Active Directory の Administrator を PC やサーバー保守に使用してはいけない
本稿では、ドメインの Administrator(Domain Admins / RID=500)の特徴・危険性・正しい運用について解説します。
結論から言えば、
Active Directory の Administrator は、
ドメインコントローラー(DC)および専用管理端末(PAW / ジャンプサーバー)以外では使用してはいけません。
一般 PC や業務サーバーの保守に Domain Admins を使用することは、ランサムウェアによるドメイン全体侵害を引き起こす最短ルートです。
1. ドメイン Administrator の技術的特徴
1.1 DC 昇格時の挙動
Windows Server のインストール時には、ローカル Administrator(Built-in Administrator)のパスワード設定が要求されます。
その後、このサーバーを ドメインコントローラーに昇格すると、
- ローカル SAM データベースは使用されなくなり
- Administrator(RID 500)アカウントはドメインアカウントとして引き継がれます
「無効化される」「新規作成される」わけではありません。
1.2 Administrator を取り巻く主要グループ
| セキュリティグループ | 内容 |
|---|---|
| Domain Admins | Active Directory の グローバルセキュリティグループ。ドメイン参加している すべてのコンピューターの「ローカル Administrators グループ」に自動的に追加される。その結果、DC/サーバー/クライアントすべてに対して ローカル管理者権限を持つ |
| Enterprise Admins | フォレスト全体を管理できる最大権限。子ドメインの作成、スキーマ変更など。※サブドメインの Administrator は EA に所属しない。 |
| Schema Admins (※フォレストルートで最初の DC を構築した場合) | AD のスキーマ変更が可能なグループ。 |
| Domain Built-in Administrators | ドメイン内の組み込み管理者用ドメインローカルグループ。ドメイン内のコンピューターに対する管理権限を持つが、Domain Admins ほどの包括的な権限は持たない。 |
| Group Policy Creator Owners | グループポリシーオブジェクト(GPO)を作成できる権限を持つユーザーを管理するためのグループ。ただし、既存の GPO を編集する権限は持たない。 |
| Domain Users | ドメインのユーザーグループ。 |
Administrator は Domain Admins に所属していることで、
DC / サーバー / クライアントすべてに対するローカル管理者権限を持ちます。これは Windows の既定 ACL(ACE)による挙動です。
2. Domain Admins と Built-in Administrator の関係
- Built-in Administrator
- 各コンピューター固有のローカルアカウント
- Domain Admins
- ドメイン全体で管理される グローバルセキュリティグループ
両者は 同一ではありません。
ただし、ドメイン参加時に Domain Admins が “各端末のローカル Administrators グループ” に自動的に追加されるため、結果として Domain Admins は全システムを管理できます。
3. Domain Admins の「権限の射程」
Domain Admins の影響は「権限一覧」ではなく 射程 で考える必要があります。
射程に含まれるもの
- ドメイン参加しているすべてのコンピューターのローカル Administrators
- AD オブジェクト(ユーザー / OU / GPO)のフル制御
- RDP / SMB / サービス / タスク / WMI などの遠隔操作
#cmd
net localgroup administrators
エイリアス名 administrators
コメント コンピューター/ドメインに完全なアクセス権があります。
メンバー
-------------------------------------------------------------------------------
Administrator
Domain\Domain Adminsこれらは ACL とグループネストにより 自動的に付与される結果であり、
Domain Admins の影響はドメイン全体に「届く」ものです。
4. なぜ Domain Admins は最優先で狙われるのか
攻撃者が Domain Admins の資格情報を入手すると、以下が可能になります。
- 任意ホストへの RDP / SMB 侵入
- EDR / ウイルス対策ソフトの停止
- LSASS メモリからの資格情報抽出
- GPO 経由の一斉ランサム配布
- バックアップの完全削除
- ドメイン全体の暗号化
Domain Admins の資格情報 =
横展開とドメイン破壊のマスターキー
5. なぜ資格情報流出が起きるのか(最大の誤運用)
多くの組織では、以下の作業に Domain Admins が使われています。
- PC セットアップ
- アプリインストール
- トラブル対応
- 一般サーバーへの RDP
“Domain Admins でログオンすると、Kerberos チケットや NTLM 資格情報が LSASS に残留” します。侵害端末で、Mimikatz 等でこれを抜かれた瞬間、ドメイン全体への横展開が始まります。つまり、Domain Admins をドメイン内で使用すればするほど、敵の攻撃成功のチャンスを広げることになります。
6. Domain Admins に対する基本原則
- Domain Admins は ビルド(構築)及び障害・災害復旧専用
- RID=500 Administrator は非常用
- 日常業務では 使用してはいけない
- アプリケーションが
- 個人特定可能な管理者アカウントを作成する
- ドメイン関連の作業 → Domain\Administrators
- クライアント、メンバーサーバーの作業 → Built-In Administrator で運用
7. 作業端末とログオン制御
使用を許可するデバイス
- ドメインコントローラー(最小限)
- 管理専用端末(PAW / 踏み台サーバー/ジャンプサーバー)
使用禁止
- 一般 PC
- 業務サーバー
- メール・Web・Office 作業
8. 正しい代替手段(LAPS)
- 一般 PC / 業務サーバー管理には、LAPS 管理の Built-in Administrator を使用
- 端末ごとに一意なパスワード
- 強制ログオフ・自動更新
これにより、
- Domain Admins の資格情報が端末に残らない
- 横展開が局所化される
9. Tier モデルによる整理(要点)
| アカウント | Tier 0 Domain Controllers | Tier 1 Member Servers | Tier 2 一般業務端末 |
|---|---|---|---|
| Domain Admins | 〇 | ✕ | ✕ |
| Tier1 管理者 | ✕ | 〇 | ✕ |
| Tier2 / Helpdesk | ✕ | ✕ | △ |
| LAPS 管理 Local Built-In Administrator | △ | △ | △ |
まとめ
- Domain Admins は “保護対象アカウント”
- 一般保守で使った瞬間、攻撃者に射程を与える
- PAW + LAPS + ロール分離が現実解
Domain Admins を PC やサーバー保守に使わないことが、
最もコスト効率の高いランサムウェア対策です。
