「ローカル管理者」のパスワード管理、どうする?(その2)――LAPSログを一元管理しよう:Active Directoryによるローカル管理者のパスワード管理(2)(1/3 ページ)
「PCのローカル管理者パスワード」を効率的に管理するためのツール「Local Administrator Password Solution(LAPS)」の使い方第2弾です。今回はLAPSが出力するログを一元管理する方法を紹介します。
LAPSのログを一元管理してみよう
前回は「Local Administrator Password Solution」(以下、LAPS)のインストールおよび設定方法について紹介しました。今回は、LAPSにより管理されているPC(以下、クライアント)にて、LAPSのログを取得する方法について紹介します。
LAPSはデフォルトではログを生成しません。そのため、ローカルの管理者アカウントのパスワードが変更されたことを知るためには、前回紹介したコンピューターアカウントの「属性エディター」から確認するか、LAPSをインストールする際に、併せてインストールできる「LAPS UI」を起動し、確認する必要があります。
ところが、どちらの方法も1度に1台のクライアントしか確認できないため、数百、数千台規模のクライアントを抱える組織においては、これらの方法は効率的とはいえません。そこで本稿では、ローカルの管理者アカウントのパスワード管理ログを生成する設定に加えて、そのログをまとめて1台の“ログ管理端末”で管理するための方法を紹介します。
クライアントでLAPSによるログ生成の設定を行う
LAPSによるログ生成を有効化するには、クライアントで以下のレジストリキーを作成する必要があります。
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA}\ExtensionDebugLevel
“ExtensionDebugLevel”に設定可能な値は以下の通りです。
| 値 | 内容 |
|---|---|
| 0 | エラーログのみ出力(デフォルト値) |
| 1 | エラーと警告ログを出力 |
| 2 | 詳細モード |
設定後にクライアントの再起動を行うことで、LAPSによるログ生成が有効化されます。この後、ローカルの管理者アカウントを使用してクライアントへログオンする際には、イベントログへLAPSのログが記録されるようになります。
LAPSにより生成されたログは、イベントビューアーの「Windowsログ」――「アプリケーション」から確認することが可能です。
ソースは“AdmPwd”となり、イベントIDには2から16までが使われます。以下に、イベントIDの内容を簡単に紹介します。
| 値 | 種別 | 内容 |
|---|---|---|
| 2 | Error | ADのコンピューターアカウントオブジェクトに接続できない |
| 3 | Error | ADで管理されたローカルの管理者アカウント情報に接続できない |
| 4 | Error | コンピューターアカウントの属性「パスワード有効期限」が参照できない |
| 5 | Error | ローカルセキュリティポリシーにより定義されたパスワードポリシーによる、パスワードの検証結果がNG |
| 5 | Information | ローカルセキュリティポリシーにより定義されたパスワードポリシーによる、パスワードの検証結果がOK |
| 6 | Error | ADで管理されたローカルの管理者アカウントのパスワードをリセットできない |
| 7 | Error | 新しいパスワードおよび新しい有効期限を更新できない |
| 10 | Warning | パスワード有効期限がポリシーの定義よりも長い |
| 11 | Information | パスワードの有効期限日数を表示 |
| 12 | Information | パスワードを変更 |
| 13 | Information | 変更されたパスワードと有効期限をADへ送信 |
| 14 | Information | LAPSによる一連のプロセスが終了 |
| 15 | Information | LAPSによるプロセスを開始 |
| 16 | Information | LAPSによる管理が無効化されている |
クライアントのイベントログを1台のホストへ収集する
たとえ管理するPCが少数であっても、PCのイベントログを確認するために、個々のPCのイベントビューアーを1つずつ確認するのは非効率的です。そのため、Active Directory配下のPC、またはメンバサーバーのイベントログを1台のホストへ収集し、解析して表示してくれるサードパーティ製品が存在します。ただし、ここではWindows標準の機能を利用して、LAPSが生成したログを1台のホストへ収集する方法を紹介しましょう。
Windowsの標準機能を利用して複数のホストのイベントログを特定のホストへ収集するための機能として、イベントログの「サブスクリプション」という機能が存在します。サブスクリプションの詳細を知りたい方は、以下のページを参照して下さい。
関連リンク
サブスクリプションを管理する(マイクロソフト)
以下、イベントログを収集するホストを「コレクター」と記述します。設定のフローは下記の通りです。
- クライアントおよびコレクターのサービスを構成する
- クライアントのAdministratorsグループに、コレクターのコンピューターアカウントを追加する
- コレクターの[イベントビューアー]からサブスクリプションを作成する
以下で、それぞれの手順について詳しく説明します。
Copyright © ITmedia, Inc. All Rights Reserved.