Active Directory ドメイン サービス ~ Windows Server 2008 / R2 新機能と強化点~ ITライブラリーより (pdf 100冊) http://itlib1.sakura.ne.jp/ 1
Active Directory ドメイン サービス~Windows Server 2008 / R2
新機能と強化点~
ITライブラリーより (pdf 100冊)http://itlib1.sakura.ne.jp/
1
2
他の章は下記をクリックして
PDF一覧からお入り下さい。
ITライブラリー (pdf 100冊)http://itlib1.sakura.ne.jp/
目次番号 270番 Windows Server Enterprise 2008 R2
完全解説 (再入門 ) 全26冊
Active Directory の強化
3
Active Directory の強化
Active Directory の強化基本アーキテクチャは変えずに機能強化
新しい利用形態の提供
管理性の向上
・Active Directory の実装・LDAP, Kerberos, DNS,
PKI 等の標準技術の採用・クライアント PC 管理
・セキュリティ・柔軟性の大幅な強化・IT インフラとしての管理機能を強化
ポリシー管理 (GPMC)パッチ管理 (WSUS)権限管理 (RMS)フェデレーション (ADFS : WS 2003 R2 より)
2000 年2003 年
2005 年
・ブランチ オフィスへの展開・セキュリティ強化・管理性の向上、管理コストの削減
・管理性の大幅な向上・コマンド ライン管理機能の強化
4
サービスの統合
Windows Server 2008 から ID & アクセス管理に関連した各種サービスを「Active Directory サービス」として統合
統一されたアーキテクチャの下、各サービスの連携を強化
複雑性の低減、展開の簡略化、管理性の向上を実現し、新機能が必要になった際、迅速に構成することが可能に
サーバーの役割として提供
Active Directoryライトウェイト
ディレクトリサービス(AD LDS)
Active Directoryドメイン サービス
(AD DS)
Active Directory
Rights
Management
サービス
(AD RMS)
Active Directory証明書サービス
(AD CS)
Active Directoryフェデレーション
サービス(AD FS)
Active Directory サービス
5
Active Directory サービス (1)
Active Directory 証明書サービス (AD CS)
電子証明書の発行と管理証明書サービスの後継機能エンタープライズ環境向けに機能強化
Active Directory ドメイン サービス (AD DS)
ドメイン サービス従来からの Active Directoryセキュリティと柔軟性を強化、管理性を向上
Active Directory フェデレーション サービス (AD FS)
組織を超えた異なる認証基盤の連携WS-Federation 、WS-Security などに準拠した相互接続性HTTP ベースのフェデレーションIIS 7.0 に対応
本資料の範囲
6
Active Directory サービス (2)
Active Directory ライトウェイトディレクトリ サービス(AD LDS)
アプリケーション用の LDAP ディレクトリ サービスAD AM ( Active Directory Application Mode ) の機能を網羅
Active Directory Rights Management サービス(AD RMS)
アプリケーションと連携したデジタル コンテンツ保護Windows Rights Managements Services (RMS) をActive Directory サービスに統合AD FS と連携し、組織を超えたコンテンツ保護を新たに実現
7
Active Directory ドメイン サービスWindows Server 2008 における強化
Windows Server 2003 までの基本アーキテクチャを踏襲しつつ、ブランチ オフィスでの展開、セキュリティ強化、管理性 の向上を目的とした実装 / 新機能を追加
読み取り専用ドメイン コントローラー (RODC)読み取り専用のディレクトリを保持する DC としての構成が可能に
きめ細かなパスワード ポリシー同一ドメイン内での複数のパスワード ポリシーの実装
ディレクトリ監査機能の強化より詳細な監査ログの記録が可能
Active Directory ドメイン サービスの OS からの分離(サービス化)
DC の再起動をより少なくする新しい実装
Active Directory のスナップショット表示Active Directory のスナップショットをマウント、参照可能
8
Active Directory ドメイン サービスWindows Server 2008 R2 における強化
Windows Server 2008 Active Directory ドメイン サービスのアーキテクチャを継承、主に管理性向上を目的とした機能強化および新機能の追加
Active Directory Recycle BinActive Directory 上のオブジェクトの復旧が容易に
Active Directory PowerShellActive Directory の管理のためのコマンドレットの提供
Active Directory 管理センターPowerShell ベースの新しい管理ツールの提供
