「ローカル管理者」のパスワード管理、どうする?(その2)――LAPSログを一元管理しようActive Directoryによるローカル管理者のパスワード管理(2)(1/3 ページ)

「PCのローカル管理者パスワード」を効率的に管理するためのツール「Local Administrator Password Solution(LAPS)」の使い方第2弾です。今回はLAPSが出力するログを一元管理する方法を紹介します。

» 2016年07月28日 05時00分 公開
「Androidセキュリティ技術の最前線」のインデックス

連載目次

LAPSのログを一元管理してみよう

 前回は「Local Administrator Password Solution」(以下、LAPS)のインストールおよび設定方法について紹介しました。今回は、LAPSにより管理されているPC(以下、クライアント)にて、LAPSのログを取得する方法について紹介します。

 LAPSはデフォルトではログを生成しません。そのため、ローカルの管理者アカウントのパスワードが変更されたことを知るためには、前回紹介したコンピューターアカウントの「属性エディター」から確認するか、LAPSをインストールする際に、併せてインストールできる「LAPS UI」を起動し、確認する必要があります。

LAPS UIによる確認画面 LAPS UIによる確認画面

 ところが、どちらの方法も1度に1台のクライアントしか確認できないため、数百、数千台規模のクライアントを抱える組織においては、これらの方法は効率的とはいえません。そこで本稿では、ローカルの管理者アカウントのパスワード管理ログを生成する設定に加えて、そのログをまとめて1台の“ログ管理端末”で管理するための方法を紹介します。

クライアントでLAPSによるログ生成の設定を行う

 LAPSによるログ生成を有効化するには、クライアントで以下のレジストリキーを作成する必要があります。

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA}\ExtensionDebugLevel

 “ExtensionDebugLevel”に設定可能な値は以下の通りです。

内容
0 エラーログのみ出力(デフォルト値)
1 エラーと警告ログを出力
2 詳細モード

 設定後にクライアントの再起動を行うことで、LAPSによるログ生成が有効化されます。この後、ローカルの管理者アカウントを使用してクライアントへログオンする際には、イベントログへLAPSのログが記録されるようになります。

 LAPSにより生成されたログは、イベントビューアーの「Windowsログ」――「アプリケーション」から確認することが可能です。

 ソースは“AdmPwd”となり、イベントIDには2から16までが使われます。以下に、イベントIDの内容を簡単に紹介します。

種別 内容
2 Error ADのコンピューターアカウントオブジェクトに接続できない
3 Error ADで管理されたローカルの管理者アカウント情報に接続できない
4 Error コンピューターアカウントの属性「パスワード有効期限」が参照できない
5 Error ローカルセキュリティポリシーにより定義されたパスワードポリシーによる、パスワードの検証結果がNG
5 Information ローカルセキュリティポリシーにより定義されたパスワードポリシーによる、パスワードの検証結果がOK
6 Error ADで管理されたローカルの管理者アカウントのパスワードをリセットできない
7 Error 新しいパスワードおよび新しい有効期限を更新できない
10 Warning パスワード有効期限がポリシーの定義よりも長い
11 Information パスワードの有効期限日数を表示
12 Information パスワードを変更
13 Information 変更されたパスワードと有効期限をADへ送信
14 Information LAPSによる一連のプロセスが終了
15 Information LAPSによるプロセスを開始
16 Information LAPSによる管理が無効化されている

クライアントのイベントログを1台のホストへ収集する

 たとえ管理するPCが少数であっても、PCのイベントログを確認するために、個々のPCのイベントビューアーを1つずつ確認するのは非効率的です。そのため、Active Directory配下のPC、またはメンバサーバーのイベントログを1台のホストへ収集し、解析して表示してくれるサードパーティ製品が存在します。ただし、ここではWindows標準の機能を利用して、LAPSが生成したログを1台のホストへ収集する方法を紹介しましょう。

 Windowsの標準機能を利用して複数のホストのイベントログを特定のホストへ収集するための機能として、イベントログの「サブスクリプション」という機能が存在します。サブスクリプションの詳細を知りたい方は、以下のページを参照して下さい。

関連リンク

サブスクリプションを管理する(マイクロソフト)

 以下、イベントログを収集するホストを「コレクター」と記述します。設定のフローは下記の通りです。

  1. クライアントおよびコレクターのサービスを構成する
  2. クライアントのAdministratorsグループに、コレクターのコンピューターアカウントを追加する
  3. コレクターの[イベントビューアー]からサブスクリプションを作成する

 以下で、それぞれの手順について詳しく説明します。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。