Windows系ターゲットの制約

No

制約

制約機能

ID

ログ

1

Active Directoryの場合、取得可能なリソース情報は以下の通りです。

• 各OU内のユーザ
• Builtinコンテナ内のユーザ
• Usersコンテナ内のユーザ

〇

-

2

Active Directoryの場合、OU名、アカウントグループ名に半角スラッシュ「/」が含まれている場合、そのOUやアカウントグループ名をアカウント追加時の所属OUや所属グループに利用することが出来ません。
そのため、ワンタイム特権ID貸出では半角スラッシュを含むOU名やアカウントグループ名は、下記で利用することが出来ません。

• 作成時の所属OU
• アカウントグループ(主)
• アカウントグループ(副)

〇

-

3

冗長構成されたActive Directoryを管理対象とする場合、冗長化の際の衝突で作成される「オブジェクト名・CNF:＜GUID＞」は、同期されずにスキップします。

〇

-

4

特権IDの利用点検レポート、および、アクセス履歴レポートは、コンソールログイン、RDP、ロック解除のみ出力されます。Telnet、FTPなどには対応していません。

-

〇

5

ドメインアカウントとローカルアカウントで同名のアカウントが存在する場合、特権IDの利用点検レポート、および、アクセス履歴レポート上はアカウント名のみが表示される仕様のため、どちらのアカウントを利用したか判別出来ません。

-

〇

6

iDoperationで利用出来ないパスワードがターゲットに設定されているアカウントは、iDoperationで利用出来るパスワードに変更する必要があります。

〇

-

7

アカウント数が多い場合、アカウント取得処理が完了出来ない場合があります。
※Active Directory サーバに関しては、アカウントの取得範囲を絞る事が可能です。

〇

-

8

大量のWindowsイベントログ（セキュリティ）が出力される場合に、ログ収集が出来ない場合があります。
※ローカルセキュリティポリシーの監査ポリシーで「オブジェクト アクセスの監査」が有効になっている場合、大量のログが出力されます。

-

〇

9

アーカイブされたイベントログを収集する設定にした場合、マネージャサーバのSYSTEMユーザからターゲットの共有フォルダにログ収集用アカウントで接続してログを収集します。
その際に、SYSTEMユーザから共有フォルダに別のアカウントで接続されている場合は、その接続を強制的に切断します。

-

〇

10

Windowsのログイン失敗ログは、失敗理由のメッセージを取得出来ず、リターンコードのみが取得出来ます。
ログイン失敗履歴レポートはリターンコードから失敗理由を判別し、下記の内容のいずれかが表示されます。

• パスワード誤り (return code=%s)
• アカウント誤り (return code=%s)
• アカウントもしくはパスワード誤り (return code=%s)
• ロックされたアカウント (return code=%s)
• ログイン権限なし (return code=%s)
• その他の理由 (return code=%s)

※「%s」の箇所は、ログに出力されたリターンコードが表示されます。

-

〇

11

RDPでログイン失敗の操作を実施した時に、RDPのログイン失敗としてではなく、ネットワークログインの失敗ログとして出力する場合があります。
そのため、RDPのログイン失敗のログだけでなく、ネットワークログインのログイン失敗ログで下記の条件を満たしたログはRDPでログイン失敗をした時のログとみなしてログ収集し、レポートに出力します。

• アカウント名の最後が「$」以外
• IpPortの項目が「-(ハイフン)」または「0」

RDPでログイン失敗の操作をしていない場合でも、上記の条件を満たすとレポートに出力されます。その場合は、必要に応じて特定のアカウントの除外設定をする必要があります。

-

〇

12

ロック解除の操作でアクセスした場合は、Windowsの仕様によりログアウトのログは出力されません。そのため、ロック解除のアクセスは、特権IDの利用点検レポート、および、アクセス履歴レポートにログアウト時間が出力されません。

-

〇

13

ターゲットがDNAT環境に存在する場合、ログ収集することはできません。

-

〇

14

Windowsでは、同時に同じアカウントのアクセスを許可していない限り、他のユーザがログイン済みのアカウントで別途ログインするとログイン済みのセッションを奪ってアクセスします。
このようにログイン済みのセッションを奪う操作をした場合、セッションを奪ったユーザとセッションを奪われたユーザのログアウトのログが、Windowsの仕様により実際のログアウト時刻と異なって出力されたり、ログアウトのログが出力されません。

・セッションを奪われたユーザ：
セッションを奪ったユーザがログアウトした時間にログアウトのログが出力されます。
そのため特権IDの利用点検レポートとアクセス履歴レポートでは、その時間がログアウト時間になります。

・セッションを奪ったユーザ：

■Windows Server 2019の場合
ロック解除の操作としてログが出力されるため、No.13の制約に記載の通りログアウトのログが出力されません。
そのため特権IDの利用点検レポートとアクセス履歴レポートにログアウト時間が出力されません。

■それ以外のWindows OSの場合
セッションを奪った直後(0～2秒後)にログアウトのログが出力されます。
そのため特権IDの利用点検レポートとアクセス履歴レポートでは、その時間がログアウト時間になります。

-

〇

15

Windowsターゲット同期を行う際に、アカウントグループ、アカウントの設定項目に、改行コードを含む設定値が設定されている場合は、存在しないアカウントがiDoperationに登録される場合や、同期に失敗する場合があります。
この場合、設定値に含まれている改行コードを削除し、再度同期をすることで正常に同期することができます。

〇

-

16

Active Directoryの場合、下記の理由により「ユーザー ログオン名」と「ユーザー ログオン名 (Windows2000以前)」が同一であることを推奨します。

• iDoperationでは、「ユーザー ログオン名 (Windows2000以前)」をアカウント名として管理しています。(※)そのため、「ユーザー ログオン名」をもとにiDoperaiton上でActive Directoryターゲットのアカウントの操作や管理をすることが困難となります。
• 「ユーザー ログオン名」と「ユーザー ログオン名 (Windows2000以前)」ではログオン時に利用するフォーマットが異なるため、誤ったフォーマットでログオンを実行するとログオンに失敗します。
• 「ユーザー ログオン名」をログオンで利用した場合でも、Windowsの仕様により「ユーザー ログオン名 (Windows2000以前)」のログオンとしてレポートに出力されます。そのため、ログオンで利用したアカウントをレポート上で確認することが困難となります。

※Administratorなどの一部のアカウントでは「ユーザー ログオン名」が設定されていない場合があります。iDoperationでは「ユーザー ログオン名」が設定されていないアカウントも管理対象とするために、「ユーザー ログオン名 (Windows2000以前)」をアカウント名として管理しています。

〇

〇

17

Windows LAPSを有効にしている場合、メンバサーバのローカルアカウント(ビルドインのAdministrator等)をiDoperationから管理することはできません。

〇

-