カテゴリー別アーカイブ: Windows Server 2016

WSUS のバージョン表記

更新プログラムを展開するための WSUS (Windows Server Update Services) ですが、バージョンが明確に表記されていた WSUS 3.0 SP2 までと異なり、Windows Server 2012 以降は、WSUS <バージョン番号> という表記はあまり使われなくなっています。 続きを読む

LAPS の管理対象や管理ユーザーを指定する

LAPS (Local Administrator Password Solution) でローカル管理者パスワードの一括管理を Computers コンテナーで行う場合は、LAPS のインストールと展開 の内容のみで完結できます。ただ、ローカル管理者パスワードの管理対象を絞りたい場合には、ドメイン参加コンピューターの既定値である Computers コンテナーでは不都合があるかもしれません。以下のようにすることで、ローカル管理者パスワードの管理対象を指定することができます。 続きを読む

LAPS で設定されたローカル管理者パスワードの確認

ローカル管理者パスワードの確認

LAPS を有効化すると、各管理対象コンピューターのローカル管理者パスワードが自動でユニークなものに変更されます。現在設定されているローカル管理者パスワードは Active Directory に拡張属性として平文で保管されているため、対象のコンピューターにサインインする場合に利用できます。 続きを読む

LAPS のインストールと展開

LAPS のインストール

LAPS をインストールしてみます。以下の環境でテストしました。LAPS の概要は前の投稿で。

  • Active Directory (Domain Services): Windows Server 2016 (機能レベル: Windows Server 2016)
  • Active Directory ドメイン名: example.local
  • LAPS 管理コンピューター: Windows Server 2016 (役割: AD DS、コンピューター名: W2016-1)
  • LAPS 管理対象コンピューター 1: Windows 10 Pro (コンピューター名: W10-1)
  • LAPS 管理対象コンピューター 2: Windows 7 Professional SP1 (コンピューター名: W7-1)

続きを読む

ローカル管理者のパスワードを LAPS で管理する

多数のコンピューターを管理していると困るのが、コンピューターのローカル管理者アカウントの取り扱いです。ドメインに所属するコンピューターの場合は特に、ローカル管理者の存在を意識することが低くなるため、ローカル管理者のパスワードは製造時点から変更されていないこともあります。その場合、ローカル管理者のユーザー名とパスワードが全コンピューターで同じという状況になっていても不思議ではないでしょう。各コンピューターのローカル管理者のユーザー名やパスワードに同一のものを使いまわした場合、1 台のコンピューターへ侵入されるとネットワーク内の全コンピューターへ被害が急速に拡大する危険が大きくなります。実際、1 台のコンピューターに侵入された場合、その後は Pass the Hash 攻撃などを使われることにより、ものの数分でネットワークの全コンピューターが支配される可能性もあります。 続きを読む

Windows Server 2016 で AD DS (Active Directory Domain Services) のセットアップ

Windows Server 2016 で AD DS (Active Directory Domain Services) の役割を有効にしてみました。サーバー マネージャーから GUI で設定することも今までと同様に可能ですが、今回は PowerShell でセットアップしてみます。 続きを読む