ＩＴ大全より（pdf １００冊） http://www.geocities.jp/ittaizen Active Directory ドメインサービス〜Windows Server 2008 / R2 新機能と強化点〜他の章は下記をクリックしてＰＤＦ一覧からお入り下さい。ＩＴ大全（pdf １００冊） http://www.geocities.jp/ittaizen 目次番号２７０番 Windows Server Enterprise 2008 R2 完全解説（再入門）全２６冊 2 Active Directory の強化 Active Directory の強化 Active Directory の強化基本アーキテクチャは変えずに機能強化新しい利⽤形態の提供管理性の向上・管理性の⼤幅な向上・コマンドライン管理機能の強化・ブランチオフィスへの展開・セキュリティ強化・管理性の向上、管理コストの削減 2000 年 2003 年・Active Directory の実装・LDAP, Kerberos, DNS, PKI 等の標準技術の採⽤・クライアント PC 管理 2005 年・セキュリティ・柔軟性の⼤幅な強化・IT インフラとしての管理機能を強化ポリシー管理 (GPMC) パッチ管理 (WSUS) 権限管理 (RMS) フェデレーション (ADFS ： WS 2003 R2 より) サービスの統合 Windows Server 2008 から ID & アクセス管理に関連した各種サービスを「Active Directory サービス」として統合統⼀されたアーキテクチャの下、各サービスの連携を強化複雑性の低減、展開の簡略化、管理性の向上を実現し、新機能が必要になった際、迅速に構成することが可能にサーバーの役割として提供 Active Directory サービス Active Directory ドメインサービス (AD DS) Active Directory 証明書サービス (AD CS) Active Directory フェデレーションサービス (AD FS) Active Directory Active Directory ライトウェイト Rights ディレクトリサービス Management (AD LDS) サービス (AD RMS) Active Directory サービス (1) 本資料の範囲 Active Directory ドメインサービス (AD DS) ドメインサービス従来からの Active Directory セキュリティと柔軟性を強化、管理性を向上 Active Directory 証明書サービス (AD CS) 電⼦証明書の発⾏と管理証明書サービスの後継機能エンタープライズ環境向けに機能強化 Active Directory フェデレーションサービス (AD FS) 組織を超えた異なる認証基盤の連携 WS-Federation 、WS-Security などに準拠した相互接続性 HTTP ベースのフェデレーション IIS 7.0 に対応 Active Directory サービス (2) Active Directory ライトウェイトディレクトリサービス (AD LDS) アプリケーション⽤の LDAP ディレクトリサービス AD AM ( Active Directory Application Mode ) の機能を網羅 Active Directory Rights Management サービス(AD RMS) アプリケーションと連携したデジタルコンテンツ保護 Windows Rights Managements Services (RMS) を Active Directory サービスに統合 AD FS と連携し、組織を超えたコンテンツ保護を新たに実現 Active Directory ドメインサービス Windows Server 2008 における強化 Windows Server 2003 までの基本アーキテクチャを踏襲しつつ、ブランチオフィスでの展開、セキュリティ強化、管理性の向上を⽬的とした実装 / 新機能を追加読み取り専⽤ドメインコントローラー (RODC) 読み取り専⽤のディレクトリを保持する DC としての構成が可能にきめ細かなパスワードポリシー同⼀ドメイン内での複数のパスワードポリシーの実装ディレクトリ監査機能の強化より詳細な監査ログの記録が可能 Active Directory ドメインサービスの OS からの分離 (サービス化) DC の再起動をより少なくする新しい実装 Active Directory のスナップショット表⽰ Active Directory のスナップショットをマウント、参照可能 Active Directory ドメインサービス Windows Server 2008 R2 における強化 Windows Server 2008 Active Directory ドメインサービスのアーキテクチャを継承、主に管理性向上を⽬的とした機能強化および新機能の追加 Active Directory Recycle Bin Active Directory 上のオブジェクトの復旧が容易に Active Directory PowerShell Active Directory の管理のためのコマンドレットの提供 Active Directory 管理センター PowerShell ベースの新しい管理ツールの提供ベストプラクティスアナライザー誤った構成などを未然に防ぐための新機能の実装 Active