Microsoft AD(AWS Directory Service)でパスワードポリシーが管理できるようになりました

AWS Directory Service

西澤です。今回は、先日リリースされたMicrosoft AD(AWS Directory Service)の新機能であるパスワードポリシー管理機能についてご紹介します。

これまで抱えていた問題点

詳しくは、以前に書いたこちらのブログをご確認ください。

Microsoft AD(AWS Directory Service)を利用する上で注意すること

AWS Directory ServiceのMicrosoftADで利用できる"Admin"ユーザは、本当のドメイン管理者(Domain Admins)権限を有しているわけではない為、管理できる範囲が限定的でした。これは今回のリリース後も変わっていませんので、"グループポリシー"を利用したパスワードポリシーができるようになったわけではありません。今回のリリースでは、Active Directory管理センターから利用できるFine-Grained Password Policiesを利用して、パスワードポリシーの管理が可能となっています。その詳細について説明して行きます。

Fine-Grained Password Policiesの使い方

作業準備

Microsoft ADの構築手順は今回は割愛します。また、構築したActive Directoryを管理する為、クライアント環境に"Active Directory管理ツール"のインストールが必要となります。今回はWindows Server 2012 R2をEC2で用意して検証を行いました。"Active Directory管理ツール"のインストール手順は、AWS Directory Serviceの公式ドキュメントをご欄ください。

ドメイン権限の更新箇所確認(前回確認時からの差分)

以前にご紹介した時点から、Microsoft ADの機能もかなり拡張されていましたので、ドメイン権限回りの更新情報について確認してみました(前述の記事からのアップデートですので、今回のリリース以外のものも含めた差分をここではご紹介します)。

まず、AWS管理の"AWS Rserved"というOUに更新がありました。赤枠で囲ったものが追加されたセキュリティグループです。

awsreserved

続けて、AWSが自動で作成してくれる専用のOU(下記画面の例では、msad.local/msad/)配下の"Users"に作成されるセキュリティグループも変更がありました。

users

合わせて、AWS Directory ServiceのMicrosoftADで利用できる"Admin"ユーザが所属するグループも複数追加されています。太字が前回からの追加分となります。今回のリリースであるパスワードポリシー管理機能を利用するのであれば、ユーザをFine Grained Password Policy Adminsグループに所属させればOKです。

  • msad.local/msad/Domain Users
  • msad.local/msad/Users/Admins
    • msad.local/AWS Reserved/AWSAdministrators
    • msad.local/msad/Users/DHCP Admins
    • msad.local/msad/Users/DNS Admins
    • msad.local/msad/Users/Fine Grained Password Policy Admins
    • msad.local/msad/Users/Kerberos Delegation Admins
    • msad.local/msad/Users/Managed Service Accounts Admins
    • msad.local/msad/Users/NPS Admins
    • msad.local/msad/Users/Policy Admins
    • msad.local/msad/Users/Replicate Directory Changes Admins
    • msad.local/msad/Users/Server Admins
    • msad.local/msad/Users/Terminal Server License Servers Admins

※msad.local/msadと記載してあるものは、前回同様、試した検証環境での例

Admins1 Admins2

Fine-Grained Password Policiesの使い方

Fine-Grained Password Policiesは、Active Directory管理センターから利用します。

adac2

adac3

デフォルトで、5種類のポリシーが用意されていますが、初期設定は全て同じ状態のようですので、その1つを確認してみましょう。

adac4

画面から確認できる通りですが、設定できる項目は以下の通りです。

  • パスワードの最小の長さ
  • パスワード履歴
  • パスワードの複雑性
  • 可逆的暗号化の使用して保管
  • パスワード有効期間
  • ロックアウトポリシー
    • ログオン試行回数
    • 試行回数リセットまでの時間
    • ロックアウト期間

これらのポリシーをユーザまたはグループに適用することで、ドメインユーザのパスワードポリシーを管理することができます。また、1つのユーザに複数のポリシーが適用されている際にどちらのポリシーを優先的に適用するかについては、"優先順位"に基づいて決定されます。

まとめ

少しチェックしない間に、Microsoft AD(AWS Directory Service)も進化していました。運用課題となりがちなユーザ管理をマネージドサービスに任せたいケースも多いと思いますので、今後のサービスアップデートにも期待したいと思います。

どこかの誰かのお役に立てば嬉しいです。