Active Directoryの最小権限
サービスアカウントにローテーションの最小権限を付与
最終更新
サービスアカウントにローテーションの最小権限を付与
最終更新
PAMディレクトリリソースを作成する場合は、ローテーションを実行するために必要最小限の権限を持つサービスアカウントを使用することをお勧めします。
以下の手順では、Active Directoryの制御の委任機能を使用して、サービスアカウントがクレデンシャルをローテーションできるようにする方法を紹介します。
はじめに、パスワードローテーション用のサービスアカウントを作成します。このアカウントのクレデンシャルはKeeperリソース記録に格納します。
Active Directoryユーザーとコンピュータを起動します
ディレクトリツリーで、パスワードローテーションを許可するノードを選択します。
ノードを右クリックし、[Delegate Control] (制御の委任) をクリックします。
「Delegation of Control Wizard」 (制御の委任ウィザード) で、[Add] (追加) をクリックします。
選択したサービスアカウントを見つけ、[OK]をクリックします。
[Next] (次へ) をクリックして、権限の選択に進みます。
「Delegate the following common tasks」 (次の共通タスクの制御を委任する) で、「Reset user passwords and force password change at next logon」 (ユーザーのパスワードをリセットして次回ログオン時にパスワードの変更を要求する) オプションをチェックして、[Next] (次へ) をクリックします。
サービスアカウントのログインとパスワードをADインスタンスのリソース記録に追加します。