ベスト プラクティス アナライザー誤った構成などを未然に防ぐための新機能の実装
Active Directory Web サービスActive Directory への Web サービス インターフェースの追加
認証メカニズム保証ユーザーのクレデンシャルに応じたセキュリティ基盤の提供
オフライン ドメイン参加コンピューターのドメイン参加がオフラインでも可能に
Managed Service Accountパスワード管理、SPN 管理の容易なサービス アカウントの実現 9
Active Directory ドメイン サービスの強化ポイント
ブランチ オフィスソリューション
セキュリティ強化 管理性向上
10
Active Directory ドメイン サービスの強化ポイント
ブランチオフィスソリューション
セキュリティ強化 管理性向上
11
読み取り専用ドメイン コントローラー(RODC)
12
読み取り専用ドメイン コントローラー(RODC)
書き込みのできない、読み取り専用のディレクトリを持つドメイン コントローラーのインストール オプション
特徴
ディレクトリへの書き込みは行わない
書き込みの必要な処理は通常のドメイン コントローラーに紹介
ドメイン コントローラーの複製の方向は一方向のみ
通常のドメイン コントローラーからの複製を受けるのみ(インバウンドのみ)
RODC からの複製操作 (アウトバウンド) は行わない
重要なデータをディレクトリに保持させないことが可能
ローカルにストアするパスワードの制御
重要な情報の複製制御
13
RODC のアーキテクチャ
• 読み取り専用のディレクトリ
• 一方向の複製
• パスワードの複製
• 管理者役割の分離
• 読み取り専用 DNS
14
ディレクトリの変更は不可誤った操作によって、ディレクトリ全体へダメージが及ぶことを回避
アカウントのパスワードは限定的に保持盗難リスクの回避
RODC
15
書き込み可能な DC → RODC の方向のみ監視、設計負荷が軽減
属性セットのフィルタリング機密性の高い属性に対して複製のフィルタリングが可能
(アプリケーション開発者向けの機能)
SchemaFlagsEx = 1 となっている属性
システムの重要な属性 (LSA等) はフィルタ不可
書き込み可能な DC RODC
複製
16
複製対象とするユーザーを管理者が定義可能既定では無効 (複製可能なユーザーが定義されていない)
パスワード複製ポリシーで明示的に定義最初のログオン時に複製される (ユーザー単位)
パスワード変更後の最初のログオン時に複製される
パスワード複製ポリシーで複製ルールを定義複製許可リスト(RODC の msDS-Reveal-OnDemandGroup 属性)
複製拒否リスト(RODC の msDS-NeverRevealGroup 属性)
履歴を保持
複製されたパスワードは一括でリセット可能クリアはできない
パスワードの複製制御
17
18
パスワード複製ポリシー
19
パスワード複製ポリシーの構成プラン
• 最も効果的だが設定の手間がかかる
• msDS-AuthenticatedToAccountList 属性を監視してブランチオフィスの利用者を把握する必要がある
複製しない (規定値)• 最もセキュア
• 書き込み可能 DC との接続が不可能な場合にはログオン不可能
全員を複製対象にする• 最も簡単に構成可能だがセキュアでない
ブランチオフィスのユーザーのみ複製
ドメイン管理権限を与えずに、一般ユーザーに
RODC の管理権限を委任
マシンの操作 : ローカル Administrator 権限
サーバーの保守作業が可能
ドメインの操作 : user 権限
ドメインに対する管理権限なし
他の DC に対する管理権限なし
RODC のインストール時に指定
(あとから変更も可能)
1 ユーザーまたは 1 グループのみ指定可能
支店の管理者
20
RODC に DNS サーバーを構成可能
クライアントは RODC に照会して名前解決を実行
Active Directory 統合ゾーンにおける
動的更新は行わない
更新要求に対しては更新可能な DNS を紹介
RODC の DNS では、バックグラウンドで更新を実行した
DNS サーバーから更新済みレコードの複製を行う
RODC
21
22
ドメイン設計時の留意点
• ネットワーク障害を考慮する
• DNS を RODC にインストールすることを推奨
• グローバルカタログを RODC にインストールすることを推奨
• サーバーの設置
• 同一サイトに 同一ドメインの RODC を設置しない
• サイトトポロジ上もっとも近い場所に 2008 / 2008R2 DC を設置
• フォレストとドメインの機能レベル
• Windows Server 2003 以上
書き込み可能 DC RODC
DNS
GC
DNS
GC
23
Windows Server 2003 混在時の留意点
グローバルカタログ
アプリケーション ディレクトリ(DNS Zone)
ドメイン
構成
スキーマ
RODC
Windows Server 2008/R2DC
Windows Server 2003DC
Windows Server 2003 DC からは ドメインパーティションの複製ができないため、RODC の複製パートナーは 2008 以上でなければならない
ドメイン
ドメイン
24
アプリケーション互換性の留意点
• RODC に対して書き込みを要求する
アプリケーションの場合は注意
• 書き込み可能 DC への [紹介] を追跡できるように
実装されている必要がある
