Windows 2008 Web サーバーの管理者パスワードの変更

Windows 2008 Web サーバーの管理者パスワードの変更

以前の従業員から一時的に Windows 2008 Web サーバーの管理を引き継ぎました。できるだけ早く管理者パスワードを変更する必要がありますが、かなりの数のサービスもこのアカウントで実行されていることに気付きました。そのため、次のようになります。

  1. パスワードを変更するとどのサービスが影響を受けるかを簡単に確認する方法はありますか? それともリストを順に確認していく必要がありますか?
  2. 管理者アカウントがこのように使用されるのは適切ではないと思います。これらのサービス用に別のアカウントを作成する必要がありますか、それとも管理者アカウントを使用するのが標準的な方法でしょうか?
  3. 各サーバー/ネットワークの設定はそれぞれ異なることは承知していますが、管理者パスワードを変更する際に注意すべき点が他にありますか?

ありがとう

答え1

1) リストをスクロールする必要がありますが、「ログオン」列で並べ替えることができるため、LocalSystem、LocalService、NetworkService 以外のアカウントを使用しているものをすぐに見つけることができます。

2) これは間違いなくないベスト プラクティスなので、これらのユーザー アカウントを変更する必要があります。ただし、変更する前に、これらのサービスが実際に機能するために必要なアクセス権を確認する必要があります。カスタム ユーザー アカウント (LocalSystem、LocalService、NetworkService のいずれでもない) を使用する場合は、少なくとも「サービスとしてログオン」権限を付与する必要があります。

3) そのサーバー上のスケジュールされたタスクをチェックし、他のアプリケーションが管理者アカウントを使用してネットワーク経由でそのサーバーに接続していないかどうかもチェックする必要があります。Web サーバーの場合は、IIS のアプリケーション プール ID もチェックします。ただし、それらを管理者として実行するのは非常に賢明ではありません。ただし、サービスについても同じことが言えます。

答え2

間違っているかもしれませんが、管理者アカウントのパスワードに関係なく、そのユーザーがログインしている限り、サービスは起動すると思っていました。そうは言っても、プロキシ サーバー経由でのアクセスが必要な場合は、接続エラーやログイン ダイアログ ボックスが表示される可能性があります。悪意のある人物が制御を奪った場合に発生する可能性のある損害を制限するために、管理者レベルで実行されるプロセスとサービスの量を制限することをお勧めします。たとえば、プロキシ サーバー経由でのアクセスを必要とするシステムがいくつかあり、その目的のためだけに低レベルのユーザー アカウントが設定されています。このアカウントは非常に厳密に監査されるため、通常の動作からの逸脱はすぐに検出されます。

そうは言っても、あなたが言及している管理者アカウントがドメイン管理者アカウントなのか、それともサーバーのローカル管理者アカウントなのか、そしてそれらがどのように組み合わされているのかを知っておくと良いでしょう。

関連情報