none
既に稼働中のドメイン環境のAdministratorを無効にすることによる影響範囲を教えてください RRS feed

  • 質問

  • 第三者セキュリティ会社の監査でAdministratorを無効にするように通達があり、
    上司より影響範囲の調査を行うように指示がありました。

    ドメインコントローラ:windows2003server ServicePack2
                              windows2003server R2

    Linux系に関してはほか担当者に依頼し、私はWindows系サーバの影響を調べています。
    無効にしなければならないのは下記になります。

    ドメインのAdministrator
    サーバのローカルAdministrator
    クライアントPCのローカルAdministrator

    現在、想定しているのは下記の影響です。

    ①ファイルサーバのファイル所有権・アクセス権限
    ②インストールやアップデートにActiveDirectoryの認証(ログインにAdministrator)を利用しているソフト・ツール・サービス
    (サーバで一元管理しているセキュリティソフトや、WSUSなど)

    対処方法としてまずグループポリシーでセーフモードではAdministratorを利用できるように設定します。
    ①についてはAdministrator権限を持つアカウントを作成し、共同所有権とアクセス権限を持たせてから
    Administratorを廃止すれば問題ないと考えています。
    ②についても地道に設定を直すしかないですね。

    クライアントPCに関しては廃止することで「ようこそ画面」が表示されているのではないかと考えています。
    ようこそ画面は廃止しているため厄介です。

    ほか、影響がでそうなものなどございましたら教えてください。








     

    2009年10月15日 16:37

回答

  • こんにちは、フォーラムオペレーターの三沢健二です。

    ビルトイン アカウントの "Administrator" を無効にした場合ですが、OS の基本的な動作には特に影響はないと思われます。

    Administrator アカウントを利用するような設定(サービスの起動アカウントなど etc)を行われていた場合は、当然影響は出ると思いますので、十分にご注意いただければと。
    (こちらは環境によって様々ですね)

    あとは、Administrator アカウントが無効だと、ディレクトリサービス復元モードや回復コンソールが使用できないはずなので、問題が発生する前に実際にご確認いただければと思います。

    - 参考情報
    http://technet.microsoft.com/ja-jp/magazine/2008.06.obscurity.aspx

    http://www.microsoft.com/japan/technet/archive/security/chklist/w2ksvrcl.mspx?mfr=true


    それでは、他にも情報をお持ちの方がいらっしゃいましたら、引き続き投稿をお待ちしております (^^)/

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    • 回答としてマーク 2009年10月23日 6:26
    2009年10月20日 5:21
    モデレータ

すべての返信

  • こんにちは、フォーラムオペレーターの三沢健二です。

    ビルトイン アカウントの "Administrator" を無効にした場合ですが、OS の基本的な動作には特に影響はないと思われます。

    Administrator アカウントを利用するような設定(サービスの起動アカウントなど etc)を行われていた場合は、当然影響は出ると思いますので、十分にご注意いただければと。
    (こちらは環境によって様々ですね)

    あとは、Administrator アカウントが無効だと、ディレクトリサービス復元モードや回復コンソールが使用できないはずなので、問題が発生する前に実際にご確認いただければと思います。

    - 参考情報
    http://technet.microsoft.com/ja-jp/magazine/2008.06.obscurity.aspx

    http://www.microsoft.com/japan/technet/archive/security/chklist/w2ksvrcl.mspx?mfr=true


    それでは、他にも情報をお持ちの方がいらっしゃいましたら、引き続き投稿をお待ちしております (^^)/

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    • 回答としてマーク 2009年10月23日 6:26
    2009年10月20日 5:21
    モデレータ
  • 三沢 健二様

    お礼が遅れて大変申し訳ございません。

    ご教示ありがとうございます。

    また参考文献をご提示頂きありがとうございます。とても助かります。
    本日は就寝するため、明日改めて参照させていただきます。

    取り急ぎお礼申し上げます。

    2009年10月20日 16:52