• 紹介先にアクセスできない場合についても考慮が必要
• 複製が必要であるため、書き込み直後の参照は
注意が必要
• ユーザー管理系のアプリケーションなど
25
RODC 3 つのインストール方法
インストールウィザード
2ステージ インストール (委任インストール)
• Dcpromo.exe または サーバーマネージャーから起動
• [詳細モード] を有効にすると [パスワード複製ポリシー] の設定が可能
• 自動応答ファイルを作成することが可能
• メディアからインストールすることも可能
• 事前に RODC アカウントを作成しておき、ブランチオフィスの
管理者にインストールを委任することが可能
• アカウント作成時にウィザードを使用して必要情報を事前指定
• ブランチオフィスでのインストールはほぼ自動的に完了
• dcpromo.exe /unattend コマンドに自動応答ファイルを指定して起動
• インストールから再起動まですべてを自動的に実施
• サーバー コア へのインストールでも使用可能
• アンインストールも無人で実施
無人インストール
Active Directory ドメイン サービスの強化ポイント
ブランチ オフィスソリューション
セキュリティ強化 管理性向上
26
きめ細かなパスワード ポリシー
27
同一ドメイン内で複数のパスワード ポリシーを定義可能とする新実装※従来はパスワード ポリシーはドメイン単位でしか設定できなかった
異なるユーザーセット単位でポリシーを定義例)
システム管理者グループ
厳格な設定 (パスワードの有効期間:14 日)
パワーユーザー
中間的な設定 (パスワードの有効期間:30日)
平均的なユーザー
一般的な設定 (パスワードの有効期間:90日)
28
適用できる単位ユーザーオブジェクト (または inetOrgPerson)
グローバル セキュリティ グループ
下記は不可コンピュータ オブジェクト
非ドメイン ユーザー アカウント
OU (組織単位)
29
Password Settings ContainerPassword Settings オブジェクト (PSO)
パスワード設定に対する属性パスワードの履歴を記録する
パスワードの有効期間
パスワードの変更禁止期間
最低限必要なパスワードの長さ
パスワードは、複雑さの要件を満たす必要がある
暗号化を元に戻せる状態でパスワードを保存する
アカウント ロックアウト設定に対する属性ロックアウト期間
アカウント ロックアウトのしきい値
ロックアウト カウンタのリセット
新しいオブジェクトクラス
30
ADSI Edit で Password Settings オブジェクトを追加 (ウィザード)
属性に適切な値を入力パスワード ポリシー
アカウント ロックアウト ポリシー
適用するグループまたはユーザーを入力識別名 (DN) で指定
例) CN=yamano,OU=Sales,DC=microsoft, DC=com
複数指定可
ADSI Edit の場合
31
Ldif ファイルを作成 (pso.ldf 等)
Ldifde の実行
> ldifde -i -f pso.ldf
Ldifde の場合
dn: CN=PSO1, CN=Password Settings
Container,CN=System,DC=dc1,DC=contoso,DC=com
changetype: add
objectClass: msDS-PasswordSettings
msDS-MaximumPasswordAge:-1728000000000
msDS-MinimumPasswordAge:-864000000000
msDS-MinimumPasswordLength:8
msDS-PasswordHistoryLength:24
msDS-PasswordComplexityEnabled:TRUE
msDS-PasswordReversibleEncryptionEnabled:FALSE
msDS-LockoutObservationWindow:-18000000000
msDS-LockoutDuration:-18000000000
msDS-LockoutThreshold:0
msDS-PasswordSettingsPrecedence:20
msDS-PSOAppliesTo:CN=user1,CN=Users,DC=dc1,DC=contoso,DC=com
サンプルファイル (pso.ldf)
32
Windows Server 2008 R2 では、Active Directory PowerShell により設定可能Cmdlet list:
New-ADFineGrainedPasswordPolicy
Set-ADFineGrainedPasswordPolicy
Get-ADFineGrainedPasswordPolicy
Remove-ADFineGrainedPasswordPolicy
Add-ADFineGrainedPasswordPolicySubject
Get-ADFineGrainedPasswordPolicySubject
Remove-ADFineGrainedPasswordPolicySubject
Active Directory PowerShell の場合New
33
ディレクトリ監査
34
変更された属性の古い値と新しい値を記録(削除と作成のログとして記録)
変更された属性名と変更前の値
変更された属性名と変更後の値
監査ポリシーにサブカテゴリを追加ディレクトリ サービスのアクセス
ディレクトリ サービスの変更
ディレクトリ サービスのレプリケーション
詳細なディレクトリ サービス レプリケーション
