多くの企業で導入されている Windows Server 環境においては、Active Directory の管理方法がシステム運用の成否を左右します。特に「Domain Admins」のメンバーシップはシステム全体の権限に関わる重要ポイント。ところが、せっかくドメイン管理者グループのメンバーを変更しても、いつの間にか元に戻ってしまうという現象が起きる場合があります。ここでは、その原因と解決策を詳しく解説します。
Domain Adminsとは
「Domain Admins」は Active Directory ドメイン全体の管理権限を持つ重要なグループです。このグループに属するアカウントは、ドメイン内のユーザーやコンピューター、グループポリシーといったさまざまなリソースに対して広範な操作が可能となります。
通常、セキュリティ上の観点からこのグループへのメンバー追加は最小限に抑えるのがベストプラクティスです。しかし、管理者が増えたり、権限委譲の都合上でメンバーを整理したりするときに、削除・追加の操作が必要になります。
ドメイン環境での権限管理が複雑化する理由
企業規模が大きくなるほど、Active Directory で管理するユーザーやコンピューターは膨大になります。そのため、権限の重複や継承が進み、「何がどこに設定されているか分からない」という状態に陥りがちです。さらにグループポリシー (Group Policy) は強力かつ柔軟な機能ですが、それゆえに設定の意図が不明確になるケースも少なくありません。
今回取り上げる「Domain Admins」のメンバーシップが勝手に元に戻るという現象は、こうした複雑化した GPO 設定の一例といえるでしょう。
Restricted Groupsの概要
Restricted Groups とは何か
Restricted Groups (制限付きグループ) とは、グループポリシーで特定のセキュリティグループに所属するユーザーを強制的に定義する機能です。具体的には、以下のような動作をします。
- GPO の設定で指定されたグループに、明示的に定義したユーザー (およびグループ) 以外は含まれない
- ポリシーの適用時に、定義外のユーザーやグループが対象グループから削除される
この機能は、本来であれば「ローカル Administrators グループ」や「ローカル Power Users グループ」に対しての一律設定などに利用されることが多いです。しかし、誤って「Domain Admins」を Restricted Groups として設定してしまうと、ポリシー適用のたびに想定外のメンバー削除や追加が自動的に行われ、意図しないグループ構成の上書きが発生します。
Restricted Groups を使うメリット
Restricted Groups は、以下のような利点から有用とされる場面があります。
- ドメイン内の多数のクライアントPCに対して、一律にローカルグループのメンバーを揃えたい
- 様々な組織変更や人事異動に伴い、混乱しがちなローカル権限を中央集権的に管理したい
ただし、ドメイン全体の管理グループである「Domain Admins」に対して設定するのはリスクが高く、管理上の混乱を招くことが多いです。
Default Domain PolicyにRestricted Groupsを設定した場合の影響
なぜ Default Domain Policy に設定されていると問題なのか
「Default Domain Policy」は、文字通りドメイン全体にデフォルトで適用されるグループポリシーオブジェクト(GPO)です。これにはパスワードポリシーや Kerberos ポリシーなど、ドメインの基本設定が含まれています。
本来であれば「Restricted Groups」のように、詳細に制御が必要な設定は別の専用 GPO で管理することが推奨されます。しかし、何らかの経緯で「Default Domain Policy」の中に「Domain Admins」を Restricted Groups として追加してしまうと、全ドメインに強力な上書き設定が走るため、思わぬトラブルが起きるのです。
運用上の典型的なシナリオ
- ドメインコントローラーを追加したり、管理者アカウントを増やしたりしているうちに「誰か」が便利そうだからと Default Domain Policy に Restricted Groups を設定する
- 一時的には「Domain Admins」のメンバー制御ができたように見える
- ある日「Domain Admins」のメンバーを外部から手動で追加・削除したら、翌日 (あるいは GPO が再適用されるタイミング) に元の状態に戻ってしまう
- 管理者は「なぜ設定が戻るのか分からない」状態に陥る
なぜ自動的に元に戻るのか
これは GPO の定期適用サイクルによるものです。Windows Server 環境では、通常 90~120 分おきにグループポリシーの更新チェックが行われ、ドメインコントローラーやクライアントで定義された GPO が自動反映されます。さらに、マシンを再起動したり、手動で「gpupdate /force」を実行したりした際にも、ポリシーが即時適用されます。
Restricted Groups で「Domain Admins」の構成が定義されていると、このポリシー適用時に常に“規定のメンバー”だけが残され、それ以外は削除されます。これが「いつの間にか元に戻る」現象の正体です。
具体例
以下のような Default Domain Policy 画面を想定してください。
| ポリシー パス | 設定項目 | 設定内容 |
|---|---|---|
| Computer Configuration \ Policies \ Windows Settings \ Security Settings \ Restricted Groups | Domain Admins | – メンバー: Administrator, AdminUser1 – このグループ以外のアカウントを常に削除 |
ここに、たとえば新規管理者アカウント “AdminUser2” を手動追加しても、ポリシー適用後には “AdminUser2” が削除され、Administrator と AdminUser1 だけの状態に戻ってしまいます。
サンプル設定画面
Restricted Groups の設定画面では、以下のようにグループとメンバーが明確に定義されます:
グループ名: Domain Admins
このグループのメンバー:
1) Administrator
2) AdminUser1「このグループのメンバーをこれらに制限する」オプションが有効になっているため、ポリシー適用のたびにそれ以外のユーザーが排除されます。
Restricted Groupsの設定を修正・削除する手順
確認すべきポイント
まずはポリシーを確認する必要があります。多くの場合、このように操作することで設定の有無をチェックできます。
