概要

PAMディレクトリリソースを作成する場合は、ローテーションを実行するために必要最小限の権限を持つサービスアカウントを使用することをお勧めします。

以下の手順では、Active Directoryの制御の委任機能を使用して、サービスアカウントがクレデンシャルをローテーションできるようにする方法を紹介します。

手順

1. Active Directoryユーザーとコンピュータを起動します

2. ディレクトリツリーで、パスワードローテーションを許可するノードを選択します。

3. ノードを右クリックし、[Delegate Control] (制御の委任) をクリックします。

4. 「Delegation of Control Wizard」 (制御の委任ウィザード) で、[Add] (追加) をクリックします。

5. 選択したサービスアカウントを見つけ、[OK]をクリックします。

6. [Next] (次へ) をクリックして、権限の選択に進みます。

7. 「Delegate the following common tasks」 (次の共通タスクの制御を委任する) で、「Reset user passwords and force password change at next logon」 (ユーザーのパスワードをリセットして次回ログオン時にパスワードの変更を要求する) オプションをチェックして、[Next] (次へ) をクリックします。

8. サービスアカウントのログインとパスワードをADインスタンスのリソース記録に追加します。