Windows系ターゲットの前提条件

印刷する

記事の要約

この要約は役に立ちましたか?

ご意見ありがとうございます

Windows系ターゲットには、以下の前提条件があります。

※ID管理が〇になっている項目は、ID管理の機能の前提条件になります。ログが〇になっている項目は、アクセスログ管理のログ自動収集機能、または、ログ自動収集機能で収集したアクセスログ（ログインログ・ログアウトログ・suログ・ログイン失敗ログ）で出力するレポートの前提条件になります。

No	条件	対象機能
No	条件	ID	ログ
1	ID管理用、ログ収集用のアカウントを用意する事。詳細は『ID管理用、ログ収集用アカウントの準備』を参照してください。	〇	〇
2	ID管理用、ログ収集用のアカウントについてAdministratorsグループに所属するローカルアカウントを利用する場合、ターゲットのリモートUACが無効化されている事。詳細は『ユーザアカウント制御（リモートUAC）の無効化設定』を参照してください。	〇	〇
3	ローカルセキュリティポリシー「ネットワークアクセス：ローカルアカウントの共有とセキュリティモデル」が「クラシック-ローカルユーザがローカルユーザとして認証する」の設定である事。詳細は『ローカルセキュリティポリシーの設定』を参照してください。	〇	〇
4	必要なサービスが起動しており、リモートから接続出来る事。詳細は『Windowsサービスの設定と接続用ポート』を参照してください。	〇	〇
5	管理対象サーバ側のファイアウォール設定でSMB/ADSI接続が許可されている事。詳細は『SMB/ADSI接続の許可設定』を参照してください。	〇	〇
6	ネットワークコンポーネント「Microsoft ネットワーク用ファイルとプリンタ共有」が有効化されている事。詳細は『Microsoft ネットワーク用ファイルとプリンタ共有の設定』を参照してください。	〇	〇
7	ローカルセキュリティポリシーの設定で「ログオンイベントの監査」の「成功、失敗」が設定されている事。詳細は『監査ポリシーの設定』を参照してください。	-	〇
8	Windowsイベントログ（セキュリティ）のローテート設定が下記どちらかの条件を満たしている事。必要に応じてイベントを上書きする(最も古いイベントから) イベントを上書きしないでログをアーカイブする ※Windows Server 2019 / Windows 10で「イベントを上書きしないでログをアーカイブする」の設定をした場合に、イベントログが「最大ログサイズ」になってもアーカイブされず、新たなイベントログが記録されないという事象が確認されています。該当のOSで「イベントを上書きしないでログをアーカイブする」の設定をした場合は、正常にイベントログがアーカイブされる事を確認してください。	-	〇
9	Windowsイベントログ（セキュリティ）のローテート設定が「必要に応じてイベントを上書きする(最も古いイベントから)」になっている場合は、下記の設定になっている事。メンテナンスなどのサーバ停止で、ログの収集が出来ない期間を考慮して、最低2日分のログが上書きされずに蓄積出来る「最大ログサイズ」が設定されている事	-	〇
10	Windows イベントログ（セキュリティ）のローテート設定が「イベントを上書きしないでログをアーカイブする」になっている場合は、下記の設定になっている事。アーカイブの頻度は2日以上になる「最大ログサイズ」が設定されている事。イベントログのプロパティにある「ログのパス」で指定されているファイルのフォルダが、共有フォルダになっている事。共有フォルダにログ収集用アカウントのアクセス権（読み込み）を設定している事。冗長構成のActive Directoryの各ノードから、アーカイブされたイベントログを収集する場合は、各ノード間の共有フォルダのログファイルパスがIPアドレス・ホスト名部分を除いて同一になっている事。	-	〇
11	冗長構成されたActive Directoryを管理対象とする場合は下記を満たしている事。ノード間のアカウント、アカウントグループ、OUの同期は、Active Directoryの機能で行う事。全ノードで時刻、タイムゾーンが同一である事。 Windows系ターゲットの前提条件(本表)が満たされ、全ノードで同一になっている事。	〇	〇
12	iDoperation Cloudとターゲット間で、下記ポート番号を利用して通信できる必要があります。　－TCPポート135 　－ターゲット上のRPCサービスが割り当てるエフェメラルポート ※オペレーティングシステムのデフォルトの設定では、49152～65535の範囲のポート番号が自動的に割り当てられます。詳細は『ログ収集通信の許可設定』を参照してください。	-	〇

ID管理用、ログ収集用アカウントの準備

登録対象のWindowsターゲットのサーバ種別を確認し、いずれかのアカウント要件に合うアカウントを1つ準備します。

No	サーバ種別	アカウント要件
1	スタンドアロンサーバ	ビルトインのAdministrator
		Administratorsグループに所属するローカルアカウント（*2）
2	メンバサーバ（*1）	ビルトインのAdministrator
		Administratorsグループに所属するローカルアカウント（*2）
		Administratorsグループに所属するドメインアカウント
		Administratorsグループに所属しているドメインのアカウントグループに所属するドメインアカウント
		Domain Adminsグループに所属するドメインアカウント
3	Active Directoryサーバ	ビルトインのAdministrator
		Domain Adminsグループに所属するドメインアカウント

(*1) ドメインアカウントをメンバサーバのID管理用、ログ収集用のアカウントに設定する場合は、そのドメインのActive Directoryサーバをターゲットとして登録してください。
(*2) Administratorsグループに所属するローカルアカウントを利用する場合、ターゲットのリモートUACを無効化してください。詳細は『ユーザアカウント制御（リモートUAC）の無効化設定』を参照してください。