Directory Web サービス Active Directory への Web サービスインターフェースの追加認証メカニズム保証ユーザーのクレデンシャルに応じたセキュリティ基盤の提供オフラインドメイン参加コンピューターのドメイン参加がオフラインでも可能に Managed Service Account パスワード管理、SPN 管理の容易なサービスアカウントの実現 Active Directory ドメインサービスの強化ポイントブランチオフィスソリューションセキュリティ強化管理性向上 Active Directory ドメインサービスの強化ポイントブランチオフィスソリューションセキュリティ強化管理性向上読み取り専⽤ドメインコントローラー (RODC) 読み取り専⽤ドメインコントローラー (RODC) 書き込みのできない、読み取り専⽤のディレクトリを持つドメインコントローラーのインストールオプション特徴ディレクトリへの書き込みは⾏わない書き込みの必要な処理は通常のドメインコントローラーに紹介ドメインコントローラーの複製の⽅向は⼀⽅向のみ通常のドメインコントローラーからの複製を受けるのみ (インバウンドのみ) RODC からの複製操作 (アウトバウンド) は⾏わない重要なデータをディレクトリに保持させないことが可能ローカルにストアするパスワードの制御重要な情報の複製制御 RODC のアーキテクチャ • • • • • 読み取り専⽤のディレクトリ⼀⽅向の複製パスワードの複製管理者役割の分離読み取り専⽤ DNS ディレクトリの変更は不可誤った操作によって、ディレクトリ全体へダメージが及ぶことを回避アカウントのパスワードは限定的に保持盗難リスクの回避 RODC 書き込み可能な DC → RODC の⽅向のみ監視、設計負荷が軽減属性セットのフィルタリング機密性の⾼い属性に対して複製のフィルタリングが可能 (アプリケーション開発者向けの機能) SchemaFlagsEx = 1 となっている属性システムの重要な属性 (LSA等) はフィルタ不可複製書き込み可能な DC RODC パスワードの複製制御複製対象とするユーザーを管理者が定義可能既定では無効 (複製可能なユーザーが定義されていない) パスワード複製ポリシーで明⽰的に定義最初のログオン時に複製される (ユーザー単位) パスワード変更後の最初のログオン時に複製されるパスワード複製ポリシーで複製ルールを定義複製許可リスト (RODC の msDS-Reveal-OnDemandGroup 属性) 複製拒否リスト (RODC の msDS-NeverRevealGroup 属性) 履歴を保持複製されたパスワードは⼀括でリセット可能クリアはできないパスワード複製ポリシー 18 パスワード複製ポリシーの構成プラン複製しない (規定値) • 最もセキュア • 書き込み可能 DC との接続が不可能な場合にはログオン不可能全員を複製対象にする • 最も簡単に構成可能だがセキュアでないブランチオフィスのユーザーのみ複製 • 最も効果的だが設定の⼿間がかかる • msDS-AuthenticatedToAccountList 属性を監視してブランチオフィスの利⽤者を把握する必要がある 19 ドメイン管理権限を与えずに、⼀般ユーザーに RODC の管理権限を委任マシンの操作 : ローカル Administrator 権限サーバーの保守作業が可能ドメインの操作 : user 権限ドメインに対する管理権限なし他の DC に対する管理権限なし RODC のインストール時に指定 (あとから変更も可能) 1 ユーザーまたは 1 グループのみ指定可能⽀店の管理者 RODC に DNS サーバーを構成可能クライアントは RODC に照会して名前解決を実⾏ Active Directory 統合ゾーンにおける動的更新は⾏わない更新要求に対しては更新可能な DNS を紹介 RODC の DNS では、バックグラウンドで更新を実⾏した DNS サーバーから更新済みレコードの複製を⾏う RODC ドメイン設計時の留意点 • ネットワーク障害を考慮する • DNS を RODC にインストールすることを推奨 • グローバルカタログを RODC にインストールすることを推奨書き込み可能 DC RODC DNS GC DNS GC • サーバーの設置 • 同⼀サイトに同⼀ドメインの RODC を設置しない • サイトトポロジ上もっとも近い場所に 2008 / 2008R2 DC を設置 • フォレストとドメインの機能レベル • Windows Server 2003 以上 22 Windows Server 2003 混在時の留意点 Windows Server 2003 DC からはドメインパーティションの複製ができないため、RODC の複製パートナーは 2008 以上でなければならないスキーマドメイン構成ドメイン Windows Server 2008/R2 DC ｱﾌﾟﾘｹｰｼｮﾝﾃﾞｨﾚｸﾄﾘ（DNS Zone）ｸﾞﾛｰﾊﾞﾙｶﾀﾛｸﾞドメイン RODC 23 Windows Server 2003 DC アプリケーション互換性の留意点 • RODC に対して書き込みを要求するアプリケーションの場合は注意 • 書き込み可能 DC への [紹介] を追跡できるように実装されている必要がある • 紹介先にアクセスできない場合についても考慮が必要 • 複製が必要であるため、書き込み直後の参照は注意が必要 • ユーザー管理系のアプリケーションなど 24 RODC 