Active Directory ドメイン サービスのインストール ウィザードの [パスワード レプリケーション ポリシーの指定] ページは、読み取り専用ドメイン コントローラー (RODC) アカウントの作成時に表示されます。ただし、このページが表示されるのは、Active Directory ドメイン サービスのインストール ウィザードの [Active Directory ドメイン サービスのインストール ウィザードの開始] ページで [詳細モード インストールを使用する] チェック ボックスをオンにした場合のみです。
パスワード レプリケーション ポリシーの機能
パスワード レプリケーション ポリシー (PRP) は、RODC による資格情報のキャッシュの実行方法を決めるものです。資格情報のキャッシュとは、ユーザーまたはコンピューターの資格情報を保存することです。
RODC がサービスを提供しているサイト内のユーザーまたはコンピューターがドメインに対して認証を求めたとき、既定では RODC はそのユーザーまたはコンピューターの資格情報を検証できません。RODC は認証要求を書き込み可能ドメイン コントローラーに転送します。ただし、RODC がサービスを提供しているサイト内に、書き込み可能ドメイン コントローラーに接続していない場合でも、認証を受ける必要があるセキュリティ プリンシパル セットが存在する場合もあります。
たとえば、ブランチ オフィスに複数のユーザーと複数台のコンピューターがあり、認証を受けたいとします。ただし、その支社と、書き込み可能ドメイン コントローラーを含んでいるサイトは、互いに接続されていません。この問題を解決するには、その RODC に PRP を構成し、認証を受けたいユーザーのパスワードを RODC にキャッシュできるようにします。アカウント パスワードが RODC 内にキャッシュされていれば、書き込み可能ドメイン コントローラーに接続できない場合でも、RODC がそれらのアカウントを認証できるようになります。
PRP は、アクセス制御リスト (ACL) として機能します。PRP は、RODC がアカウントの資格情報をキャッシュすることを許可されているかどうかを指定します。RODC は、ユーザーまたはコンピューターのログオン要求を受け取ると、Windows Server 2008 または Windows Server 2008 R2 を実行する書き込み可能ドメイン コントローラーから、要求元アカウントの資格情報をレプリケートしようと試みます。書き込み可能ドメイン コントローラーは、PRP を参照し、資格情報をキャッシュしてよいかどうかを判定します。PRP がそのアカウントのキャッシュを許可していれば、書き込みドメイン コントローラーはアカウントの資格情報を RODC にレプリケートし、RODC はレプリケートされた資格情報をキャッシュします。次回以降、そのアカウントがログオンを試みたときは、RODC がキャッシュされた資格情報を参照してそのアカウントを認証します。RODC が書き込みドメイン コントローラーにアクセスする必要はありません。
PRP の使用
PRP は、複数値を持つ 2 つの Active Directory 属性によって定義されます。この属性には、セキュリティ プリンシパル (ユーザー、コンピューター、グループ) が含まれます。RODC コンピューター アカウントはそれぞれ、次の 2 つの属性を持ちます。
-
msDS-Reveal-OnDemandGroup。許可一覧とも呼ばれます。
-
msDS-NeverRevealGroup。拒否一覧とも呼ばれます。
PRP を管理するには、さらに、PRP に関連付けられている次の 2 つの属性が各 RODC に必要です。
-
msDS-RevealedList。公開一覧とも呼ばれます。
-
msDS-AuthenticatedToAccountList。認証一覧とも呼ばれます。
msDS-Reveal-OnDemandGroup 属性は、RODC にパスワードをキャッシュできるセキュリティ プリンシパルを指定します。既定では、この属性は Allowed RODC Password Replication Group という値を 1 つ持ちます。このドメイン ローカル グループには既定でメンバーが含まれていないため、既定では、RODC にキャッシュできるアカウント パスワードはありません。
ここでは、許可一覧、拒否一覧、公開一覧、認証一覧の各属性の使用方法について説明します。
RODC によってユーザーのパスワードのレプリケートが要求されると、RODC の通信先である書き込み可能な Windows Server 2008 ドメイン コントローラーでは、その要求が許可または拒否されます。要求を許可または拒否するために、書き込み可能ドメイン コントローラーによって、要求を提示している RODC の許可一覧と拒否一覧の値が調査されます。
RODC によって要求されているパスワードを持つアカウントが、その RODC 用の許可一覧 (拒否一覧ではない) にある場合は、要求が許可されます。
次の図はこの処理のしくみを示したものです。
拒否一覧は許可一覧よりも優先されます。
たとえば、Admins という管理者用のセキュリティ グループが組織にあるとします。この組織には、S1 というサイトがあり、そのサイトの従業員が属している Emp_S1 というセキュリティ グループがあります。また、S2 という別のサイトがあり、そのサイトの従業員が属している Emp_S2 というセキュリティ グループもあります。
サイト S2 には RODC だけがあります。Bob は S2 で作業を行っている管理者です。したがって、Bob は Emp_S2 と Admins の両方のグループに所属します。サイト S2 に RODC がインストールされ、次の表に示すセキュリティ グループが PRP に追加されたとします。
