オフライン SAM 内の管理者アカウントの保護

文書翻訳 文書翻訳
文書番号: 223301
すべて展開する | すべて折りたたむ

目次

概要

この資料では、オフラインのセキュリティ アカウント マネージャー (SAM) のアカウントがセキュリティについて説明します。

ストア ドメインの Windows 2000 ドメイン コント ローラーのユーザー アカウント、グループ メンバーシップ、およびその他の Active directory オブジェクト。Windows 2000 バックアップ ツールおよびその他のサード ・ パーティ製のバックアップ プログラム jet ベースの Active Directory をオンラインの Windows 2000 ドメイン コント ローラーにバックアップできます。

システムの保守や、Active Directory の復元のみ Active Directory「オフライン」や「ディレクトリ サービスの復元」のモードで配置することによって実行できます。レジストリ ベースの SAM アカウント データベースを使用して、管理者アカウントとその他の組み込みのユーザーとグループを格納するのには、ディレクトリ サービス復元モードで Active Directory のよりも異なるセキュリティ コンテキストを表します。

詳細

レジストリ ベースの SAM の作成

Microsoft Windows NT バージョン 4.0 とストアの以前のユーザー アカウント、コンピューター アカウント、およびグループの情報は、レジストリ ベースの SAM を。Windows NT 4.0 プライマリ ドメイン コント ローラー (PDC) を Windows 2000 にアップグレードすると、Windows 2000 のセットアップの最後に DCPROMO を開始します。SAM のアカウントは、jet ベースの Active Directory に移行されます。レジストリ ベースの新しい SAM「オフライン」の管理者アカウント (とその他のビルトイン アカウントを Windows 2000 ドメイン コント ローラーを回復するために必要な) 含むを作成します。レジストリ ベースの sam のアカウント、ブート プロセスの最初の部分で F8 キーを押してディレクトリ サービス復元モードでのみ利用できます。レジストリ ベースの SAM は %SYSTEMROOT%\SYSTEM32\CONFIG] フォルダーに保存されます。

新しい Windows 2000 ドメインでは、active directory データベースを構築/ユーザーおよびグループのデフォルト セットを作成します。Windows NT 4.0 同種のレジストリ ベースの SAM を検出する Windows nt のアップグレード シナリオは、%SYSTEMROOT%\SYSTEM32\CONFIG フォルダーに作成します。

オフライン SAM をセキュリティ保護します。

オフライン SAM を保護するための方法は、4.0 では Windows NT を使用する方法と同じです。オフライン SAM をセキュリティ保護しようとしている管理者は、以下を考慮可能性があります。

  1. 管理者、DS は、オフライン sam の管理者アカウントを別のパスワードを保持します。ポリシーの問題として、Active Directory 内の管理者アカウントのパスワードをオフライン管理者アカウントとは異なるはずです。

    オンラインとオフラインのパスワードは Active Directory の管理者アカウントの最初のパスワード変更を別になります。
  2. リスクを評価し、強力なパスワードのガイドラインを使用して、Active Directory ベースのオフライン管理者アカウントのような重要なアカウントのパスワードを変更するポリシーを作成します。
  3. Windows 2000 ベースのドメイン コント ローラーが active directory モードで実行されている場合、オフラインの SAM プログラムでは使用できません。強力なパスワードを実装するには、は、オフライン管理者アカウントのポリシーを変更します。

    1. Windows 2000 ドメイン コント ローラーのディレクトリ サービスの復元モードを起動します。
    2. アカウントまたはアカウントのパスワードを変更します。
    3. Active Directory モードで起動します。
    効果的なシステム アップ時間は、サーバーに、オフライン管理者アカウントのパスワード変更間隔になります。
  4. %WINDIR%\SYSTEM32\CONFIG フォルダー内にある SAM ファイルの監査を有効にします。以外のシステムのバックアップを使用するか、ウイルス スキャンを調査する必要があります。

    メモ: 次の記事で、マイクロソフト サポート技術に記載されている手順を実行しますの操作を行いますされません。

    184017 管理者がサービス アカウントのパスワードの内容を表示できます。
    143475 システム キーを Windows NT、SAM の強力な暗号化を許可します。
  5. コンピューター、システム修復ディスクとテープ ・ バックアップ ・ メディアの物理的なセキュリティは、安全な環境を作成するために不可欠なコンポーネントです。

管理者は、オフライン SAM を攻撃するよりもオフライン管理者アカウントのパスワードを生成できない場合のサービスの多くの損失があります。セキュリティを損なうことがなく、パスワードをシステムの保守と回復できるようになりますを格納およびオフライン管理者パスワードを取得する内部プロセスを定義します。サーバーは、通常、オフピーク時に数か月または数年元のオペレーティング システムのインストール後リビルドはことを検討してください。

リモートでオフラインのリモート管理モードでターミナル サーバーの Windows NT を使用して、Boot.ini を切り替えて同じオフライン復元モードおよび Active Directory モードで、コンピューターの起動時間を切り替えるためのパスワードを変更する可能性があります。

Windows 2000 Service Pack 2 で、「DSRM パスワードの設定」コマンドに含まれている SETPWD.exe、、。NET のサーバー バージョンの NTDSUTIL.exe を許可します。DS 復元の管理者パスワードがドメイン コント ローラーのディレクトリ サービスがオンラインでを変更するのには、管理者です。

プロパティ

文書番号: 223301 - 最終更新日: 2011年7月22日 - リビジョン: 4.0
キーワード:?
kbinfo kbmt KB223301 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:223301
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com