のサービスでもリセットされます。
設定するには、
- 管理>> セットアップ >> 一般設定に移動します。
- 表示されたUIで、左側のオプションからパスワード変更を選択します。
- サービス アカウントのパスワード変更後、サービスの停止から開始まで 〇秒間待つチェックボックスをクリックします。
- デフォルトでは、Password Manager Proは60秒間待機します。必要に応じて設定することができます。
- 保存をクリックします。
サービス アカウントのステータスを表示
Windowsサービス アカウント リセットを有効にしたすべてのWindowsドメイン アカウントにおいて、関連付けられたサービス アカウント、スケジュール タスクの情報や、関連するドメイン アカウントのリセットに伴い、サービス アカウント/スケジュール タスクがリセットされたかどうかを確認することができます。
情報を表示するには;
- [リソース]タブを開き、リソース名をクリックします。
- サービス アカウント リセットの情報を表示するリソースのドメイン アカウントを選択します。
- [サービス アカウントの状態]をクリックします。
重要メモ
(1) ドメイン アカウントのパスワードを変更すると、関連付けられたWindowsサービス アカウントも同時に変更されます。 ドメイン アカウントのローテーション スケジュール を設定している場合、サービス アカウントのリセットもスケジュールに従います。
(2) Windowsサービス アカウントのリセットを行うと、サービス アカウントに関連付けられたWindowsスケジュール タスクもリセットされます。