3 つのインストール⽅法インストールウィザード • Dcpromo.exe またはサーバーマネージャーから起動 • [詳細モード] を有効にすると [パスワード複製ポリシー] の設定が可能 • ⾃動応答ファイルを作成することが可能 • メディアからインストールすることも可能２ステージインストール (委任インストール) • 事前に RODC アカウントを作成しておき、ブランチオフィスの管理者にインストールを委任することが可能 • アカウント作成時にウィザードを使⽤して必要情報を事前指定 • ブランチオフィスでのインストールはほぼ⾃動的に完了無⼈インストール • dcpromo.exe /unattend コマンドに⾃動応答ファイルを指定して起動 • インストールから再起動まですべてを⾃動的に実施 • サーバーコアへのインストールでも使⽤可能 • アンインストールも無⼈で実施 25 Active Directory ドメインサービスの強化ポイントブランチオフィスソリューションセキュリティ強化管理性向上きめ細かなパスワードポリシー同⼀ドメイン内で複数のパスワードポリシーを定義可能とする新実装 ※従来はパスワードポリシーはドメイン単位でしか設定できなかった異なるユーザーセット単位でポリシーを定義例) システム管理者グループ厳格な設定 (パスワードの有効期間：14 ⽇) パワーユーザー中間的な設定 (パスワードの有効期間：30⽇) 平均的なユーザー⼀般的な設定 (パスワードの有効期間：90⽇) 適⽤できる単位ユーザーオブジェクト (または inetOrgPerson) グローバルセキュリティグループ下記は不可コンピュータオブジェクト⾮ドメインユーザーアカウント OU (組織単位) 新しいオブジェクトクラス Password Settings Container Password Settings オブジェクト (PSO) パスワード設定に対する属性パスワードの履歴を記録するパスワードの有効期間パスワードの変更禁⽌期間最低限必要なパスワードの⻑さパスワードは、複雑さの要件を満たす必要がある暗号化を元に戻せる状態でパスワードを保存するアカウントロックアウト設定に対する属性ロックアウト期間アカウントロックアウトのしきい値ロックアウトカウンタのリセット ADSI Edit の場合 ADSI Edit で Password Settings オブジェクトを追加 (ウィザード) 属性に適切な値を⼊⼒パスワードポリシーアカウントロックアウトポリシー適⽤するグループまたはユーザーを⼊⼒識別名 (DN) で指定例) CN=yamano,OU=Sales,DC=microsoft, DC=com 複数指定可 Ldifde の場合 Ldif ファイルを作成 (pso.ldf 等) Ldifde の実⾏ > ldifde -i -f pso.ldf サンプルファイル (pso.ldf) dn: CN=PSO1, CN=Password Settings Container,CN=System,DC=dc1,DC=contoso,DC=com changetype: add objectClass: msDS-PasswordSettings msDS-MaximumPasswordAge:-1728000000000 msDS-MinimumPasswordAge:-864000000000 msDS-MinimumPasswordLength:8 msDS-PasswordHistoryLength:24 msDS-PasswordComplexityEnabled:TRUE msDS-PasswordReversibleEncryptionEnabled:FALSE msDS-LockoutObservationWindow:-18000000000 msDS-LockoutDuration:-18000000000 msDS-LockoutThreshold:0 msDS-PasswordSettingsPrecedence:20 msDS-PSOAppliesTo:CN=user1,CN=Users,DC=dc1,DC=contoso,DC=com New Active Directory PowerShell の場合 Windows Server 2008 R2 では、 Active Directory PowerShell により設定可能 Cmdlet list: New-ADFineGrainedPasswordPolicy Set-ADFineGrainedPasswordPolicy Get-ADFineGrainedPasswordPolicy Remove-ADFineGrainedPasswordPolicy Add-ADFineGrainedPasswordPolicySubject Get-ADFineGrainedPasswordPolicySubject Remove-ADFineGrainedPasswordPolicySubject ディレクトリ監査変更された属性の古い値と新しい値を記録 (削除と作成のログとして記録) 変更された属性名と変更前の値変更された属性名と変更後の値監査ポリシーにサブカテゴリを追加ディレクトリサービスのアクセスディレクトリサービスの変更ディレクトリサービスのレプリケーション詳細なディレクトリサービスレプリケーション設定⽅法 Windows Server 2008 サブカテゴリについては AuditPol コマンドで設定 Windows