「ローカル管理者」のパスワード管理、どうする?(その2)――LAPSログを一元管理しよう:Active Directoryによるローカル管理者のパスワード管理(2)(2/3 ページ)
「PCのローカル管理者パスワード」を効率的に管理するためのツール「Local Administrator Password Solution(LAPS)」の使い方第2弾です。今回はLAPSが出力するログを一元管理する方法を紹介します。
1.クライアントおよびコレクターのサービスを構成する
イベントログのサブスクリプションを利用するためには、クライアントおよびコレクターの両方でWindows リモート管理(WinRM)サービスを構成した後、コレクターでWindowsイベントコレクターサービス(Wecsvc)を構成する必要があります。クライアントおよびコレクターのWinRMサービスを有効化するには、ドメインアカウントでログオンし、管理者権限モードで起動したコマンドプロンプト上で、以下のコマンドを実行します(質問にはyを入力します)。
winrm quickconfig
winrm quickconfigコマンドを実行すると、WinRMサービスが起動し、WinRMのリスナー(デフォルトではTCP/5985)が構成され、Windowsファイアウォールの「Windowsリモート管理(HTTP受信)」が有効になります。
誤ってローカルの管理者アカウントでログオンし、上記コマンドを実行した場合、以下のようなエラーが表示されます。この場合、WinRMのリスナーとWindowsファイアウォールの構成を手動で設定する必要があります。
続けて、コレクターでのみ以下のコマンドを実行します。
wecutil qc
これにより、コレクターでWindowsイベントコレクターサービスが起動します。
2.クライアントのAdministratorsグループに、コレクターのコンピューターアカウントを追加する
次に、クライアントのAdministratorsグループに、コレクターのコンピューターアカウントを追加します。追加する方法には、「管理ツール」にある「コンピューターの管理」―「ローカルユーザーとグループ」から行う方法と、コマンドプロンプトを使用する方法があります。
「ローカルユーザーとグループ」から追加する場合は、デフォルトではディレクトリの検索を行っても、コンピューターアカウントが一覧に表示されません。下図のように、検索するオブジェクトにコンピューターを追加する必要があります。
コマンドプロンプトから追加する場合は、管理者権限モードで起動したコマンドプロンプトで以下のコマンドを実行します。以下のコマンド実行例では、ローカルのAdministratorsグループに“DC2012R2”というコンピューターアカウントを追加しています。
net localgroup administrators <ドメイン名>\<コレクターのコンピューターアカウント>$ /add
3. コレクターの「イベントビューアー」からサブスクリプションを作成する
コレクター上でイベントログビューアーを起動します。イベントビューアーの左側に表示されている「コンソールツリー」の「サブスクリプション」を右クリックし、「サブスクリプションの作成」を選択します。すると、「サブスクリプションのプロパティ」が表示されます。
この画面では、以下の設定を行います。
- サブスクリプション名:サブスクリプションの名前を入力します
- 説明:サブスクリプションの説明を入力します
- 宛先ログ:クライアントから収集されたイベントログを格納するログを指定します。デフォルトでは、Windowsログ下の「転送されたイベント」になります
- サブスクリプションの種類とソースコンピューター:「コレクターによる開始」を選択し、「コンピューターの選択」から、イベントログを収集したいクライアントを登録します。「テスト」を押すことで、接続テストを行うことができます
・収集するイベント:取得したいイベントログの種類を選択します。XPathクエリによる入力も可能です。LAPSのログのみを収集する場合、「イベントログ」は“Application”を選択し、「イベントソース」は“AdmPwd”を選択します
設定後、しばらく経つと(デフォルトでは15分)、宛先ログで設定したログに、クライアントのイベントログが転送されます
Copyright © ITmedia, Inc. All Rights Reserved.