Windowsサーバーでドメインで複数のユーザーアカウントを管理
複数のWindowsサーバーのユーザーアカウントをドメインで一括管理されていた。
保守作業をする際に当たり前のように使っていたけど、拠点により使えたり使えなかったり。
普段、『どうして?』なんて考えなかった。
にわかに、何でだろうと気になったから、調べてみることにした。
-------▼
参照:https://www.atmarkit.co.jp/ait/articles/1606/22/news024.html
そもそも、セキュリティの上で本番サーバーのパスワードは、日毎に変更されている。
普段作業で使用個人PCのように、固定しているわけではない。
WindowsのActive Directoryでは、ドメインのユーザーアカウントのパスワードを管理している。
マイクロソフトが提供している「Local Administrator Password Solution」(以下、LAPS)をドメイン環境へ導入することにより、ローカルの管理者権限アカウントのパスワードが、定期的に自動で変更されるようになる。
また、LAPSではドメインのグループポリシーを用いることが可能。
『「グループポリシー」は、ユーザーやコンピューターに対する設定を一元的に管理するためのActive Directoryの仕組み(機能)である。 セキュリティを強化したり、Windowsの機能を有効/無効にしたりするといった目的で、企業内で扱うコンピューター/ユーザーを同じ設定にしたい場合に活用する。
グループポリシーの設定はドメインやOU(Organizational Unit:組織単位)に割り当てるため、ドメイン/OUに含めるユーザーやコンピューターを事前に整理しておくことも重要だ。』
確かに、グループポリシーのトラブル対応の会議の時に『OU』って単語が飛び交っていました。💦
話を戻すと、
つまり、ADサーバーから見て見れば、個々のサーバーもクライアントとみなし当然ながら適用できるのだ?
だから、ドメインで一括管理できるかできないかは、この手法を使用しているかいないかということなんだと理解。
ちなみに、このパスワードの管理を導入するには、
『クライアントとマネジャーにLAPSをインストールする』
必要がある。
その際の注意点は、
『LAPSの動作には「Windows PowerShell 2.0」以上と、「Microsoft .NET Framework 4.0」が必要です。』
また、
『ソフトウェア配布のポリシーを利用』
すると良いらしいが、私?ってなった。
なんでも、グループポリシーを利用すると
『新しく導入するソフトウエアを、社内で稼働中のクライアントパソコンにまとめて配布したい』
が実現できるのだ。
参照: https://xtech.nikkei.com/it/atcl/column/17/022700052/022700001/
https://www.atmarkit.co.jp/ait/articles/1501/29/news032.html
確かに、ある拠点の仮想コンソールPCは40台ある。それにパッチを一括で当てるというのはこのグループポリシーを活用する。