Server 2008 R2 サブカテゴリについてもグループポリシーエディタで設定可能 New Windows Server 2008 R2 では、AuditPol.exe だけでなく、GUI から設定可能にグループポリシーエディタイベントログへ記録変更前の値変更後の値監査機能の実⾏グローバル監査ポリシーグループポリシーで有効化 (サブカテゴリも有効になる) アクセス制御リスト (SACL) アクセスチェックを監査するかしないかをオブジェクトに対して決定スキーマ監査対象の例外をスキーマに定義することが可能各属性の searchFlags プロパティに設定属性に変更が加えられても、変更イベントに記録しない Active Directory ドメインサービスの強化ポイントブランチオフィスソリューションセキュリティ強化管理性向上 Active Directory ドメインサービスの新しい実装 Active Directory ドメインサービスをサービスとして実装 ※従来は OS と⼀体化他のシステムサービスと同様、簡単に停⽌・再起動が可能依存するサービスは、⾃動的にドメインサービスの再起動時に再起動 (FRS, KDC, etc) ドメインサービスのオフライン操作をより迅速に Active Directory の DB (Ntds.dit) のメンテナンスがより容易にサーバー再起動によるダウンタイムを削減サービスの停⽌中はメンバーサーバーとして動作、他のサービスは継続して提供複数の Active Directory インスタンスをホスト可能に Database Mounting Tool による Active Directory スナップショットの参照 Active Directory ドメインサービスの開始ドメインサービスが開始されている状態他の Windows 2000 Server または Windows Server 2003 を実⾏する DC の場合と同じ Active Directory ドメインサービスの停⽌ドメインサービスが停⽌されている状態ディレクトリサービス復元モードの DCと、ドメインに参加しているメンバサーバーの両⽅の特性を持つディレクトリサービス復元モード従来の Windows Server 2003 と同様オンラインで Active Directory ドメインサービスのスナップショットが参照可能に削除されたデータの参照 (削除されたオブジェクトを実際に復元できるわけではない) さまざまな時点のデータと⽐較し、リカバリ計画の決定が迅速に⼿順スナップショットを取得 Ntdsutil.exe を実⾏ (タスクでスケジュール) スナップショットのボリュームを LDAP サーバーとして公開 Dsamain.exe (Database Mining Tool) を実⾏ LDAP ポートに接続し表⽰ Ldp.exe を実⾏ NTDSUTIL.EXE VSS にてスナップショットの取得 DSAMAIN.EXE スナップショットを LDAPとして公開 LDP.EXE データの参照 (読み取り専⽤) New Active Directory Recycle Bin Active Directory Recycle Bin の概要 Active Directory (AD LDS) 上のオブジェクトに関するごみ箱機能の追加オブジェクト復旧に要する Active Directory ドメインサービスのダウンタイム低減を実現可能従来は… 誤操作などによる Active Directory オブジェクト削除への対応 -> バックアップからのリストアが必要 (ドメインコントローラーの再起動が必要) Windows Server 2008 R2 では … Active Directory Recycle Bin 機能による削除済み Active Directory オブジェクトの復旧が可能 (ドメインコントローラーの再起動は不要) Active Directory Recycle Bin Windows Server 2008 R2 Active Directory の新機能 Windows Server 2008 R2 機能レベルの追加による実装利⽤するためには Windows Server 2008 R2 機能レベルが必要フォレスト内のすべてのドメインコントローラーが Windows Server 2008 R2 である必要がある既定では無効⼀度有効とすると無効にはできない新しい Active Directory オブジェクトステートの追加 “Logically deleted” , ”Recycled Object” ステートの追加オブジェクト削除に関するプロセスの変更 (Active Directory のスキーマ拡張) Recycle Bin 機能を利⽤しない場合には、Windows Server 2008 とほぼ同様新しいオブジェクトの削除プロセス 180 ⽇ Live Object Tombstone Object オブジェクトのほとんどの属性情報の削除 Windows Server 2008 Windows Server 2008 R2 Live Object Recycle Bin 有効 Deleted Object オブジェクトの属性情報を維持 ※180 ⽇間という期間は “msDS-deletedObjectLifetime 属性により定義される – 変更可能ガベージコレクションの実⾏による完全な削除 ※180 ⽇間という期間は “TombstoneLifetime 