セキュリティ グループ | PRP 設定 |
---|---|
Admin |
拒否 |
Emp_S2 |
許可 |
指定されたポリシーにより、サイト S2 の RODC にキャッシュできる資格情報は、Admins に属していない Emp_S2 グループのメンバーの資格情報のみとなります。したがって、Emp_S1 および Admins グループのメンバーの資格情報は、RODC にはキャッシュされません。Emp_S2 グループのメンバーの資格情報は、RODC にキャッシュされる場合があります。ただし、Bob の資格情報は RODC にはキャッシュされません。
既定の PRP 設定
各 RODC にある PRP では、どのアカウントについてパスワードが RODC にレプリケートされるのを許可し、どのアカウントについてパスワードが RODC にレプリケートされるのを明示的に拒否するのかが、定義されます。既定のポリシーでは、次の表に示すグループと設定が指定されています。
グループ名 | PRP 設定 |
---|---|
Administrators |
拒否 |
Server Operators |
拒否 |
Backup Operators |
拒否 |
Account Operators |
拒否 |
Denied RODC Password Replication グループ |
拒否 |
Allowed RODC Password Replication グループ |
許可 |
Denied RODC Password Replication グループには、既定では次のドメイン アカウント メンバーが存在します。
-
Cert Publishers
-
Domain Admins
-
Enterprise Admins
-
Enterprise Domain Controllers
-
Enterprise Read-Only Domain Controllers
-
Group Policy Creator Owners
-
krbtgt
-
Schema Admins
Allowed RODC Password Replication グループには、既定ではメンバーが存在しません。
既定の PRP によって、既定ではどのアカウントのパスワードも保存されないことが保証され、セキュリティ上機密性の高いアカウント (Domain Admins グループのメンバーなど) についてはパスワードが RODC に保存されることが明示的に拒否されるので、RODC のセキュリティが向上します。
既定 PRP を編集する
RODC アカウントの作成時に、または RODC アカウントの作成後に、既定の PRP を変更できます。RODC アカウントの作成後に既定の PRP を変更するには、Active Directory ユーザーとコンピューター スナップインで、[ドメイン コントローラー] 組織単位 (OU) にある RODC を右クリックし、[プロパティ] をクリックして、[パスワード レプリケーション ポリシー] タブをクリックします (Active Directory ユーザーとコンピューター スナップインを開くには、[スタート] ボタンをクリックし、[管理ツール] をポイントして、[Active Directory ユーザーとコンピューター] をクリックします)。
RODC アカウントの作成時にアカウントを既定の PRP に追加するには、ウィザードの [パスワード レプリケーション ポリシーの指定] ページで [追加] をクリックし、アカウントのパスワードが RODC に保存されるのを許可するか拒否するかを指定します。次に、[ユーザー、コンピューターまたはグループの選択] ダイアログ ボックスを使用して、追加するアカウントを選択します。
認証要求とサービス チケット要求を RODC でローカルに満足させることを許可するために、適切なユーザー アカウント、コンピューター アカウント、およびサービス アカウントを PRP に含める必要があります。許可一覧のネットワークへのログオンでブランチ ユーザーが使用するコンピューター アカウントを含めないと、サービス チケットの要求を RODC でローカルに満足させることができなくなります。その結果、それらの要求を満足させるために、書き込み可能ドメイン コントローラーへのアクセスが必要になります。ワイド エリア ネットワーク (WAN) がオフラインの場合、このことがサービス停止の原因となる可能性があります。
拒否の設定は許可の設定よりも優先されます。あるユーザーについて、両方の設定が直接的に指定された場合、または指定された (あるいは指定のセキュリティ グループ内で入れ子になっている) セキュリティ グループのメンバーであるために間接的に指定された場合、そのユーザーのパスワードを RODC に保存することはできません。ただし、パスワードを RODC に保存できないユーザーであっても、書き込み可能なドメイン コントローラーへの WAN 接続が利用できる場合には、RODC を使用してログオンできることに注意してください。ユーザーのパスワードは RODC にはレプリケートされませんが、WAN を経由することで、書き込み可能なドメイン コントローラーでログオンの認証を受けることができます。
PRP の 3 つの構成例について、それぞれの長所と短所を次の表で説明します。
例 | 長所 | 短所 |
---|---|---|
アカウントをキャッシュしない (既定の設定) |
最も安全です。ユーザーは書き込み可能ドメイン コントローラーによって認証されます。また、ポリシー処理を高速で行うために、自身のグループ ポリシーは RODC から取得します。 |