設定方法Windows Server 2008
サブカテゴリについては AuditPol コマンドで設定
Windows Server 2008 R2サブカテゴリについてもグループ ポリシー エディタで設定可能
35
Windows Server 2008 R2 では、AuditPol.exe だけでなく、GUI から設定可能に
グループ ポリシー エディタ
New
36
イベントログへ記録
変更前の値
変更後の値
37
監査機能の実行
グローバル監査ポリシーグループ ポリシーで有効化 (サブ カテゴリも有効になる)
アクセス制御リスト (SACL)アクセス チェックを監査するかしないかをオブジェクトに対して決定
スキーマ監査対象の例外をスキーマに定義することが可能
各属性の searchFlags プロパティに設定
属性に変更が加えられても、変更イベントに記録しない
38
Active Directory ドメイン サービスの強化ポイント
ブランチ オフィスソリューション
セキュリティ強化 管理性向上
39
Active Directory ドメイン サービスの新しい実装
40
Active Directory ドメイン サービスをサービスとして実装※従来は OS と一体化
他のシステム サービスと同様、簡単に停止・再起動が可能
依存するサービスは、自動的にドメイン サービスの再起動時に再起動 (FRS, KDC, etc)
ドメイン サービスのオフライン操作をより迅速にActive Directory の DB (Ntds.dit) のメンテナンスがより容易に
サーバー再起動によるダウンタイムを削減
サービスの停止中はメンバーサーバーとして動作、他のサービスは継続して提供
複数の Active Directory インスタンスをホスト可能にDatabase Mounting Tool による Active Directory スナップショットの参照
41
Active Directory ドメイン サービスの開始ドメイン サービスが開始されている状態
他の Windows 2000 Server または Windows Server 2003 を実行する DC の場合と同じ
Active Directory ドメイン サービスの停止ドメイン サービスが停止されている状態
ディレクトリ サービス復元モードの DCと、ドメインに参加しているメンバ サーバーの両方の特性を持つ
ディレクトリ サービス復元モード従来の Windows Server 2003 と同様
42
オンラインで Active Directory ドメイン サービスのスナップショット が参照可能に
削除されたデータの参照(削除されたオブジェクトを実際に復元できるわけではない)
さまざまな時点のデータと比較し、リカバリ計画の決定が迅速に
手順スナップショットを取得
Ntdsutil.exe を実行 (タスクでスケジュール)
スナップショットのボリュームを LDAP サーバーとして公開
Dsamain.exe (Database Mining Tool) を実行
LDAP ポートに接続し表示Ldp.exe を実行
NTDSUTIL.EXE
VSS にてスナップショットの取得
DSAMAIN.EXE
スナップショットをLDAPとして公開
LDP.EXE
データの参照(読み取り専用) 43
Active Directory Recycle Bin
New
44
Active Directory Recycle Bin の概要
Active Directory (AD LDS) 上のオブジェクトに関するごみ箱機能の追加
オブジェクト復旧に要する Active Directory ドメインサービスのダウンタイム低減を実現可能
従来は…誤操作などによる Active Directory オブジェクト削除への対応-> バックアップからのリストアが必要
(ドメイン コントローラーの再起動が必要)
Windows Server 2008 R2 では …Active Directory Recycle Bin 機能による削除済み Active Directory オブジェクトの復旧が可能(ドメイン コントローラーの再起動は不要)
45
Active Directory Recycle Bin
Windows Server 2008 R2 Active Directory の新機能Windows Server 2008 R2 機能レベルの追加による実装
利用するためには Windows Server 2008 R2 機能レベルが必要
フォレスト内のすべてのドメイン コントローラーがWindows Server 2008 R2 である必要がある
既定では無効一度有効とすると無効にはできない
新しい Active Directory オブジェクト ステートの追加“Logically deleted” , ”Recycled Object” ステートの追加
オブジェクト削除に関するプロセスの変更(Active Directory のスキーマ拡張)
Recycle Bin 機能を利用しない場合には、Windows Server 2008 とほぼ同様
46
新しいオブジェクトの削除プロセス
Live Object Deleted Object Recycled Object
Tombstone Object
180 日 180 日
180 日
Garbage collection
Garbage collection
Live Object
Windows Server 2008
Windows Server 2008 R2 Recycle Bin 有効