属性により定義される – 変更可能 Recycled Object 180 ⽇ 180 ⽇ Garbage collection Garbage collection ガベージコレクションの実⾏による完全な削除オブジェクトのほとんどの属性情報の削除 ※既定では振る舞いは Tombstone Object と同様 Recycle Bin による復旧バックアップからの復旧 Recycle Bin の設定⽅法 Active Directory PowerShell による設定が必要 GUI ツールからは設定することができない注意点⼀度有効にしたら無効にできない機能レベルとして Windows Server 2008 R2 が必要フォレスト内のドメインコントローラーが全て Windows Server 2008 R2 である必要があるサポートされる Windows Server 2008 R2 のエディション Windows Server 2008 R2 Standard Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Datacenter 以下のエディションではサポートされない Windows Server 2008 R2 for Itanium-Based Systems Windows Web Server 2008 R2 実⾏コマンド Enable-ADOptionalFeature “Recycle Bin Feature” –Scope Forest –Target “<Domain 名>” Recycle Bin の利⽤ Active Directory PowerShell による利⽤が必要 GUI ツールからは利⽤できない実⾏コマンド PowerShell Cmdlets の使⽤ Restore-ADObject 例) OU の復旧 Get-ADObject -Filter {Name -Like "*Sysplag*"} -SearchScope Subtree -IncludeDeletedObjects | Restore-ADObject New Active Directory PowerShell Active Directory PowerShell の概要強⼒な管理、スクリプトの実現 Active Directory ドメインサービス (AD LDS) の管理性を向上させるための PowerShell の実装 Active Directory ドメインサービス (AD LDS) の構成 / 管理が可能 85 以上の Cmdlet による管理 Web サービスプロトコル (WS-*) の利⽤によるリモート管理の実現参考 Get-Command -CommandType Cmdlet *-AD* Add-ADComputerServiceAccount Add-ADDomainControllerPasswordReplicationPolicy Add-ADFineGrainedPasswordPolicySubject Add-ADGroupMember Add-ADPrincipalGroupMembership Clear-ADAccountExpiration Disable-ADAccount Disable-ADOptionalFeature Enable-ADAccount Enable-ADOptionalFeature Get-ADAccountAuthorizationGroup Get-ADAccountResultantPasswordReplicationPolicy Get-ADComputer Get-ADComputerServiceAccount Get-ADDefaultDomainPasswordPolicy Get-ADDomain Get-ADDomainController Get-ADDomainControllerPasswordReplicationPolicy Get-ADDomainControllerPasswordReplicationPolicyUsage Get-ADFineGrainedPasswordPolicy Get-ADFineGrainedPasswordPolicySubject Get-ADForest Get-ADGroup Get-ADGroupMember Get-ADObject Get-ADOptionalFeature Get-ADOrganizationalUnit Get-ADPrincipalGroupMembership Get-ADRootDSE Get-ADServiceAccount Get-ADUser Get-ADUserResultantPasswordPolicy Install-ADServiceAccount Move-ADDirectoryServer Move-ADDirectoryServerOperationMasterRole Move-ADObject New-ADComputer New-ADFineGrainedPasswordPolicy New-ADGroup New-ADObject New-ADOrganizationalUnit New-ADServiceAccount New-ADUser Remove-ADComputer Remove-ADComputerServiceAccount Remove-ADDomainControllerPasswordReplicationPolicy