Windows リモート ターゲット アカウントの設定
ここでは、Windows リモート ターゲット アカウントの設定手順について説明します。
capam32
ここでは、Windows リモート ターゲット アカウントの設定手順について説明します。
2
Windows リモート ターゲット アカウントの前提条件
Windows サービスを含む、Windows リモート ターゲット アカウントを設定するには、以下のタスクが完了していることを確認します。
- デバイス タイプをパスワード管理としてデバイス(ターゲット サーバ)を追加します。AWS Windows デバイスを追加する場合は、アカウントの[アドレス]フィールドのプライベート IP アドレスを使用します。一部の機能は、パブリック IP アドレスを使用すると正しく機能しません。
- ターゲット サーバのターゲット アプリケーションを追加します。この手順には、Windows アカウントが存在するホストと Windows リモートの関連付けが含まれます。「Windows リモート ターゲット コネクタの追加」を参照してください。
- Windows リモート ターゲット アカウントが管理者アカウント タイプである場合、アカウントには Windows サーバの管理者権限が必要です。ターゲット アカウントをサービス アカウントとして使用する場合(他のターゲット アカウントのパスワードのローテーションに使用する場合)、このアカウントが対話形式にログインできないようにすることをお勧めします。これを行うには、Windows アカウントに以下のユーザ権利を割り当てます。
- ローカル ログオンを拒否
- リモート デスクトップ サービスを使用したログオンを拒否
CLI を使用して Windows リモート ターゲット アカウントを追加するには、「Windows リモート ターゲット コネクタ CLI 設定」を参照してください。
Windows リモート ターゲット アカウントの作成
以下の手順に従います。
- [認証情報]-[ターゲットの管理]-[アカウント]を選択します。[ターゲット アカウント]ページに、既存のアカウントのリストが表示されます。
- [追加]を選択します。[ターゲット アカウントの追加]ページが表示されます。
- [ホスト名]の虫眼鏡を選択して、既存のターゲット サーバを検索し、[ホスト名]と[デバイス名]を入力します。
- [アプリケーション名]の虫眼鏡を選択してターゲット サーバ上の既存のターゲット アプリケーションを検索するか、または[+]を選択して、ターゲット アプリケーションを作成します。ターゲット アプリケーションの Windows リモート タイプを選択、または作成します。Windows リモートが[ターゲット アカウントの追加]ページに表示されます。
- [アカウント名]を入力します。アカウント名は、特定のターゲット アプリケーションに対して一意である必要があり、ターゲット システムが使用するアカウント名である必要があります。
- アカウントの[パスワード表示ポリシー]を選択します。
- 最初のアカウントパスワードを入力するか、[認証情報を生成する]の鍵アイコンを選択してデフォルトのパスワードを生成します。
- [パスワード]タブで、[許可されたディスカバリ]を選択し、Windows リモート システムのアカウントを検出します。適切な同期オプションを選択します。
- 認証情報マネージャ サーバのみの更新: パスワードは認証情報マネージャでのみ更新されます。認証情報マネージャとターゲットシステムのパスワードが異なることがあります。
- 認証情報マネージャ サーバとターゲット システムの両方を更新: 整合性を維持するために認証情報マネージャとターゲット システムの両方でパスワードの更新が実行されます。
- [Windows リモート]タブで、[アカウント タイプ]を選択します。
- ユーザ: 通常のユーザ アカウントを選択する場合、[変更プロセス]で「以下のアカウントを使用してパスワードを変更する」を選択します。
- 管理者: 管理者の場合、いずれかの[変更プロセス]オプションを使用します。
- [変更プロセス]の「以下のアカウントを使用してパスワードを変更する」の隣にある虫眼鏡を選択すると、[ターゲット アカウント]ダイアログ ボックスが表示されます。同じ Windows リモート アプリケーションから、管理者アカウント タイプのアカウントを選択します。
- (オプション)アカウントを追加または更新していて、既存のパスワードがわからない場合は、[強制パスワード変更]チェック ボックスを選択します。アカウントが同期していない場合でも、既存のパスワードが変更されます。
- [OK]を選択して保存します。新しい Windows ターゲット アカウントが[ターゲット アカウント]ページ上のアカウントのリストに追加されます。
Windows サービスおよびスケジュール済みタスクの検出
アカウント検出を使って、複数の Windows サービスとスケジュール済みタスクの認証情報を管理できます。
PAM
は、ターゲット アカウントを使用して、このアカウントを使用するサービスとスケジュール済みタスクの変更および更新を管理できます。個々のサービスまたはスケジュール済みタスクごとにパスワードを更新する必要はありません。この手順は、ローカル Windows アカウント向けです。Active Directory アカウントのサービスおよびスケジュール済みタスクを検出するには、「AD アカウントのサービスおよびスケジュール済みタスクの検出」を参照してください。
前提条件
アカウントのディスカバリを実行する前に、Windows リモート ターゲット アプリケーションの[アカウント ディスカバリ]タブに移動します。サービスまたはタスクの検出オプションを選択します。両方を選択できます。
サービスおよびタスクの検出
Windows リモート アカウントで新しいタスクおよびサービスを検出するには、以下の手順に従います。
- [認証情報]-[ディスカバリ]を選択します。
- [スキャン プロファイル]タブで、更新するアカウントのプロファイルの[実行]を選択します。プロファイルが存在しない場合は、以下の手順に従います。
- [追加]を選択します。
- プロファイルの[名前]を入力します。
- [サーバ]タブで、リモート アカウントに関連付けられているサーバを選択します。
- [実行]を選択します。
- [検出されたアカウント]タブを選択します。利用可能な更新がある Windows リモート アカウントには、[使用可能な更新]列の下に緑色のチェックボックスが表示されています。
- 利用可能な更新がある Windows リモート アカウントの[更新]ボタンを選択します。[検出されたアカウントの更新]ウィンドウが表示されます。[Available Services (利用可能なサービス)]および[スケジュール済みタスク]がそれぞれのタブに表示されます。
- [OK]を選択します。
- [選択したアカウントの更新]の確認を求められたら、[はい]を選択します。
- 以下の手順で、サービスおよびスケジュール済みタスクのリストを確認します。
- [認証情報]-[ターゲットの管理]-[アカウント]を選択します。
- [サービス]タブと[スケジュール済みタスク]タブを選択して、アカウント リストを表示します。
Windows リモート ターゲット アカウントからタスクおよびサービスを削除するには、以下の手順に従います。
- [認証情報]-[ターゲットの管理]-[アカウント]を選択します。
- 変更するアカウントを選択します。
- [更新]を選択します。
- [サービス]タブまたは[スケジュール済みタスク]タブを選択します。
- サービスまたはタスクを削除するには、エントリの隣にある[X]を選択します。