# Windowsユーザー

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2Futxi3wcOwlZ1bTFsKsmX%2Fimage.png?alt=media&#x26;token=53be6caa-d0ec-4c11-bc70-4b65c123b78c" alt=""><figcaption></figcaption></figure>

## 概要

本ページでは、Keeperローテーションを使用して、ローカルネットワーク内でWindowsユーザーアカウントをローテーションする方法を取り扱います。ローカルネットワーク内でのローテーションプロセスの概要については、こちらの[ページ](/keeperpam/jp/privileged-access-manager/password-rotation/rotation-use-cases/local-network.md)をご参照ください。

## 要件

以下がすでに実行されていることを前提としています。

* [ロール](/keeperpam/jp/privileged-access-manager/password-rotation/rotation-overview.md)に対してKeeperシークレットマネージャーが有効になっていること。
* Keeperローテーションがご利用の[ロール](/keeperpam/jp/privileged-access-manager/password-rotation/rotation-overview.md)に対して有効になっていること。
* Keeperシークレットマネージャー[アプリケーション](/keeperpam/jp/privileged-access-manager/references/creating-ksm-app-for-rotation.md)が作成済みであること。
* Keeperローテーション[ゲートウェイ](/keeperpam/jp/privileged-access-manager/getting-started/gateways.md)がすでにインストールされており、オンラインになっていること。
* Keeperゲートウェイは、WinRMまたはSSHを通じて対象マシンと通信できます。
  * WinRM: ポート5986で実行\
    確認方法: `winrm get winrm/config` を実行してWinRMが実行されていることを確認します。詳しくは[WinRMの設定ページ](/keeperpam/jp/privileged-access-manager/references/setting-up-winrm.md)をご覧ください。
  * SSH: ポート22で実行\
    確認方法: `ssh [your-user]@[your-machine] -p 22` を実行してSSHが実行されていることを確認します。

## 1. PAMマシンレコードを設定

Keeperローテーションでは、管理者認証情報を使用して、ローカル環境内の他のアカウントの認証情報がローテーションされます。これらの管理者認証情報には、他のアカウントの認証情報を正常に変更するための十分な権限が求められます。

本ページでは、管理者認証情報をPAMマシンレコードに格納します。

以下は、PAMマシンレコードの**必須**フィールドとなります。

<table><thead><tr><th width="246.46428571428572">フィールド</th><th>説明</th></tr></thead><tbody><tr><td><strong>タイトル</strong></td><td>レコードの名前<br>(例: Local Windows Admin)</td></tr><tr><td><strong>ホスト名またはIPアドレス</strong></td><td>ゲートウェイ (内部) または「localhost」がアクセスするマシンのホスト名またはIP</td></tr><tr><td><strong>ポート</strong></td><td>SSHは22、WinRMは5985 (HTTP) または5986 (HTTPS)</td></tr><tr><td><strong>管理者認証情報</strong></td><td>ローテーションを実行する管理者アカウントのユーザー名とパスワード (またはSSHキー) を含む、リンク済みのPAMユーザーレコード。</td></tr></tbody></table>

{% hint style="info" %}
管理用認証情報を持つリンク済みのPAMユーザーレコードは、Keeperゲートウェイからアクセス可能な共有フォルダ内に配置する必要があります。
{% endhint %}

## 2. PAM構成を設定

注: 環境に対して既にPAM構成を設定済みの場合は、この手順を省略できます。

新しい**PAM構成**を作成する場合は、Keeperボルトにログインし、左側のメニューから **\[シークレットマネージャー]**、**\[PAM構成]** タブの順に選択して、**\[新規構成]** をクリックします。\
\
以下は、**PAM構成**レコードの必須フィールドとなります。

<table><thead><tr><th width="248.55445544554453">フィールド</th><th>説明</th><th data-hidden></th></tr></thead><tbody><tr><td><strong>タイトル</strong></td><td>構成名 (例: <code>Windows LAN Configuration</code>)</td><td></td></tr><tr><td><strong>環境</strong></td><td><code>Local Network</code>を選択</td><td></td></tr><tr><td><strong>ゲートウェイ</strong></td><td>Keeperシークレットマネージャーのアプリケーションで設定されており、WindowsデバイスへのSSHアクセス権を持つゲートウェイを選択します。</td><td></td></tr><tr><td><strong>アプリケーションフォルダ</strong></td><td>PAM構成を保存する共有フォルダを選択してください。マシンのリソースではなく、PAMユーザーのレコードが保存されている共有フォルダに配置することを推奨します。</td><td></td></tr></tbody></table>

## 3. 1つまたは複数のPAMユーザーレコードを設定

Keeperローテーションにより、**PAMマシン**レコードの認証情報を使用して、ローカル環境の**PAMユーザー**レコードをローテーションします。**PAMユーザー**の認証情報は、要件で作成したKSMアプリケーションに共有されている共有フォルダに格納されている必要があります。

以下は、**PAMユーザー**レコードの必須フィールドとなります。

<table><thead><tr><th width="176.61602404150824">フィールド</th><th>説明</th></tr></thead><tbody><tr><td><strong>レコードタイプ</strong></td><td>PAMユーザー</td></tr><tr><td><strong>タイトル</strong></td><td>Keeperのレコードタイトル</td></tr><tr><td><strong>ログイン</strong></td><td>ローテーションするアカウントのユーザー名 (大文字と小文字の区別あり)。例: <code>msmith</code></td></tr><tr><td><strong>パスワード</strong></td><td>アカウントパスワードはオプションです。空白の場合はローテーションで設定されます。</td></tr></tbody></table>

### 対応ユーザー名形式

Keeperは、指定されたユーザー名をそのまま使用してリモートシステムへのログインを試行します。\
認証に失敗した場合、Keeperは次の形式で再試行します。

* **ユーザープリンシパル名 (UPN) 形式**: <admin@company.com>
* **ドメインNetBIOS形式**: COMPANY\admin
* **短縮UPN形式 (TLDなし)**: admin\@company
* **ドメインFQDN＋バックスラッシュ形式**: company.com\admin

## 4. レコードのローテーションを設定 - Windowsユーザー

手順3の**PAMユーザー**レコードを選択し、編集して **\[パスワードローテーション設定]** を開きます。

* 適切なスケジュールとパスワードの複雑さを選択します。
* **\[ローテーション設定]** では、以前に設定した**PAM構成**を使用する必要があります。
* **\[リソースクレデンシャル]** フィールドで、手順1で設定された**PAMマシン**認証情報を選択する必要があります。
* 保存すると、ローテーションボタンが有効になり、必要に応じて、または選択したスケジュールに基づいてローテーションできるようになります。

**PAMユーザー**のレコードに対する`edit`権限を持つユーザーならだれでも、そのレコードのローテーションを設定できます。

## サービス管理

PAMユーザーとして実行されている Windows サービスに対し、「log on as」アカウントの認証情報を自動的に更新し、サービスを再起動することが可能です。さらに、対象マシン上で同じユーザーによって実行されるタスクスケジューラの認証情報も自動で更新されます。

詳しくは、「[サービス管理](/keeperpam/jp/privileged-access-manager/password-rotation/service-management.md)」ページをご覧ください。


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.keeper.io/keeperpam/jp/privileged-access-manager/password-rotation/rotation-use-cases/local-network/windows-user.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.