Windows リモート ターゲット コネクタの追加

Windows リモート ターゲット コネクタの追加
capam32
Windows リモート ターゲット コネクタを使用して、Windows サーバのローカルにあるサービスおよびスケジュール済みタスク用の Windows アカウントおよびパスワードを
Symantec PAM
で管理できます。 Windows リモート ターゲット コネクタは、Windows プロキシ コネクタの代替ですが、Windows ドメインにソフトウェアをインストールする必要はありません。
他の 2 つの Windows コネクタが利用できます。
  • Windows プロキシ コネクタ - この Windows リモート コネクタと似た機能ですが、ターゲット ドメイン内のリモート サーバ上にコネクタをインストールする必要があります。 「Windows プロキシ コネクタの追加」を参照してください。
  • Active Directory コネクタ - Active Directory アカウントのパスワードを管理します。 「Active Directory ターゲット コネクタ」を参照してください。
このコネクタは、アカウント、サービス、およびスケジュール済みタスクのパスワードの更新に Samba コマンドとリモート Windows API 呼び出しを使用します。 サービスおよびスケジュール済みタスクのディスカバリとパスワード変更を完了するために、コネクタに余分なオーバーヘッドが発生する可能性があります。
2
CLI を使用してターゲット コネクタを追加するには、「Windows リモート ターゲット コネクタ CLI 設定」を参照してください。
Windows リモート コネクタを使用するための前提条件
  1. Windows リモート ターゲット アカウントを設定するには、最初に、パスワード管理のデバイス タイプが割り当てられたデバイス(ターゲット サーバ)を作成します。
    AWS または Azure Windows デバイスのプライベート IP アドレスを使用します。 一部の機能は、パブリック IP アドレスを使用すると正しく機能しません。
  2. 以下の情報を使用して、Windows リモート コネクタを使用するためのターゲット サーバを準備します。
    • コネクタによって使用されるポート
      Windows リモート コネクタでは、ファイアウォールで以下のポートを開く必要があります。
      • SMB: ポート 445
      • WMI: ポート 135 および 49152 ~ 65535 (または 1024 ~ 4999)のポート範囲
    • ゲスト アカウントの無効化
      ドメインまたはターゲット サーバ上でゲスト アカウントが有効な場合、コネクタは、そこに存在しないパスワードを検証しようとします。 誤ったパスワードの検証を防ぐために、このアカウントを無効にします。
    • ユーザ アクセス制御の回避
      ターゲット サーバ上でユーザ アクセス制御が有効になっており、パスワード管理用のアカウントがローカル管理者である場合、コネクタには SMB および WMI の操作を実行するアクセス権が必要です。 コネクタにアクセス権を付与するには、LocalAccountTokenFilterPolicy レジストリ設定を追加してリモート制限を削除します。
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPolicy = dword:00000001
      WMI トラフィックは暗号化されます。 WMI を通じてパスワードが更新されるときに、そのパスワードは暗号化されます。
    • グループまたはローカル ポリシー セキュリティのオプションの確認
      Windows システムのネットワーク セキュリティのデフォルト値を使用して、Windows リモート コネクタを機能させることができます。 ただし、特定の設定で制限を強化している場合、Windows リモート パスワード管理は失敗します。 Windows リモートが効果的に動作するようにするには、グループまたはローカル ポリシー セキュリティ オプションの以下の設定を確認します。 [スタート]-[管理ツール]-[ローカル セキュリティ ポリシー]-[ローカル ポリシー]-[セキュリティ オプション]に移動します。
      • ネットワーク セキュリティ: NTLM を制限する: 着信 NTLM トラフィック
        すべて許可
        または
        未定義
      • ネットワーク セキュリティ: NTLM を制限する: このドメイン内の NTLM 認証
        無効
        未定義
        ドメイン アカウントに対して拒否する
    • ローカル システム コンテキストの設定
      Windows リモート コネクタは、ローカル システムのコンテキストで実行できます。 このシナリオでは、ローカルの Windows アカウント、サービス パスワード、およびスケジュール済みタスクのパスワードの正常な管理と更新を行うことができます。 アプライアンスに追加する Windows リモート管理者のアカウントは、ターゲット サーバのローカル管理者グループの一部である必要があります。
ターゲット アプリケーションとコネクタの追加
UI で以下の手順に従います。
  1. 認証情報
    ]-[
    ターゲット管理
    ]-[
    アプリケーション
    ]を選択します。
  2. [追加]
    を選択します。
  3. 以下のフィールドに入力します。
    • ターゲット サーバの
      ホスト名
    • デバイス名
    • アプリケーション名:
      名前は一意である必要があります。
  4. [アプリケーション タイプ]
    フィールドで、[
    Windows リモート
    ]を選択します。
  5. (オプション)パスワード構成ポリシーを選択します。
  6. ターゲット グループを使用している場合は、ディスクリプションを追加します。
  7. [Windows リモート]
    タブを選択します。
  8. [アカウント タイプ]
    については、以下のオプションのいずれかを選択します。
    • ローカル アカウント
      は、ターゲット デバイス上のローカル アカウントのみを管理することができます。
    • ドメイン アカウント
      は、Windows ドメイン アカウントを管理できます。Active Directory コネクタを使用して、ドメイン アカウントを管理することをお勧めします。
      ドメイン アカウントの場合は、ドロップダウン リストがアクティブになり、以下のオプションが表示されます。
      • ターゲット サーバはドメイン コントローラです
        (ドメイン管理者アカウントの場合のみ)
      • ドメイン コントローラはサーバ上にあります
        ([サーバの指定]テキスト フィールドあり)
        カンマ区切りで 1 つ以上のサーバを入力します。
      • DNS でのドメイン コントローラの検索
      • 指定した場所でのドメイン コントローラの検索
        ([DNS の指定]テキスト フィールドあり)
        カンマ区切りで 1 つ以上の DNS サーバを入力します。
      DNS サーバの場合は
      、以下のフィールドに入力します。
      • ドメイン名:
        管理対象アカウントの Windows ドメインを指定します。
      • Active Directory サイト:
        [ターゲット サーバはドメイン コントローラです]オプションについては、このフィールドはアクティブではありません。 値を入力すると、指定された名前を使用してドメイン コントローラの検索が絞り込まれます。 フィールドが空の場合、DNS 内のすべてのドメイン コントローラを検索します。
      • DC レプリケーション時間(ミリ秒単位):
        レプリケーションの頻度をミリ秒単位で入力します。
    • [Active Directory 接続タイムアウト]
      には、AD への接続のタイムアウトをミリ秒単位で入力します。
    • [Active Directory 読み取りタイムアウト]
      には、AD からの読み取りのタイムアウトをミリ秒単位で入力します。
  9. [アカウント ディスカバリ]
    タブで、[サービスの検出]および[タスクの検出]を選択します。 (オプション)アカウントのフィルタを指定します。
    フィルタを指定しない場合、Windows サーバからすべてのアカウントが検出されます。 フィルタでは * 文字を使用できます。 例: User*
  10. OK
    ]を選択してアプリケーションを保存します。