Windowsターゲット管理
- 印刷する
Windowsターゲット管理
- 印刷する
記事の要約
この要約は役に立ちましたか?
ご意見ありがとうございます
ターゲット登録
ターゲットの登録には、WindowsAddコマンドを使用します。
WindowsAddのフォーマット
| WindowsAdd,ターゲット名,アカウントの同期,IPアドレス/ホスト名,所属グループ,メモ,ターゲットとの接続にドメインアカウントを使用する,(管理者アカウント)ドメイン,(管理者アカウント)アカウント,(管理者アカウント)パスワード,ID管理操作タイムアウト,認証先ドメイン,タイムゾーン,(オートログイン接続情報)IPアドレス/ホスト名,アカウントポリシー,特権IDの利用点検レポート出力対象,アクセスログの収集,ログイン失敗ログの収集,(アーカイブログの利用)ファイルパス,ログ収集開始日時,ログ収集タイムアウト時間,(オートログイン実行とアクセスログの突合設定)オートログイン実行日時より前の突合範囲,(オートログイン実行とアクセスログの突合設定)オートログイン実行日時より後の突合範囲,(Windows系ターゲット向け設定)重複ログインログ判定時間,(Windows系ターゲット向け設定)SCエージェントのインストール有無,申請時のワンタイム特権IDの利用,アカウント名ポリシー(個別設定),所属アカウントグループ,アカウント操作が異常終了した場合,再実行間隔,再実行最大数 |
WindowsAddのパラメータ
| No | パラメータ | 概要 | 必須 |
| 1 | WindowsAdd | コマンド名 | ○ |
| 2 | ターゲット名 | ターゲット名を設定します。 例:ターゲット001 | ○ |
| 3 | アカウントの同期 | アカウントの同期を行うかどうかを設定します。 0:同期しない 1:同期する 例:1 | |
| 4 | IPアドレス/ホスト名 | IPアドレス、またはホスト名を設定します。 例:192.168.56.50 | ○ |
| 5 | 所属グループ | ターゲットの所属グループ名を設定します。 複数のグループに所属する場合はコロン「:」で区切ります。 1つ目のグループを主グループ、それ以降を申請専用グループとして設定します。 例:グループ01 | ○ |
| 6 | メモ | メモを設定します。 例:ターゲット001です。 | |
| 7 | ターゲットとの接続にドメインアカウントを使用する | 管理者アカウントにドメインアカウントを使用するかどうかを設定します。 0:使用しない 1:使用する 例:0 | ○(*1) |
| 8 | (管理者アカウント) ドメイン | ターゲットとの接続にドメインアカウントを使用する場合は、Active Directory のターゲット名を設定します。 例:ドメインターゲット001 | |
| 9 | (管理者アカウント) アカウント | 管理者アカウントを設定します。 例:Administrator | ○(*1) |
| 10 | (管理者アカウント) パスワード | 管理者アカウントのパスワードを設定します。 ターゲットの接続にドメインアカウントを使用する場合は、設定不要です。 例:Password | ○(*1) |
| 11 | ID管理操作タイムアウト | ID管理でアタッチメントの処理時間のタイムアウト時間(単位:秒)を設定します。 例:300 | |
| 12 | 認証先ドメイン | 認証先ドメインを設定します。 複数設定する場合はコロン「:」で区切ります。 例:ドメインターゲット01 | |
| 13 | タイムゾーン | タイムゾーンを設定します。 +HHMMまたは、-HHMMで設定します。(HHMMはUTC +HH:MMの値) 例:+0900 (日本標準時の場合) | ○ |
| 14 | (オートログイン接続情報) IPアドレス/ホスト名 | ターゲットが複数のIPアドレスを持っている場合は、IPアドレス/ホスト名と表示名を設定します。 IPアドレス/ホスト名と表示名はパイプ「|」で区切ります。 複数のオートログイン接続情報を指定する場合はコロン「:」で区切ります。 例1:192.168.100.5|ホスト名1 例2:192.168.100.5|ホスト名1:192.168.56.50|ホスト名2 | |
| 15 | アカウントポリシー | アカウントポリシー名を設定します。 設定しない場合は、所属ターゲットグループのアカウントポリシーを継承して設定します。 例:アカウントポリシー01 | |
| 16 | 特権IDの利用点検レポート出力対象 | 「特権ID利用点検レポート」、「アクセス履歴レポート」、「ログイン失敗履歴レポート」の出力対象とするかどうかを設定します。 0:対象としない 1:対象とする 例:1 | ○ |
