Windowsサービスアカウントのパスワードリセット

（この機能は、Enterprise Editionでのみサポートされています。）

Windowsサービスアカウントは、アプリケーションソフトウェアサービスやプロセスを実行するシステムプログラムにより使用され、通常のユーザーアカウントよりも高い権限を有します。クリティカルなビジネスプロセスやサービスを実行するための強力なアカウントです。多くのサードパーティサービス、スケジュールタスク、またはプロセスが同じサービスアカウントを使用しているので、複雑な相互関係となっています。

通常は、特定のWindowsドメインアカウントがWindowsサーバーで稼働するサービスアカウントとして利用され、ネットワーク接続を必要としています。Password Manager Proは、特定のドメインアカウントと関連付けられたサービスアカウントを識別することができます。Password Manager Proが管理しているドメインアカウントのパスワードをリセットする際、そのドメインアカウトをサービスアカウントとして使用しているサービスを特定します。ドメインパスワードが変更されると、自動的にサービスアカウントのパスワードをリセットします。

サービスアカウントのパスワードリセットを行った後、変更を適用するためにサービスの再起動が必要な場合があります。PMPによるWindowsサービスアカウントのパスワードリセット機能は、これらの操作を完全自動化されています。

Windowsサービスアカウントリセットの運用例

サービスアカウントリセットが有効化されたすべてのWindowsドメインアカウントに対し、PMPはサービスアカウントとしてドメインアカウントを使用するサービスを特定し、ドメインパスワードが変更された際に自動的にサービスアカウントのパスワードをリセットします。

Windowsサービスアカウントのパスワードリセット方法

必要条件：Windowsサービスアカウントリセットを行う前に、依存関係のあるサービスが稼働するサーバーで、次のサービスが有効化されていることを確認します；

(1) Windows RPCサービスが有効であること

(2) Windows Management Instrumentation (WMI)サービスが有効であること

ワークフロー概要：Windowsサービスアカウントパスワードの設定とスケジュールタスクによるパスワードリセット

例；

サービスアカウント "SA1" が存在します。
"SA1"を利用する4台のサーバー "Win1"、"Win2"、"Win3"、"Win4" が存在します。
"SA1" は、ドメイン名 "MyDomain" に所属します。
ドメイン管理者のアカウント名は "DomainAdmin"です。

Windowsサービスアカウントリセットを有効にするには、次の操作を行います；

サービスアカウントを利用するWindowsリソースをサーバー上に作成します。上記の例においては、"Win1"、"Win2"、"Win3"、"Win4" をリソース種別 "Windows" で作成します。（サービスアカウントが複数のドメインにまたがって存在する場合、PMPはローカル管理者のアカウントを使用してログインします。そのため、複数ドメインのサービスアカウントのパスワードリセットを行う場合には、リソース作成時にローカル管理者のアカウントを入力します。）
上記のWindowsリソースをすべて含むリソースグループ、"RG1" を作成します。
"Windowsドメイン"のリソースを作成します。上記の例では、ドメイン名は "MyDomain" で、リソース種別として "Windowsドメイン" を選択します。
個別のドメインアカウントを追加します。上記の例では、ドメインアカウントとして "SA1" を追加します。
サービスアカウントとして使用するドメインアカウントのリソースを含むリソースグループを指定します。上記の例では、"SA1"と"RG1" を関連付けます。
ドメイン管理者アカウントを指定します。上記の例では、"DomainAdmin" になります。これはサービスアカウントのパスワードリセットを行うために必要です。

メモ：上記手順は自動化され、PMPは、特権アカウントの検出プロセス中にドメインメンバー（v8300以上）上でサービスに関連したサービスアカウントを取得します。

ドメインアカウントのパスワードをリセットする際には；

変更はドメイン上でただちに行われます。
PMPは、関連するリソースグループを順に処理し、各リソース毎にサービスアカウントとしてドメインアカウントを使用するサービスとスケジュールタスクの一覧を表示させます。
PMPはドメイン管理者の資格情報を使用してサーバーにログインし、強制的にサービスアカウントのパスワードとスケジュールタスクのパスワードを変更します。そして、サービスを再起動します。

Windowsサービスアカウントのパスワードリセット設定方法

ドメインコントローラをリソース種別 "Windowsドメイン"として追加します。追加する際にはDNS名とドメイン名を必ず入力します。
ドメイン管理者アカウントをこの"Windowsドメイン"リソースに追加します。
この"Windowsドメイン"リソースへのログオン用のアカウントとして使用するサービスアカウントを追加します。
各サービスが動作しているマシンをリソース種別、"Windows"として追加します。
すべてのWindowsリソースを含むリソースグループを作成します。例：Service Account Group
Windowsドメインリソースに対するリソースアクションアイコンをクリック、[パスワード変更用の資格情報を設定]を選択します。

表示されるポップアップフォームで、「管理者アカウント」としてDomain Adminアカウントを選択します。
保存をクリックします。

WindowsDomainリソースをクリックします。表示されるUI で、サービスアカウントに対して[ アカウントアクション ]アイコンをクリックし、ドロップダウンから[アカウント編集]を選択します。

ポップアップ画面が表示されたら、目的のグループを右側の他のボックスに移動して、このサービスアカウントのリソースグループを関連付けます。
また、Password Manager Proでパスワードが更新された直後にWindowsサービスアカウントを再起動する場合は、[再起動]オプションをオンにします。

[Windowsドメイン]リソースに追加したサービスアカウントのチェックボックスをオンにして、[サービスアカウント]タブをクリックし、[サポートされているサービスアカウント]タブを選択します。このサービスアカウントをログオンアカウントとして使用するサービスが一覧表示されます。パスワードをリセットすると、パスワードはリモートマシンで実行中のサービスでもリセットされます。