none
ActiveDirectoryのユーザーパスワードの管理方法について RRS feed

  • 質問

  • 環境としては、下記のような環境で利用しています。

    ・WindwosServer2008R2 ActiveDirectory
    ・参加ユーザー数:約400名

    現在、ActiveDirectoryのドメインユーザーパスワードはAD管理者が一括でパスワードを設定し、それを各ユーザーへ通知するという形で管理しています。

    しかしながら、上記の方法ではユーザー数が多いとパスワードの設定変更から通知の作成まで非常に手間がかかってしまうため、パスワードの変更を頻繁に行うことが不可能な状態です。
    これを打開し、頻繁なパスワード変更を行えるように、パスワードの変更はユーザー自身で行わせたいと考えています。

    この時に、ユーザーが変更したパスワードはAD管理者が管理できるものなのでしょうか?

    下記の理由のため、AD管理者によるパスワードの管理が必要なのです。
    ①無人でのコンピュータメンテナンス
    ②関連するネットワーク機器への設定

    csvdeやldifdeコマンドではパスワードのエクスポートができないので、変更後のパスワードを他の方法で抽出する方法は無いものでしょうか。

    抽出する方法が一切ないということが明記された資料の情報でもかまいませんので、どなたかご教示いただけないでしょうか。
    どうぞ宜しくお願い致します。

    2014年9月29日 8:32

回答

  • チャブーンです。

    Active Directoryのパスワード属性であるunicodePwdの仕様については、したのページに書いてあるとおり「システム内のみで利用されること(外部から閲覧できない)」「内容は不可逆性であること」などになっています。これではいけないのでしょうか?

    http://msdn.microsoft.com/en-us/library/cc221418.aspx

    ----
    The password of the user in Windows NT operating system one-way format (OWF). Windows 2000 operating system uses the Windows NT OWF. This property is used only by the operating system.

    Note  The clear password cannot be derived back from the OWF form of the password.
    ----

    どうしてもパスワードの把握が必要な場合、Active Directoryのスキーマを拡張し(これは手動で行う必要があります)、パスワード変更操作時に「この拡張属性に同時に書き込む」しくみを用意(プログラミングが必要です)する、といった方法になるでしょう。ですが、この方法(ユーザーが設定したパスワードが管理者から丸見え)はシステムうんぬん以前に、個人的には全くお奨めしません。

    というのは、昨今話題になっている「パスワード文字の使い回し」(異なるシステムで同じパスワードを使い回すこと)をユーザーが行っていた場合、業務と無関係の「ユーザーの個人的システム」を含めた他システムへの不正ログオンが「理論上は可能になってしまう」という点です。もちろんこのような悪意を持った管理者はいませんが、「そういう可能性がある」ということ自体がリスク、という考え方です。

    その意味では、

    下記の理由のため、AD管理者によるパスワードの管理が必要なのです。
    ①無人でのコンピュータメンテナンス
    ②関連するネットワーク機器への設定

    こういった作業は「ドメイン管理者アカウント(ドメインコントローラのビルトインAdministrator)」で、すべてのコンピューター(クライアントも含みます)に対して、管理者権限(つまり何でもできる)で無条件に実施できます。つまり各ドメインユーザー権限を使う必要は全くありません。

    本来各ユーザーが個別にアクセスする領域(たとえばメールデータの中身やユーザー証明書類といったもの)については、逆に管理者アカウントではアクセスできないようになっているはずなので(セキュリティ上他者がアクセスするべきではない領域のため)、こういったことを想定されているのであれば、運用を見直されたほうがよいと思います。

    • 回答の候補に設定 佐伯玲 2014年9月30日 0:16
    • 回答としてマーク tawara-hiro 2014年9月30日 2:04
    2014年9月29日 9:35
    モデレータ

すべての返信

  • チャブーンです。

    Active Directoryのパスワード属性であるunicodePwdの仕様については、したのページに書いてあるとおり「システム内のみで利用されること(外部から閲覧できない)」「内容は不可逆性であること」などになっています。これではいけないのでしょうか?

    http://msdn.microsoft.com/en-us/library/cc221418.aspx

    ----
    The password of the user in Windows NT operating system one-way format (OWF). Windows 2000 operating system uses the Windows NT OWF. This property is used only by the operating system.

    Note  The clear password cannot be derived back from the OWF form of the password.
    ----

    どうしてもパスワードの把握が必要な場合、Active Directoryのスキーマを拡張し(これは手動で行う必要があります)、パスワード変更操作時に「この拡張属性に同時に書き込む」しくみを用意(プログラミングが必要です)する、といった方法になるでしょう。ですが、この方法(ユーザーが設定したパスワードが管理者から丸見え)はシステムうんぬん以前に、個人的には全くお奨めしません。

    というのは、昨今話題になっている「パスワード文字の使い回し」(異なるシステムで同じパスワードを使い回すこと)をユーザーが行っていた場合、業務と無関係の「ユーザーの個人的システム」を含めた他システムへの不正ログオンが「理論上は可能になってしまう」という点です。もちろんこのような悪意を持った管理者はいませんが、「そういう可能性がある」ということ自体がリスク、という考え方です。

    その意味では、

    下記の理由のため、AD管理者によるパスワードの管理が必要なのです。
    ①無人でのコンピュータメンテナンス
    ②関連するネットワーク機器への設定

    こういった作業は「ドメイン管理者アカウント(ドメインコントローラのビルトインAdministrator)」で、すべてのコンピューター(クライアントも含みます)に対して、管理者権限(つまり何でもできる)で無条件に実施できます。つまり各ドメインユーザー権限を使う必要は全くありません。

    本来各ユーザーが個別にアクセスする領域(たとえばメールデータの中身やユーザー証明書類といったもの)については、逆に管理者アカウントではアクセスできないようになっているはずなので(セキュリティ上他者がアクセスするべきではない領域のため)、こういったことを想定されているのであれば、運用を見直されたほうがよいと思います。

    • 回答の候補に設定 佐伯玲 2014年9月30日 0:16
    • 回答としてマーク tawara-hiro 2014年9月30日 2:04
    2014年9月29日 9:35
    モデレータ
  • チャブーンさま

    ありがとうございます。
    私個人的にはどちらかというと、パスワードを管理者が知る方法は無い、ということを説得できる資料の方が助かりました。
    やはり、パスワード抽出はできないと考える方が普通ですね。

    パスワード管理・運用の見直しのご指摘ももっともだと思います。
    個人パスワード・個人領域の管理は各個人の責任という運用であるべきとは私も思っているのですが、職場全体の意識としてシステム部門に全部お任せ、という状態なのが最大の問題なんですよね・・・
    AD管理者によるパスワードの完全管理が必要な理由も、各個人領域における詳細設定(ソフトウェアの個人設定など、ですね)も無人で出かけている間にやっておいてもらえる、ということが当然な状態になってしまっているためですし。

    本件、これにてクローズさせて頂きたいと思います。

    ご教示とアドバイス、ありがとうございました。

    2014年9月30日 2:04