| 17 | アクセスログの収集 | ターゲットのアクセスログを収集するかどうかを設定します。 0:収集しない 1:収集する 例:1 | ○(*4) |
| 18 | ログイン失敗ログの収集 | ログイン失敗ログを収集するかどうかを設定します。 0:収集しない 1:収集する 例:1 | ○(*5) |
| 19 | (アーカイブログの利用) ファイルパス | アーカイブログを収集する場合は、セキュリティログが出力されるファイルパスを設定します。 設定しない場合は、アーカイブログは使用しません。 例:%SystemRoot%\System32\winevt\Logs\Security.evtx | |
| 20 | ログ収集開始日時 | ログ収集開始日時を「YYYY-MM-DD」もしくは「YYYY/MM/DD」形式で設定します。 設定しない場合は、即時が設定されます。 例:2023/10/01 | |
| 21 | ログ収集タイムアウト時間 | ログ収集のタイムアウト時間を設定します。 1~999の範囲で設定します。(単位:分) 例:60 | ○(*5) |
| 22 | (オートログイン実行とアクセスログの突合設定) オートログイン実行日時より前の突合範囲 | オートログイン情報とログインログの突合時のオートログイン実行日時より前の突合範囲を設定します。 0~999の範囲で設定します。(単位:秒) 例:60 | ○(*5) |
| 23 | (オートログイン実行とアクセスログの突合設定) オートログイン実行日時より後の突合範囲 | オートログイン情報とログインログの突合時のオートログイン実行日時より後の突合範囲を設定します。(単位:秒) 0~999の範囲で設定します。(単位:秒) 例:60 | ○(*5) |
| 24 | (Windows系ターゲット向け設定) 重複ログインログ判定時間 | 重複ログインログ判定時間を設定します。 0~999の範囲で設定します。(単位:秒) 例:5 | ○(*5) |
| 25 | (Windows系ターゲット向け設定) SCエージェントのインストール有無 | ターゲットへ、SCエージェントのインストール有無を設定します。 iDoperation SCと連携していない場合は、設定不要です。 0:インストールしていない 1:インストールしている 例:0 | ○(*5) |
| 26 | 申請時のワンタイム特権IDの利用 | ワンタイム特権IDを利用するかどうかを設定します。 0:利用しない 1:利用する 例:1 | ○(*1) |
| 27 | アカウント名ポリシー(個別設定) | ワンタイムアカウントの命名ポリシーを設定します。 命名ポリシーには連番の桁数指定として「%n」(nは1 ~8)を含める必要があります。 連番の桁数は1桁~8桁まで指定可能です。 ワークフロー管理のワークフロー設定で設定したアカウント名ポリシーを使用する場合は、そのアカウント名ポリシーと同じ文字列を設定します。 例:idope-%4 | ○(*2) |
| 28 | 所属アカウントグループ | 所属アカウントグループを設定します。 複数のグループに所属する場合はコロン「:」で区切ります。 例:accountgroup-1 | ○(*2) |
| 29 | アカウント操作が異常終了した場合 | ワンタイム特権IDの貸出、返却時のアカウント操作が異常終了した場合にアカウント操作を再実行するかどうかを設定します。 0:再実行しない 1:再実行する 例:1 | ○(*2) |
| 30 | 再実行間隔 | アカウント操作を再実行する場合の、実行間隔(分)を設定します。 1~60の範囲で設定します。 例:5 | ○(*3) |
| 31 | 再実行最大数 | アカウント操作を再実行する場合の、再実行最大数を設定します。 1~99の範囲で設定します。 例:3 | ○(*3) |
(*1) アカウントの同期を「同期する」に設定した場合、必須です。
(*2) 申請時のワンタイム特権IDの利用を「利用する」に設定した場合、必須です。
(*3) アカウント操作が異常終了した場合を「再実行する」に設定した場合、必須です。
(*4) 特権IDの利用点検レポート出力対象を「対象とする」に設定した場合、必須です。
(*5) アクセスログの収集を「収集する」に設定した場合、必須です。
コマンド記述例
| WindowsAdd,ターゲット001,1,192.168.56.50,マネージャグループ01:グループ01,ターゲット001です。,0,,Administrator,Password,300,,+0900,192.168.100.5|ホスト名1:192.168.50.50|ホスト名2,アカウントポリシー01,1,1,1,%SystemRoot%\System32\winevt\Logs\Security.evtx,2020/05/20,60,60,60,5,1,1,idope-%4,accountgroup-1,1,4,1 |
