# Active Directoryにおける最小権限の付与

## 概要

AMディレクトリリソースを作成する際は、ローテーションの実行に必要な**最小限の権限**のみを持つサービスアカウントを使用することを推奨します。

以下の手順では、Active Directoryの**委任の制御**機能を使用して、サービスアカウントに認証情報のローテーションを行うための権限を付与する方法を説明します。

{% hint style="info" %}
作業を開始する前に、パスワードローテーション専用のサービスアカウントを作成し、その認証情報をKeeperのリソースレコードに保存してください。
{% endhint %}

## 手順

1. **Active Directory ユーザーとコンピューター**を起動します。
2. ディレクトリツリーで、パスワードローテーションを許可する対象のノードを選択します。
3. 対象のノードを右クリックし、**\[委任の制御]** をクリックします。
4. 委任の制御ウィザードで **\[追加]** をクリックします。
5. 使用するサービスアカウントを選択し、**\[OK]** をクリックします。

<figure><img src="/files/BvqD9i6jwkWBk71FyDrD" alt=""><figcaption><p>ローテーションを実行するサービスアカウントの選択</p></figcaption></figure>

6. **\[次へ]** をクリックして、権限の選択画面に進みます。
7. **\[次の一般的なタスクを委任]** で **\[ユーザー パスワードのリセットと次回ログオン時にパスワード変更を強制する]** にチェックを入れ、**\[次へ]** をクリックします。

<figure><img src="/files/KSWfIu9KxpLa86vDm7ho" alt=""><figcaption><p>ユーザーパスワードのリセット権限の委任</p></figcaption></figure>

8. ADインスタンス用のリソースレコードに、サービスアカウントのログイン情報とパスワードを追加します。


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.keeper.io/keeperpam/jp/privileged-access-manager/references/active-directory-least-privilege.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.