オブジェクトのほとんどの属性情報の削除
オブジェクトのほとんどの属性情報の削除※既定では振る舞いは
Tombstone Object と同様
ガベージコレクションの実行による完全な削除
ガベージコレクションの実行による完全な削除
オブジェクトの属性情報を維持
※180 日間という期間は“msDS-deletedObjectLifetime 属性
により定義される – 変更可能
※180 日間という期間は“TombstoneLifetime 属性
により定義される – 変更可能
Recycle Bin による復旧
バックアップからの復旧
47
Recycle Bin の設定方法
Active Directory PowerShell による設定が必要GUI ツールからは設定することができない
注意点一度有効にしたら無効にできない
機能レベルとして Windows Server 2008 R2 が必要フォレスト内のドメイン コントローラーが全て Windows Server 2008 R2 である必要がある
サポートされる Windows Server 2008 R2 のエディションWindows Server 2008 R2 Standard
Windows Server 2008 R2 Enterprise
Windows Server 2008 R2 Datacenter
以下のエディションではサポートされないWindows Server 2008 R2 for Itanium-Based Systems
Windows Web Server 2008 R2
実行コマンドEnable-ADOptionalFeature “Recycle Bin Feature” –Scope Forest –Target “<Domain 名>”
48
Recycle Bin の利用
Active Directory PowerShell による利用が必要GUI ツールからは利用できない
実行コマンドPowerShell Cmdlets の使用
Restore-ADObject
例) OU の復旧Get-ADObject -Filter {Name -Like "*Sysplag*"} -SearchScope Subtree-IncludeDeletedObjects | Restore-ADObject
49
Active Directory PowerShell
New
50
Active Directory PowerShell の概要強力な管理、スクリプトの実現
Active Directory ドメイン サービス (AD LDS) の管理性を向上させるための PowerShell の実装
Active Directory ドメイン サービス (AD LDS) の構成 / 管理が可能
85 以上の Cmdlet による管理
Web サービス プロトコル (WS-*) の利用によるリモート管理の実現
51
参考Get-Command -CommandType Cmdlet *-AD*Add-ADComputerServiceAccount
Add-ADDomainControllerPasswordReplicationPolicy
Add-ADFineGrainedPasswordPolicySubject
Add-ADGroupMember
Add-ADPrincipalGroupMembership
Clear-ADAccountExpiration
Disable-ADAccount
Disable-ADOptionalFeature
Enable-ADAccount
Enable-ADOptionalFeature
Get-ADAccountAuthorizationGroup
Get-ADAccountResultantPasswordReplicationPolicy
Get-ADComputer
Get-ADComputerServiceAccount
Get-ADDefaultDomainPasswordPolicy
Get-ADDomain
Get-ADDomainController
Get-ADDomainControllerPasswordReplicationPolicy
Get-ADDomainControllerPasswordReplicationPolicyUsage
Get-ADFineGrainedPasswordPolicy
Get-ADFineGrainedPasswordPolicySubject
Get-ADForest
Get-ADGroup
Get-ADGroupMember
Get-ADObject
Get-ADOptionalFeature
Get-ADOrganizationalUnit
Get-ADPrincipalGroupMembership
Get-ADRootDSE
Get-ADServiceAccount
Get-ADUser
Get-ADUserResultantPasswordPolicy
Install-ADServiceAccount
Move-ADDirectoryServer
Move-ADDirectoryServerOperationMasterRole
Move-ADObject
New-ADComputer
New-ADFineGrainedPasswordPolicy
New-ADGroup
New-ADObject
New-ADOrganizationalUnit
New-ADServiceAccount
New-ADUser
Remove-ADComputer
Remove-ADComputerServiceAccount