ターゲット変更
ターゲットの変更には、WindowsModifyコマンドを使用します。
WindowsModifyのフォーマット
| WindowsModify,ターゲット名,ターゲット名(変更後),IPアドレス/ホスト名,所属グループ,メモ,ターゲットとの接続にドメインアカウントを使用する,(管理者アカウント)ドメイン,(管理者アカウント)アカウント,(管理者アカウント)パスワード,ID管理操作タイムアウト,認証先ドメイン,タイムゾーン,(オートログイン接続情報)IPアドレス/ホスト名,アカウントポリシー,特権IDの利用点検レポート出力対象,アクセスログの収集,ログイン失敗ログの収集,(アーカイブログの利用)ファイルパス,ログ収集開始日時,ログ収集タイムアウト時間,(オートログイン実行とアクセスログの突合設定)オートログイン実行日時より前の突合範囲,(オートログイン実行とアクセスログの突合設定)オートログイン実行日時より後の突合範囲,(Windows系ターゲット向け設定)重複ログインログ判定時間,(Windows系ターゲット向け設定)SCエージェントのインストール有無,申請時のワンタイム特権IDの利用,アカウント名ポリシー(個別設定),所属アカウントグループ,アカウント操作が異常終了した場合,再実行間隔,再実行最大数 |
WindowsModifyのパラメータ
| No | パラメータ | 概要 | 必須 |
| 1 | WindowsModify | コマンド名 | ○ |
| 2 | ターゲット名 | ターゲット名を設定します。 例:ターゲット001 | ○ |
| 3 | ターゲット名(変更後) | 変更後のターゲット名を設定します。 例:ターゲット100 | |
| 4 | IPアドレス/ホスト名 | IPアドレス、またはホスト名を設定します。 例:192.168.56.50 | |
| 5 | 所属グループ | ターゲットの所属グループ名を設定します。 複数のグループに所属する場合はコロン「:」で区切ります。 1つ目のグループを主グループ、それ以降を申請専用グループとして設定します。 ※変更する場合は、変更後に利用する全てのグループを設定します。 例:グループ01 | |
| 6 | メモ | メモを設定します。 例:ターゲット100です。 | |
| 7 | ターゲットとの接続にドメインアカウントを使用する | 管理者アカウントにドメインアカウントを使用するかどうかを設定します。 0:使用しない 1:使用する 例:0 | |
| 8 | (管理者アカウント) ドメイン | ターゲットとの接続にドメインアカウントを使用する場合は、Active Directory のターゲット名を設定します。 例:ドメインターゲット001 | |
| 9 | (管理者アカウント) アカウント | 管理者アカウントを設定します。 例:Administrator | |
| 10 | (管理者アカウント) パスワード | 管理者アカウントのパスワードを設定します。 ターゲットの接続にドメインアカウントを利用する場合は、設定不要です。 例:PassWord | |
| 11 | ID管理操作タイムアウト | ID管理でアタッチメントの処理時間のタイムアウト時間(単位:秒)を設定します。 例:300 | |
| 12 | 認証先ドメイン | 認証先ドメインを設定します。 複数設定する場合はコロン「:」で区切ります。 例:ドメインターゲット01 | |
| 13 | タイムゾーン | タイムゾーンを設定します。 +HHMMまたは、-HHMMで設定します。(HHMMはUTC +HH:MMの値) 例:+0900 (日本標準時の場合) | |
| 14 | (オートログイン接続情報) IPアドレス/ホスト名 | ターゲットが複数のIPアドレスを持っている場合は、IPアドレス/ホスト名と表示名を設定します。 IPアドレス/ホスト名と表示名はパイプ「|」で区切ります。 複数のオートログイン接続情報を指定する場合はコロン「:」で区切ります。 例1:192.168.100.5|ホスト名1 例2:192.168.100.5|ホスト名1:192.168.56.50|ホスト名2 | |
| 15 | アカウントポリシー | アカウントポリシー名を設定します。 NULL:所属ターゲットグループのアカウントポリシーを継承する 例:アカウントポリシー01 | |
| 16 | 特権IDの利用点検レポート出力対象 | 「特権ID利用点検レポート」、「アクセス履歴レポート」、「ログイン失敗履歴レポート」の出力対象とするかどうかを設定します。 0:対象としない 1:対象とする 例:1 | |
| 17 | アクセスログの収集 | ターゲットのアクセスログを収集するかどうかを設定します。 0:収集しない 1:収集する 例:1 | ○(*3) |