- グループポリシー管理コンソール (GPMC) を開く
- [Forest] → [Domains] → 該当ドメイン → [Group Policy Objects] → [Default Domain Policy] を右クリック → [Edit…]
- [Computer Configuration] → [Policies] → [Windows Settings] → [Security Settings] → [Restricted Groups]
- 「Domain Admins」などがリストに含まれていないかを確認
もし含まれていれば、それが今回の原因である可能性が非常に高いです。
修正・削除の流れ
方法1: Restricted Groups を削除する
「Domain Admins」グループそのものを Restricted Groups から削除します。
- Restricted Groups の画面で「Domain Admins」を右クリック
- [Delete] を選択し、設定を削除
- GPO を閉じて変更を保存
これでポリシーが再適用されても、メンバーシップは上書きされなくなります。ただし、削除後には実際に「Domain Admins」のメンバーを再度確認し、望ましい構成に直しておきましょう。
方法2: 設定を修正し、正しいメンバーを定義する
何らかの理由で Restricted Groups 機能を使わなければならない場合は、正しいメンバーを改めて設定します。たとえば、確実に保持したい管理者アカウントのみを指定し、その他は別のグループで権限管理するなど、設計を見直します。
ただし、「Domain Admins」に対して Restricted Groups を使うケースは稀なので、運用には十分注意してください。
方法3: 新規 GPO で運用し、Default Domain Policy から分離する
ベストプラクティスとして、Default Domain Policy には最小限の設定だけを残し、複雑なセキュリティ設定やコンピューター構成は別の GPO を作成して適用するのが推奨されます。
- New GPO を作成 (例: “DomainAdmins_RestrictedGroups_Policy”)
- この GPO を適用する OU を絞る (必要であれば Domain Controllers OU など)
- Restricted Groups を定義するならば、十分にテストしてから運用に反映
監査ポリシーの設定と活用
管理グループの変更がどのようなタイミングで行われているか、誰が行ったかを追跡したい場合は、Windows の監査ポリシーを有効にすると便利です。
監査ポリシーを有効にするメリット
- 誰がいつグループのメンバーを追加・削除したかが分かる
- 監査ログを定期的にチェックすることで、不正な変更や誤操作を素早く検知できる
- 監査ログを保管することで、コンプライアンス上の根拠を示すことができる
レガシー監査ポリシーと詳細監査ポリシー
Windows Server には大きく分けて 2 種類の監査設定があります。
- レガシー監査ポリシー
[Computer Configuration] → [Policies] → [Windows Settings] → [Security Settings] → [Local Policies] → [Audit Policy]
- “Audit Account Management” を成功と失敗に設定すると、ユーザーやグループが作成・変更されたときのイベントログが記録されます。
- 詳細監査ポリシー (Advanced Audit Policy)
[Computer Configuration] → [Policies] → [Windows Settings] → [Security Settings] → [Advanced Audit Policy Configuration] → [Account Management]
- “Audit Security Group Management” を成功と失敗に設定すると、グループにおけるメンバー追加・削除などがより詳細に記録されます。
監査イベントの具体的内容
監査を有効にしたのち、ドメインコントローラーのセキュリティログには以下のようなイベントが記録されます。
- イベントID 4728 (セキュリティグループへのメンバー追加)
- イベントID 4729 (セキュリティグループからのメンバー削除)
これらのイベントログを見ると、どのアカウントが追加・削除されたか、どのタイミングで誰が操作したかを把握できます。
運用上のヒント
- Default Domain Policy: 原則としてパスワードポリシーやアカウントロックアウトポリシーなど、ドメイン全体に共通する最小限の設定にとどめましょう。
- 専用GPOを作る: もし Restricted Groups を使いたい場合は、専用の GPO を作り、OU 単位で適用したり、セキュリティフィルタリングしたりして、影響範囲を最小化します。
- 検証環境でテスト: 本番適用前に必ずテストドメインやテスト OU で設定を試し、どのような変更が発生するか監査ログなどを使って確認してください。
- グループ設計の見直し: 「Domain Admins」に頼りすぎず、サーバ管理、ユーザー管理など役割ごとにグループを切り分けて権限を委譲するのも一つの手段です。
まとめ
「Domain Admins」グループのメンバー構成が自動的に元に戻ってしまうトラブルの多くは、Restricted Groups が設定されていることが原因です。とりわけ Default Domain Policy の中に「Domain Admins」を含む Restricted Groups が設定されていると、ポリシーが定期的に適用され、手動で行ったメンバーの追加や削除が意図せず打ち消されてしまいます。
解決には以下のステップが有効です。
- Restricted Groups の存在を確認: Default Domain Policy やその他の GPO に「Domain Admins」が指定されていないかチェック
- 修正・削除: 不要な設定なら削除、必要なら正しいメンバーだけを定義
- 監査ポリシー有効化: 誰がいつ変更を行っているか追跡できるようにして、トラブルシューティングやセキュリティ対策に活かす
- GPO 設計の見直し: Default Domain Policy には最小限の設定のみを行い、複雑な設定は別 GPO に切り出す
こうした手順を踏むことで、Domain Admins のメンバーシップが戻ってしまう問題は解消され、より安定した Active Directory 運用が可能になります。企業のセキュリティレベルを高め、管理者の混乱を避けるためにも、Restricted Groups の設定内容や GPO 設計のベストプラクティスを常に意識することが大切です。
コメント