AD読み取り専用アカウント（認証用）

まず、40個の管理者レベルのアカウントを言うとき、私はあなたがドメイン管理者を意味すると仮定します。これらのタイプのアカウントのうちの40は非常に多くの理由で危険であり、すでに推測できると思います。まず、Active DirectoryでDomain Admin、Enterprise Admin、およびSchema Adminグループを開くことをお勧めします。これらのグループを開くと、[メンバー]というタブを選択して、各グループの人数を本当に確認できます。私が名前を付けた3つ（ドメイン管理者、エンタープライズ管理者、スキーマ管理者）は最も重要であり、ドメイン/フォレストを最大限に制御できるため、システム管理者としてのみあなたと、おそらく以下のいずれかである一部のFEWのみを確認する必要があります。管理者自身またはあなたが信頼する者はこれらの権利を持っています。私はあなただけを言いますが、これらの権利を取得する他の人が必要になる状況があることは知っています。めったにありませんが、それは起こります。以下は、参照用のDomain Adminプロパティのスクリーンショットです。

これらのサードパーティアプリがADを介して通信/認証するためのアカウントが必要なため、次に行うことは、MSAまたは管理されたサービスアカウントを作成することです。私はこれらのアカウントを使用してきましたが、ADで通常のユーザーアカウントを使用するよりも優れていると思います。管理者以外のユーザー/アカウントに管理者権限を与えることは絶対に避けてください。

私がやりたいこと、そして行ったことは、これらのサービスアカウント用にADUCに新しいOUを作成することです。これにより、これらのサービスアカウントは簡単に管理され、GPO（グループポリシーオブジェクト）のような特定の機能を持つことができます。コンピュータ/ユーザー）は、必要に応じて、それらに簡単に適用できます。

Windows PowerShellを使用してこれらのMSAを作成および管理できますが、PowerShellのバージョン2以降を使用していることを確認してください。これらのアカウントの1つを作成するコマンドは、単にAdd-ADComputerServiceAccountです。このユーザーを作成したい他のオプションは何でも見つかります here。

MSAのもう1つの優れた点は、サービス管理者（これらのMSAアカウントを管理するアクセス許可を持つADの人々）を作成して、これらのアカウントを委任できることです。この人はドメイン管理者権限を持っている必要がなく、長期的にはMSAアカウントを管理できるため時間を節約でき、より重要なsysadminに時間をかけることができるので、これはあなたにとって良いことかもしれません。

MSAのベストプラクティスのリストについては、MS Directory Servicesチームから直接 この投稿 を参照してください。