Remove-ADFineGrainedPasswordPolicy Remove-ADFineGrainedPasswordPolicySubject Remove-ADGroup Remove-ADGroupMember Remove-ADObject Remove-ADOrganizationalUnit Remove-ADPrincipalGroupMembership Remove-ADServiceAccount Remove-ADUser Rename-ADObject Reset-ADServiceAccountPassword Restore-ADObject Search-ADAccount 52 Set-ADAccountControl Set-ADAccountExpiration Set-ADAccountPassword Set-ADComputer Set-ADDefaultDomainPasswordPolicy Set-ADDomain Set-ADDomainMode Set-ADFineGrainedPasswordPolicy Set-ADForest Set-ADForestMode Set-ADGroup Set-ADObject Set-ADOrganizationalUnit Set-ADServiceAccount Set-ADUser Uninstall-ADServiceAccount Unlock-ADAccount Active Directory PowerShell Provider Active Directory Module Provider の実装 PSDrive としての AD (ADLDS、ADSnapshot) 管理ネットワーク経由での複数フォレストの管理コマンドプロンプトでのファイル管理のようなイメージでの AD 管理の実現 New Active Directory 管理センター Active Directory 管理センターの概要 Active Directory ドメインサービス管理⽤の新しいユーザーインターフェースを提供以下の作成と編集ユーザーグループコンピューター組織単位 (OU) Active Directory 管理センタードメイン、DC ごとのディレクトリ管理 ※ ADLDS の管理は不可 Active Directory PowerShell による実装 ※ Active Directory Web サービスの利⽤ # TCP 9389 の使⽤ 55 Active Directory 管理センターの画⾯ <List / Tree View ペイン> List View Tree View のビューの切り替えが可能 <Overview ペイン> 標準では以下のコンテンツの登録・パスワードのリセット・検索・はじめに Active Directory 管理センターの画⾯ドメインのオブジェクトについて管理・検索が可能タスクペインでは、ドメイン、フォレストの機能レベル管理が可能 Active Directory 管理センターの画⾯ドメインのオブジェクトについての条件を指定しての検索が可能 Active Directory 管理センター検索条件検索条件として指定可能な項⽬無効または有効なアカウントを持つユーザーパスワードの有効期限が切れているユーザー有効期限のある (または無期限の) パスワードが設定されているユーザー有効ではあるがロックされているアカウントのユーザー有効なアカウントを持ち、指定⽇数を過ぎる間ログオンしていないユーザー指定⽇数以内にパスワードの有効期限が切れるユーザー指定のドメインコントローラーの種類として実⾏されているコンピューター最後の変更が指定の期間内オブジェクトの種類がユーザー /inetOrgPerson/ コンピューター/グループ/組織単位上記以外にも属性情報による検索が可能 New ベストプラクティスアナライザーベストプラクティスアナライザーの概要 Active Directory ドメインサービスの構成に関する診断およびベストプラクティスの提⽰ Active Directory ドメインサービスの構成について、 Issue、影響、解決⽅法、トピックなどの情報を提供 -> 誤った構成による障害の発⽣を未然に防ぐことが可能サーバーマネージャーの役割管理の機能として実装ベストプラクティスアナライザーの機能 Active Directory ドメインサービスの構成について診断診断結果について以下の 4 種類のタブで表⽰・⾮準拠・除外・準拠・すべて構成が意図的なものであるなど、設定の変更が必要ない場合にはレポートから除外することも可能主に DNS の構成に関する診断を実⾏ベストプラクティスアナライザーの構成ダウンレベルのドメインコントローラーの構成に関しても情報の収集、診断が可能対象 Windows Windows Windows Windows DS BPA の実装 Server 2008 R2 Server 2008 Server 2003 2000 Server PowerShell スクリプトの実⾏による実装 1) PowerShell スクリプトによる情報の収集 (XML での保存) 2) XML Schema と収集した情報の⽐較 3) ⽐較した結果を踏まえてレポートの⽣成 New Active Directory Web サービス Active Directory Web サービス Active