オフライン アクセスを一切許可しない。ログオンには WAN が必要です。 |
大多数のアカウントをキャッシュする |
パスワードの管理を容易にします。このオプションは、セキュリティよりも、RODC の管理性の向上を重視する組織に適しています。 |
多くのパスワードが RODC に公開される可能性があります。 |
キャッシュするアカウントをごく少数に抑える。 |
オフライン アクセスを必要とするユーザーのために、オフライン アクセスを有効にしますが、大多数のアカウントをキャッシュするよりも高いセキュリティを提供します。 |
この方法は、より詳細な管理が必要です。ユーザーとコンピューターを、RODC のある各ブランチにマッピングする必要があります。RODC で認証されているアカウントを許可一覧に移動するために、repadmin /prp などのツールを使用することもできます。または、このプロセスを自動化するために、Identity Lifecycle Manager (ILM) を使用しなければならない場合もあります。 |
以下の各セクションでは、これらの各例についてさらに詳しく説明します。
アカウントをキャッシュしない
最も安全性の高い構成です。パスワードは RODC に一切レプリケートされません。ただし、RODC のコンピューター アカウントとその RODC の特殊な krbtgt アカウントのパスワードは例外です。この構成では、ユーザーとコンピューターの認証は、WAN が利用できるかどうかに依存します。この方法は、既定の設定以外に追加の管理構成がほとんどまたは一切必要ないという点にメリットがあります。
セキュリティを重視するユーザー グループを作成し、拒否一覧に追加することもできます。既定では一切のアカウントはキャッシュされませんが、セキュリティを重視するユーザー グループを拒否リストに追加することで、そのグループが誤操作により許可一覧に含まれてしまい、結果として RODC にパスワードがキャッシュされることを防止できます。
委任された RODC 管理者アカウントは、許可一覧に自動的に追加されることはありません。ベスト プラクティスとしては、委任された RODC 管理者アカウントを許可一覧に追加しておくことをお勧めします。こうすることで、書き込み可能ドメイン コントローラーへの WAN 接続が使用できるかどうかにかかわらず、委任された管理者が必ず RODC にログオンできるようになります。
大多数のアカウントをキャッシュする
もっともシンプルな管理モードです。WAN が利用できるかどうかに関係なく、ユーザーおよびコンピューターを認証できます。すべての RODC の許可一覧に、ユーザーとコンピューターの大多数を示すグループを設定します。拒否一覧は、Domain Admins などのセキュリティを重視するユーザー グループのパスワードがキャッシュされることを禁止します。ただし、他のほとんどのユーザーは、必要であれば自分のパスワードをキャッシュできます。セキュリティを重視するユーザー グループを作成し、拒否一覧に追加することもできます。
この構成は、RODC の物理的なセキュリティが危険にさらされる心配のない環境に最も適しています。たとえば、安全な場所に展開した RODC の PRP をこのように構成すると、レプリケーションや管理要件が少なくて済むというメリットがあります。
重要 | |
ユーザーのコンピューター アカウントを許可一覧に追加すると、WAN がオフラインの場合でも、ブランチ オフィスでそれらのユーザーがログオンできるようになります。 |
キャッシュするアカウントをごく少数に抑える
キャッシュできるアカウントを制限します。通常は、各 RODC について個別に定義します。つまり、キャッシュを許可するユーザー アカウントとコンピューター アカウントのセットを RODC ごとに別々に持たせます。この方法は通常、特定の場所で作業をするユーザー セットに適しています。
この方法のメリットは、WAN がオフラインの場合でも、ブランチ オフィスのユーザーがネットワークにログオンし、RODC によって認証されることが可能であるという点にあります。同時に、パスワードの漏えいの範囲も、パスワードをキャッシュできる少数のユーザーだけに限定されます。
この例では、許可一覧と拒否一覧の設定作業という管理上の負担があります。特定の RODC によって認証されるセキュリティ プリンシパルの既知の一覧からアカウントを自動的に読み取る既定の方法はありません。また、読み取ったアカウントを許可一覧に設定する既定の方法もありません。repadmin /prp move コマンドを使用して、これらのアカウントを許可一覧内のグループに移動することはできます。また、スクリプトや ILM などのアプリケーションを使用してプロセスを構築することもできます。
ユーザーやコンピューターのアカウントを許可一覧に直接追加することもできますが、RODC ごとにセキュリティ グループを作成し、そのグループを許可一覧に追加して、そのグループにユーザーやコンピューターのアカウントを追加する方法もあります。この方法では、Active Directory ユーザーとコンピューターのスナップインなどの標準のグループ管理ツールや、Dsadd または Dsmod などのコマンド ライン ツールを使用して、RODC にキャッシュされるアカウントを管理することができます。
repadmin /prp move コマンドを使用するには、セキュリティ グループを指定する必要があります。指定したセキュリティ グループが存在しない場合、コマンドによってそのグループが作成され、許可一覧に追加されます。
上述の方法と同様、コンピューター アカウントを適宜許可一覧に追加する必要があります。