ユーザアカウント制御（リモートUAC）の無効化設定

Administratorsグループに所属するローカルアカウントの場合、リモートUACの無効化が必要です。

管理対象サーバ側でユーザアカウント制御（リモートUAC）の設定をレジストリ追加する事で無効化します。
レジストリ追加は以下のコマンドで実施してください。

※GUIから変更する方法ではiDoperationの要件を満たせません。

(設定コマンド)
C:\> reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f

(設定した内容の確認)
C:\> reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy

※以下のように結果が出力されます。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\SystemLocalAccountTokenFilterPolicy REG_DWORD 0x1

なお、管理対象サーバ側に既にiDoperation Cloudからのセッションが存在する場合、上記の設定を実施してもその結果が即時反映されない事があります。その場合は以下のコマンドを実行し、現在のセッションのクリアを行ってください。

(セッションクリアのコマンド)
C:\> net session \\[iDoperation CloudのIPアドレス] /delete

ローカルセキュリティポリシーの設定

ローカルセキュリティポリシーの「ローカルポリシー」-「セキュリティオプション」-「ネットワークアクセス：ローカルアカウントの共有とセキュリティモデル」を「クラシック-ローカルユーザがローカルユーザとして認証する」に設定します。
上記設定がデフォルト設定ですが、変更されている場合は「クラシック-ローカルユーザがローカルユーザとして認証する」に設定変更してください。
また、ドメインポリシーで設定されている場合には、そちらの設定を確認してください。

Windowsサービスの設定と接続用ポート

サーバ種別に応じて、以下のサービスを起動します。
またそのサービスが利用するポートにリモートから接続出来る状態である必要があります。

No	サーバ種別	起動が必要なサービス名（表示名）	使用ポート番号
1	スタンドアロンサーバ	Server Workstation	TCP/445（SMB）
2	メンバサーバ	Server Workstation Net Logon	TCP/445（SMB）
3	Active Directoryサーバ	Server Workstation Net Logon	TCP/389（ADSI） TCP/445（SMB）

SMB/ADSI接続の許可設定

管理対象サーバ側のファイアウォール設定でSMB/ADSI接続が許可されている必要があります。
以下にコマンドプロンプトを使った設定例を示します。
※GUIからも設定可能です。

(設定コマンド)
C:\> netsh advfirewall firewall add rule name="iDoperation(445)" dir=in action=allow protocol=tcp localport=445

C:\> netsh advfirewall firewall add rule name="iDoperation(389)" dir=in action=allow protocol=tcp localport=389

(設定した内容の確認)
C:\> netsh advfirewall firewall show rule name="iDoperation(445)" verbose
C:\> netsh advfirewall firewall show rule name="iDoperation(389)" verbose

※以下のように結果が出力されます。（389/TCPの結果です。445/TCPの場合は389を445に読み替えてください）
規則名: iDoperation(389)
----------------------------------------------------------------------
有効: はい
方向: 入力
プロファイル: ドメイン,プライベート,パブリック
グループ:
ローカル IP: 任意
リモート IP: 任意
プロトコル: TCP
ローカルポート: 389
リモートポート: 任意
エッジトラバーサル: いいえ
インターフェイスの種類: 任意
セキュリティ: NotRequired
規則のソース: ローカル設定
操作: 許可
OK

Microsoft ネットワーク用ファイルとプリンタ共有の設定

ネットワークアダプタのプロパティにある「Microsoftネットワーク用ファイルとプリンタ共有」コンポーネントを有効化します。
デフォルトで有効化されていますが、無効化されている場合は設定変更をお願い致します。
複数のネットワークアダプタが存在する場合は、iDoperation Cloudがリモートから接続するIPが設定されているアダプタの設定を確認してください。

監査ポリシーの設定

ローカルセキュリティポリシーの「ローカルポリシー」-「監査ポリシー」を選択後、「ログオンイベントの監査」のセキュリティの設定を「成功、失敗」に設定します。

※ログイン失敗レポートが不要の場合は、「成功」ログのみの取得でも問題ありません。

ログ収集通信の許可設定

ログ収集する管理対象サーバ側のファイアウォール設定でiDoperationからのログ収集の通信が許可されている必要があります。
以下にコマンドプロンプトを使った設定例を示します。
※GUIからも設定可能です。

(設定コマンド)
C:\> netsh advfirewall firewall add rule name="iDoperation(.NET API)" dir=in action=allow protocol=tcp program=%systemroot%\system32\svchost.exe remoteip=＜iDoperationのIPアドレス（※）＞

(設定した内容の確認)
C:\> netsh advfirewall firewall show rule name="iDoperation(.NET API)" verbose

※以下のように結果が出力されます。
規則名: iDoperation(.NET API)
----------------------------------------------------------------------
有効: はい
方向: 入力
プロファイル: ドメイン,プライベート,パブリック
グループ:
ローカル IP: 任意
リモート IP: ＜iDoperationのIPアドレス＞
プロトコル: TCP
ローカルポート: 任意
リモートポート: 任意
エッジトラバーサル: いいえ
プログラム: C:\WINDOWS\system32\svchost.exe
インターフェイスの種類: 任意
セキュリティ: NotRequired
規則のソース: ローカル設定
操作: 許可
OK

What's Next

Windows系ターゲットの制約

INDEX