Directory Web サービス (ADWS) の実装 Active Directory への Web サービスインターフェースの追加 Active Directory、ADLDS、AD Snapshot への接続が可能 Active Directory PowerShell のインターフェース Active Directory Web サービスが停⽌していた場合、PowerShell を利⽤した操作は実⾏できない (eg. Active Directory 管理センター) Active Directory ドメインサービスを構成することで⾃動的にインストールされる Active Directory Web サービス構成 Active Directory Web サービス (ADWS) の構成 %windir%¥ADWS フォルダにインストール Microsoft.ActiveDirectory.WebServices.exe.config ファイルでパラメーターの変更が可能パラメーターの詳細については以下の URL を参照 <Active Directory Web Services> http://technet.microsoft.com/en-us/library/dd391908.aspx 認証⽅式としては以下の 2 種類をサポート Kerberos シンプル認証 New オフラインドメイン参加オフラインドメイン参加の概要オフラインドメイン参加機能の実装によるドメイン参加プロセスの改善従来) クライアントがドメインに参加するためには必ずオンラインでドメインコントローラーと通信する必要あり今後) Windows 7 および Windows Server 2008 R2 に関してはオフラインでドメインへの参加が可能にダウンレベルの OS については利⽤不可データセンターのサーバー、遠隔地へのサーバーの配置、クライアントの⼀⻫展開をより効率的に実⾏可能にオフラインドメイン参加 Djoin.exe によるドメイン参加プロセスの実⾏ Djoin.exe は Windows 7、Windows Server 2008 R2 標準搭載 Djoin.exe の実⾏環境: Windows 7、Windows Server 2008 R2 (それ以外は NG) オフラインドメイン参加の可能な OS Windows 7、Windows Server 2008 R2 (それ以外は NG) ドメインコントローラー既定では Djoin.exe の接続先となるドメインコントローラーは Windows Server 2008 R2 /downlevel オプションを使⽤することで Windows Server 2008 R2 以前のドメインコントローラーでも利⽤可能オフラインドメイン参加の⼿順 1) Djoin.exe による AD へのコンピューターオブジェクトの登録およびファイルの作成 Djoin /provision /domain <参加先のドメイン名> /machine <参加するコンピューター名> /savefile <ファイル名.txt> 2) Djoin.exe /provision の操作で作成されたファイルをドメインに参加するコンピューターにコピー 3) Djoin.exe によるオフラインドメイン参加の設定の実⾏ Djoin /requestODJ /loadfile <ファイル名.txt> /windowspath %SystemRoot% ※ 上記の⼿順以外にも Unattend.xml による構成も可能その他の強化点 • ポリシー項⽬を⼤幅に追加 • Windows Server 2008 • • • Windows Vista のポリシーに完全対応 Windows Server 2008 管理項⽬を追加 Windows Server 2008 R2 • • Windows 7 のポリシーに完全対応 Windows Server 2008 管理項⽬を追加 • ADMX テンプレートに対応 • • • XML 化拡張性、保守性の向上⾔語依存部と⾮依存部を分割 • グループポリシーオブジェクト (GPO) にコピーされない構造 • 作成される各 GPO の容量を削減 • DC 間の複製トラフィックを軽減 New グループポリシーのフィルタオプションポリシーの設定項⽬、説明、コメント内のキーワードによるフィルタ表⽰構成されたポリシーのみフィルタ表⽰などフィルター設定後 • ふりがなでソート、検索が可能に • ふりがな属性の追加項⽬ • 姓 • 名 • 表⽰名 • 会社名 • 部署 Active Directory ユーザーとコンピュータ • 属性エディタ • ADSI Edit と同等の UI を実装 • DC 属性の表⽰ • DC の種類、サイト情報等を表⽰ • パスワードレプリケーションポリシータブ • RODC 上での認証情報など確認可能 • オブジェクト削除の防⽌ • 誤操作によるオブジェクト削除を防⽌まとめ Active Directory はアーキテクチャを保ちつつさらに進化より柔軟に！環境に応じたサーバー展開が可能によりセキュアに！セキュアなサーバー構成の実現より優れた管理性を！運⽤をもっと容易に他の章は下記をクリックしてＰＤＦ一覧からお入り下さい。ＩＴ大全（pdf １００冊） http://www.geocities.jp/ittaizen 目次番号２７０番 Windows Server Enterprise 2008 R2 完全解説（再入門）全２６冊 78