複数のWindowsサーバーのユーザーアカウントをドメインで一括管理されていた。

保守作業をする際に当たり前のように使っていたけど、拠点により使えたり使えなかったり。

普段、『どうして？』なんて考えなかった。

にわかに、何でだろうと気になったから、調べてみることにした。

-------▼

参照:https://www.atmarkit.co.jp/ait/articles/1606/22/news024.html

そもそも、セキュリティの上で本番サーバーのパスワードは、日毎に変更されている。

普段作業で使用個人PCのように、固定しているわけではない。

WindowsのActive Directoryでは、ドメインのユーザーアカウントのパスワードを管理している。

マイクロソフトが提供している「Local Administrator Password Solution」（以下、LAPS）をドメイン環境へ導入することにより、ローカルの管理者権限アカウントのパスワードが、定期的に自動で変更されるようになる。

また、LAPSではドメインのグループポリシーを用いることが可能。

『「グループポリシー」は、ユーザーやコンピューターに対する設定を一元的に管理するためのActive Directoryの仕組み（機能）である。 セキュリティを強化したり、Windowsの機能を有効／無効にしたりするといった目的で、企業内で扱うコンピューター／ユーザーを同じ設定にしたい場合に活用する。

グループポリシーの設定はドメインやOU（Organizational Unit：組織単位）に割り当てるため、ドメイン／OUに含めるユーザーやコンピューターを事前に整理しておくことも重要だ。』

確かに、グループポリシーのトラブル対応の会議の時に『OU』って単語が飛び交っていました。💦

話を戻すと、

つまり、ADサーバーから見て見れば、個々のサーバーもクライアントとみなし当然ながら適用できるのだ？

だから、ドメインで一括管理できるかできないかは、この手法を使用しているかいないかということなんだと理解。

ちなみに、このパスワードの管理を導入するには、

『クライアントとマネジャーにLAPSをインストールする』

必要がある。

その際の注意点は、

『LAPSの動作には「Windows PowerShell 2.0」以上と、「Microsoft .NET Framework 4.0」が必要です。』

また、

『ソフトウェア配布のポリシーを利用』

すると良いらしいが、私？ってなった。

なんでも、グループポリシーを利用すると

『新しく導入するソフトウエアを、社内で稼働中のクライアントパソコンにまとめて配布したい』

が実現できるのだ。

参照: https://xtech.nikkei.com/it/atcl/column/17/022700052/022700001/

https://www.atmarkit.co.jp/ait/articles/1501/29/news032.html

確かに、ある拠点の仮想コンソールPCは40台ある。それにパッチを一括で当てるというのはこのグループポリシーを活用する。