ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

ドメイン参加後のBuilt-inのローカルAdministratorのパスワード変更は可能?

ドメイン参加後のBuilt-inのローカルAdministratorのパスワード変更は可能かどうかというのは、あんまりサーバを経験したことがない方や、ADの構築、運用経験が少ない方はあんまりピンと来ていないかもしれません。

 

初めてドメインコントローラを構築する場合、ビルトインのAdministratorがドメインのAdministratorに変わりますが、そちらについて同様の疑問を持った方の質問がフォーラムに情報がありました。

 

質問内容です。

 

Active Directory参加後(ドメコンワークステーション)に

ローカルAdministrator(AD参加前のAdministrator)のパスワード変更についてですが

メコンの場合一旦降格(ADの役割削除)を実施し、WorkGroupでログイン後でないと変更できないのでしょうか?

 

以下のように回答があります。 

 

DCになるとローカルAdministratorはいなくなります。(ドメインAdministratorがローカルAdministratorになると言った方が正しいかもしれません)
降格時にはローカルAdministratorのパスワードを設定します。

私の検証環境で以下コマンドは通りましたが、ドメインAdministratorのパスワードが変更されました。

 

もう一つ参考になる情報です。

この件ですが、ドメインコントローラーのローカルアカウント(Administrator)は基本的に存在が隠れてしまうため、アクセス自体出来ません。

なので基本的には考慮不可なのですが、DSRM(ディレクトリサービス復元モード)のアカウントは考慮すべきかもしれません。ローカル管理者アカウントの一種で、Active Directoryデータベースのリストアや、利用不可の際にトラブルシュートのために使用します。

DSRMはコマンドで変更できますので、したのページを参考にしてください。

https://kogelog.com/2010/06/30/20100630-01/

 

Active Directoryに参加後のローカルAdministratorのパスワード変更について。 

 

結論、ローカルのAdminsitratorという概念は考える必要はないですね。ドメインコントローラに関しては。ただ、メンバーサーバは使用可能なので、どちらも運用で使用する場合は、パスワードの運用などはしっかりと考える必要があります。

 

セキュリティ的にはAdministratorは違う名前にして運営したほうがベターです。