# Active Directoryにおける最小権限の付与

## 概要

AMディレクトリリソースを作成する際は、ローテーションの実行に必要な**最小限の権限**のみを持つサービスアカウントを使用することを推奨します。

以下の手順では、Active Directoryの**委任の制御**機能を使用して、サービスアカウントに認証情報のローテーションを行うための権限を付与する方法を説明します。

{% hint style="info" %}
作業を開始する前に、パスワードローテーション専用のサービスアカウントを作成し、その認証情報をKeeperのリソースレコードに保存してください。
{% endhint %}

## 手順

1. **Active Directory ユーザーとコンピューター**を起動します。
2. ディレクトリツリーで、パスワードローテーションを許可する対象のノードを選択します。
3. 対象のノードを右クリックし、**\[委任の制御]** をクリックします。
4. 委任の制御ウィザードで **\[追加]** をクリックします。
5. 使用するサービスアカウントを選択し、**\[OK]** をクリックします。

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FSnt3RIsWqlPMFyI9rFgq%2Fimage.png?alt=media&#x26;token=bea5c854-5079-48bf-9247-1e58414cbf4d" alt=""><figcaption><p>ローテーションを実行するサービスアカウントの選択</p></figcaption></figure>

6. **\[次へ]** をクリックして、権限の選択画面に進みます。
7. **\[次の一般的なタスクを委任]** で **\[ユーザー パスワードのリセットと次回ログオン時にパスワード変更を強制する]** にチェックを入れ、**\[次へ]** をクリックします。

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FsFKZkyyYeoCdm0AOSjZv%2Fimage.png?alt=media&#x26;token=0230a83e-254b-40de-af9a-56462d6241e8" alt=""><figcaption><p>ユーザーパスワードのリセット権限の委任</p></figcaption></figure>

8. ADインスタンス用のリソースレコードに、サービスアカウントのログイン情報とパスワードを追加します。