Microsoft AD(AWS Directory Service)でパスワードポリシーが管理できるようになりました

Microsoft AD(AWS Directory Service)でパスワードポリシーが管理できるようになりました

#AWS Directory Service
#Windows
#AWS
にしざわ

にしざわ

facebook logohatena logotwitter logo
Clock Icon2017.07.07

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

西澤です。今回は、先日リリースされたMicrosoft AD(AWS Directory Service)の新機能であるパスワードポリシー管理機能についてご紹介します。

これまで抱えていた問題点

詳しくは、以前に書いたこちらのブログをご確認ください。

Microsoft AD(AWS Directory Service)を利用する上で注意すること

AWS Directory ServiceのMicrosoftADで利用できる"Admin"ユーザは、本当のドメイン管理者(Domain Admins)権限を有しているわけではない為、管理できる範囲が限定的でした。これは今回のリリース後も変わっていませんので、"グループポリシー"を利用したパスワードポリシーができるようになったわけではありません。今回のリリースでは、Active Directory管理センターから利用できるFine-Grained Password Policiesを利用して、パスワードポリシーの管理が可能となっています。その詳細について説明して行きます。

Fine-Grained Password Policiesの使い方

作業準備

Microsoft ADの構築手順は今回は割愛します。また、構築したActive Directoryを管理する為、クライアント環境に"Active Directory管理ツール"のインストールが必要となります。今回はWindows Server 2012 R2をEC2で用意して検証を行いました。"Active Directory管理ツール"のインストール手順は、AWS Directory Serviceの公式ドキュメントをご欄ください。

ドメイン権限の更新箇所確認(前回確認時からの差分)

以前にご紹介した時点から、Microsoft ADの機能もかなり拡張されていましたので、ドメイン権限回りの更新情報について確認してみました(前述の記事からのアップデートですので、今回のリリース以外のものも含めた差分をここではご紹介します)。

まず、AWS管理の"AWS Rserved"というOUに更新がありました。赤枠で囲ったものが追加されたセキュリティグループです。

awsreserved

続けて、AWSが自動で作成してくれる専用のOU(下記画面の例では、msad.local/msad/)配下の"Users"に作成されるセキュリティグループも変更がありました。

users

合わせて、AWS Directory ServiceのMicrosoftADで利用できる"Admin"ユーザが所属するグループも複数追加されています。太字が前回からの追加分となります。今回のリリースであるパスワードポリシー管理機能を利用するのであれば、ユーザをFine Grained Password Policy Adminsグループに所属させればOKです。

  • msad.local/msad/Domain Users
  • msad.local/msad/Users/Admins
    • msad.local/AWS Reserved/AWSAdministrators
    • msad.local/msad/Users/DHCP Admins
    • msad.local/msad/Users/DNS Admins
    • msad.local/msad/Users/Fine Grained Password Policy Admins
    • msad.local/msad/Users/Kerberos Delegation Admins
    • msad.local/msad/Users/Managed Service Accounts Admins
    • msad.local/msad/Users/NPS Admins
    • msad.local/msad/Users/Policy Admins
    • msad.local/msad/Users/Replicate Directory Changes Admins
    • msad.local/msad/Users/Server Admins
    • msad.local/msad/Users/Terminal Server License Servers Admins

※msad.local/msadと記載してあるものは、前回同様、試した検証環境での例

Admins1 Admins2

Fine-Grained Password Policiesの使い方

Fine-Grained Password Policiesは、Active Directory管理センターから利用します。

adac2

adac3

デフォルトで、5種類のポリシーが用意されていますが、初期設定は全て同じ状態のようですので、その1つを確認してみましょう。

adac4

画面から確認できる通りですが、設定できる項目は以下の通りです。

  • パスワードの最小の長さ
  • パスワード履歴
  • パスワードの複雑性
  • 可逆的暗号化の使用して保管
  • パスワード有効期間
  • ロックアウトポリシー
    • ログオン試行回数
    • 試行回数リセットまでの時間
    • ロックアウト期間

これらのポリシーをユーザまたはグループに適用することで、ドメインユーザのパスワードポリシーを管理することができます。また、1つのユーザに複数のポリシーが適用されている際にどちらのポリシーを優先的に適用するかについては、"優先順位"に基づいて決定されます。

まとめ

少しチェックしない間に、Microsoft AD(AWS Directory Service)も進化していました。運用課題となりがちなユーザ管理をマネージドサービスに任せたいケースも多いと思いますので、今後のサービスアップデートにも期待したいと思います。

どこかの誰かのお役に立てば嬉しいです。

Share this article

facebook logohatena logotwitter logo

関連記事

블로그 릴레이 - AD Connector 디렉토리 모니터링 기능을 사용하여 Active Directory 장애시 통지 받기

블로그 릴레이 - AD Connector 디렉토리 모니터링 기능을 사용하여 Active Directory 장애시 통지 받기

User avatar
NuNu
2024.10.20
AWS Managed Microsoft ADでユーザとグループがAWSマネジメントコンソールなどから直接CRUD操作できるようになったので見てみた

AWS Managed Microsoft ADでユーザとグループがAWSマネジメントコンソールなどから直接CRUD操作できるようになったので見てみた

User avatar
まると
2024.09.19
Terraform を使用して WorkSpacesを作成してみた。

Terraform を使用して WorkSpacesを作成してみた。

User avatar
SUMANGALAS
2024.06.12
WorkSpaces から作成されたセキュリティグループがSecurity Hubで検知されました。どうすればいいですか?

WorkSpaces から作成されたセキュリティグループがSecurity Hubで検知されました。どうすればいいですか?

User avatar
m.hayakawa
2024.06.06
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.