Remove-ADDomainControllerPasswordReplicationPolicy
Remove-ADFineGrainedPasswordPolicy
Remove-ADFineGrainedPasswordPolicySubject
Remove-ADGroup
Remove-ADGroupMember
Remove-ADObject
Remove-ADOrganizationalUnit
Remove-ADPrincipalGroupMembership
Remove-ADServiceAccount
Remove-ADUser
Rename-ADObject
Reset-ADServiceAccountPassword
Restore-ADObject
Search-ADAccount
Set-ADAccountControl
Set-ADAccountExpiration
Set-ADAccountPassword
Set-ADComputer
Set-ADDefaultDomainPasswordPolicy
Set-ADDomain
Set-ADDomainMode
Set-ADFineGrainedPasswordPolicy
Set-ADForest
Set-ADForestMode
Set-ADGroup
Set-ADObject
Set-ADOrganizationalUnit
Set-ADServiceAccount
Set-ADUser
Uninstall-ADServiceAccount
Unlock-ADAccount
52
Active Directory Module Provider の実装PSDrive としての AD (ADLDS、ADSnapshot) 管理
ネットワーク経由での複数フォレストの管理
コマンド プロンプトでのファイル管理のようなイメージでのAD 管理の実現
Active Directory PowerShell Provider
53
Active Directory 管理センター
New
54
Active Directory 管理センターの概要
Active Directory ドメイン サービス 管理用の新しい ユーザー インターフェースを提供
以下の作成と編集ユーザー
グループ
コンピューター
組織単位 (OU)
ドメイン、DC ごとのディレクトリ管理
※ ADLDS の管理は不可
Active DirectoryPowerShell による実装※ Active Directory
Web サービスの利用# TCP 9389 の使用
55
Active Directory 管理センター
Active Directory 管理センターの画面
<List / Tree View ペイン>
List ViewTree View のビューの切り替えが可能
<Overview ペイン>標準では以下のコンテンツの登録・パスワードのリセット・検索・はじめに
56
Active Directory 管理センターの画面
ドメインのオブジェクトについて管理・検索が可能
タスクペインでは、ドメイン、フォレストの機能レベル管理が可能
57
Active Directory 管理センターの画面
ドメインのオブジェクトについての条件を指定しての検索が可能
58
検索条件として指定可能な項目無効または有効なアカウントを持つユーザー
パスワードの有効期限が切れているユーザー
有効期限のある (または無期限の) パスワードが設定されているユーザー
有効ではあるがロックされているアカウントのユーザー
有効なアカウントを持ち、指定日数を過ぎる間ログオンしていないユーザー
指定日数以内にパスワードの有効期限が切れるユーザー
指定のドメイン コントローラーの種類として実行されているコンピューター
最後の変更が指定の期間内
オブジェクトの種類がユーザー /inetOrgPerson/コンピューター/グループ/組織単位
上記以外にも属性情報による検索が可能
Active Directory 管理センター検索条件
59
ベスト プラクティス アナライザー
New
60
ベスト プラクティス アナライザーの概要
Active Directory ドメイン サービスの構成に関する診断およびベスト プラクティスの提示
Active Directory ドメイン サービスの構成について、Issue、影響、解決方法、トピックなどの情報を提供-> 誤った構成による障害の発生を未然に防ぐことが可能
サーバー マネージャーの役割管理の機能として実装
61
ベスト プラクティス アナライザー の機能
Active Directory ドメイン サービスの構成について診断診断結果について以下の 4 種類のタブで表示・非準拠・除外・準拠・すべて
構成が意図的なものであるなど、設定の変更が必要ない場合にはレポートから除外することも可能
主に DNS の構成に関する診断を実行
62
ベスト プラクティス アナライザー の構成
ダウン レベルのドメイン コントローラーの構成に関しても情報の収集、診断が可能
対象Windows Server 2008 R2
Windows Server 2008
Windows Server 2003
Windows 2000 Server
PowerShell スクリプトの実行による実装
1) PowerShell スクリプトによる情報の収集 (XML での保存)
2) XML Schema と収集した情報の比較
3) 比較した結果を踏まえてレポートの生成
DS BPA の実装
63
Active Directory Web サービス
New
64
Active Directory Web サービス