| 18 | ログイン失敗ログの収集 | ログイン失敗ログを収集するかどうかを設定します。 0:収集しない 1:収集する 例:1 | ○(*4) |
| 19 | (アーカイブログの利用) ファイルパス | アーカイブログを収集する場合は、セキュリティログが出力されるファイルパスを設定します。アーカイブログを使用しない場合は、NULLを設定します。 例:%SystemRoot%\System32\winevt\Logs\Security.evtx | |
| 20 | ログ収集開始日時 | ログ収集開始日時を「YYYY-MM-DD」もしくは「YYYY/MM/DD」形式で設定します。 設定しない場合は、即時が設定されます。 一度でもログ収集したことのあるターゲットの場合は、設定できません。 例:2023/10/01 | |
| 21 | ログ収集タイムアウト時間 | ログ収集のタイムアウト時間を設定します。 1~999の範囲で設定します。(単位:分) 例:60 | ○(*4) |
| 22 | (オートログイン実行とアクセスログの突合設定) オートログイン実行日時より前の突合範囲 | オートログイン情報とログインログの突合時のオートログイン実行日時より前の突合範囲を設定します 0~999の範囲で設定します。(単位:秒) 例:60 | ○(*4) |
| 23 | (オートログイン実行とアクセスログの突合設定) オートログイン実行日時より後の突合範囲 | オートログイン情報とログインログの突合時のオートログイン実行日時より後の突合範囲を設定します。 0~999の範囲で設定します。(単位:秒) 例:60 | ○(*4) |
| 24 | (Windows系ターゲット向け設定) 重複ログイン判定ログ時間 | 重複ログインログ判定時間を設定します。 0~999の範囲で設定します。(単位:秒) 例:5 | ○(*4) |
| 25 | (Windows系ターゲット向け設定) SCエージェントのインストール有無 | ターゲットへ、SCエージェントのインストール有無を設定します。 iDoperation SCと連携していない場合は、設定不要です。 0:インストールしていない 1:インストールしている 例:0 | ○(*4) |
| 26 | 申請時のワンタイム特権IDの利用 | ワンタイム特権IDを利用するかどうかを設定します。 0:利用しない 1:利用する 例:1 | |
| 27 | アカウント名ポリシー (個別設定) | ワンタイムアカウントの命名ポリシーを設定します。 命名ポリシーには連番の桁数指定として「%n」(nは1 ~8)を含める必要があります。 連番の桁数は1桁~8桁まで指定可能です。 ワークフロー管理のワークフロー設定で設定したアカウント名ポリシーを使用する場合は、そのアカウント名ポリシーと同じ文字列を設定します。 例:idope-%4 | ○(*1) |
| 28 | 所属アカウントグループ | 所属アカウントグループを設定します。 複数のグループに所属する場合はコロン「:」で区切ります。 例:accountgroup-1 | ○(*1) |
| 29 | アカウント操作が異常終了した場合 | ワンタイム特権IDの貸出、返却時のアカウント操作が異常終了した場合にアカウント操作を再実行するかどうかを設定します。 0:再実行しない 1:再実行する 例:1 | ○(*1) |
| 30 | 再実行間隔 | アカウント操作を再実行する場合の、実行間隔(分)を設定します。 1~60の範囲で設定します。 例:5 | ○(*2) |
| 31 | 再実行最大数 | アカウント操作を再実行する場合の、再実行最大数を設定します。 1~99の範囲で設定します。 例:3 | ○(*2) |
(*1) 申請時のワンタイム特権IDの利用を「利用する」に設定した場合、必須です。
(*2) アカウント操作が異常終了した場合を「再実行する」に設定した場合、必須です。
(*3) 特権IDの利用点検レポート出力対象を「対象とする」に設定した場合、必須です。
(*4) アクセスログの収集を「収集する」に設定した場合、必須。
コマンド記述例
| WindowsModify,ターゲット001,ターゲット002,192.168.56.50,マネージャグループ01:グループ01,ターゲット001です。,0,,Administrator,Password,300,,+0900,192.168.100.5|ホスト名1:192.168.50.50|ホスト名2,アカウントポリシー01,1,1,1,%SystemRoot%\System32\winevt\Logs\Security.evtx,2020/05/20,60,60,60,5,1,1,idope-%4,accountgroup-1,1,4,1 |