Active Directory Web サービス (ADWS) の実装Active Directory への Web サービス インターフェースの追加
Active Directory、ADLDS、AD Snapshot への接続が可能
Active Directory PowerShell のインターフェースActive Directory Web サービスが停止していた場合、PowerShell を利用した操作は実行できない (eg. Active Directory 管理センター)
Active Directory ドメイン サービスを構成することで自動的にインストールされる
65
Active Directory Web サービス構成
Active Directory Web サービス (ADWS) の構成%windir%¥ADWS フォルダにインストール
Microsoft.ActiveDirectory.WebServices.exe.config ファイルでパラメーターの変更が可能
パラメーターの詳細については以下の URL を参照<Active Directory Web Services>http://technet.microsoft.com/en-us/library/dd391908.aspx
認証方式としては以下の 2 種類をサポートKerberos
シンプル認証
66
オフライン ドメイン参加
New
67
オフライン ドメイン参加の概要
オフライン ドメイン参加機能の実装によるドメイン参加プロセスの改善
従来)クライアントがドメインに参加するためには必ずオンラインでドメイン コントローラーと通信する必要あり
今後)Windows 7 および Windows Server 2008 R2 に関してはオフラインでドメインへの参加が可能に
ダウンレベルの OS については利用不可
データセンターのサーバー、遠隔地へのサーバーの配置、クライアントの一斉展開をより効率的に実行可能に
68
オフライン ドメイン参加
Djoin.exe によるドメイン参加プロセスの実行Djoin.exe は Windows 7、Windows Server 2008 R2 標準搭載
Djoin.exe の実行環境:Windows 7、Windows Server 2008 R2 (それ以外は NG)
オフライン ドメイン参加の可能な OSWindows 7、Windows Server 2008 R2 (それ以外は NG)
ドメイン コントローラー既定では Djoin.exe の接続先となるドメイン コントローラーはWindows Server 2008 R2
/downlevel オプションを使用することで Windows Server 2008 R2 以前のドメイン コントローラーでも利用可能
69
オフライン ドメイン参加の手順
1) Djoin.exe による AD へのコンピューター オブジェクトの登録およびファイルの作成
2) Djoin.exe /provision の操作で作成されたファイルをドメインに参加するコンピューターにコピー
3) Djoin.exe によるオフラインドメイン参加の設定の実行
※ 上記の手順以外にも Unattend.xml による構成も可能
Djoin /provision /domain <参加先のドメイン名> /machine <参加するコンピューター名>/savefile <ファイル名.txt>
Djoin /requestODJ /loadfile <ファイル名.txt> /windowspath %SystemRoot%
70
その他の強化点
71
• ポリシー項目を大幅に追加• Windows Server 2008
• Windows Vista のポリシーに完全対応
• Windows Server 2008 管理項目を追加
• Windows Server 2008 R2• Windows 7 のポリシーに完全対応
• Windows Server 2008 管理項目を追加
• ADMX テンプレートに対応• XML 化
• 拡張性、保守性の向上
• 言語依存部と非依存部を分割
• グループポリシーオブジェクト (GPO) にコピーされない構造• 作成される各 GPO の容量を削減
• DC 間の複製トラフィックを軽減
New
72
グループ ポリシーのフィルタ オプション
ポリシーの設定項目、説明、コメント内のキーワードによるフィルタ表示
構成されたポリシーのみフィルタ表示 など
フィルター設定後
73
• ふりがなでソート、検索が可能に
• ふりがな属性の追加項目
• 姓
• 名
• 表示名
• 会社名
• 部署
74
Active Directory ユーザーとコンピュータ
• 属性エディタ
• ADSI Edit と同等の UI を実装
• DC 属性の表示
• DC の種類、サイト情報等を表示
• パスワード レプリケーション ポリシー タブ
• RODC 上での認証情報など確認可能
• オブジェクト削除の防止
• 誤操作によるオブジェクト削除を防止
75
まとめ
76
より柔軟に!環境に応じたサーバー展開が可能に
よりセキュアに!セキュアなサーバー構成の実現
より優れた管理性を!運用をもっと容易に
Active Directory はアーキテクチャを保ちつつさらに進化
77
78
他の章は下記をクリックして
PDF一覧からお入り下さい。
ITライブラリー (pdf 100冊)http://itlib1.sakura.ne.jp/
目次番号 270番 Windows Server Enterprise 2008 R2
完全解説 (再入門 ) 全26冊
79