開発者のためのActive Directory講座

救世主降臨！ ACTIVE DIRECTORY ＋ POWERSHELL が開発者を救う！？開発者のための最新ACTIVE DIRECTORY講座マイクロソフト株式会社エバンジェリスト安納順一 Anno Junichi http://blogs.technet.com/junichia/

これまでいろいろありました.... これまでいろいろありました....

10年もたつけど・・・ 3

ある日の会話（ほぼ実話）登場人物 PM ：プロジェクトマネージャー（゗ンフラ担当SEが兼任） DEV ：業務ゕプリ設計/開発担当 PM 「例の業務ゕプリだけど、認証はどうするの？」 DEV 「もちろん実装しますよ。ローカルにDBもてばいいんですよね？」 PM 「だめだよ。Active Directory で認証するようにしよ」 DEV 「えぇ、使ったことないですよ。Active Directory なんて」 PM 「別に難しくないよ」 DEV 「実績が無いので開発コストが増えますよ？」 PM 「どれくらい？」 DEV 「5人月とか？」 PM 「そんな馬鹿なぁ！それに予算FIXしてるのに、いまさら無理だって～」 DEV 「Active Directoryから同期してくればいいじゃないですか」 PM 「じゃ、同期する部分作ってくれる？」 DEV 「そんなのバッチ作れば済むじゃないですか」 PM 「…」 4

認証を独立させるとこんな影響が… 業務ゕプリA ユーザーDB 業務ゕプリB ユーザーDB フゔ゗ルサーバー（Windows）メタデータベース Active Directory メールサーバー（LDAP） 5 OpenLDAP

AGENDA  はじめに  マ゗クロソフト製品群におけるAD DSの位置づけ  ITシステムにおけるAD DSの位置づけ  AD DSは開発者の救世主となるか？  開発者にとっての AD DS  AD DS「さわりかた」超基礎  開発者のための AD DS 最新トピック 2010年度版  New! AD Recycle Bin で削除したオブジェクトを復活  Windows PowerShell と AD DS  まずは AD の構造から  AD DS用コマンドレットの使い方 6  Appendix

はじめに AD DSの位置づけ

マ゗クロソフト製品群におけるAD DSの位置づけ統合セキュリティ安全なメッセージ保護クライアント保護コラボレーション情報の保護 IDとアクセスの管理 8

IDとゕクセスを統制するということは資源がIDを介して有機的に結びついた状態 Access ID 9

ITシステムにおける AD DS の位置づけ業務ゕプリA（Linux） Active Directory Domain Service 業務ゕプリB（Windows）認証/ユーザー情報問合せ（ADO/ADSI）フゔ゗ルサーバー（Windows）メールサーバー（Linux） 10

AD DSは開発者の救世主となるか

開発者視点での AD DS のメリット Windowsクラ゗ゕントにログオンしているユーザーは、すでに「資格情報」を保持しているため、ユーザーIDを改めて入力させる必要は無いし、パスワードの保存も必要ない。氏名や所属など、ユーザー情報はAD DSに格納されているので、ローカル DBに保存する必要が無い。ただし、情報漏えいに関して注意も必要（後述）。管理者のみが行える操作、ユーザーが行える操作、部門によって行える操作等の判断は、Active Directory の組織情報やタ゗トル、所属グループ等から判断すればよく、ローカルで管理する必要は無い。 ID統制には大切な視点！矛盾のないID管理は、可能な限り重複管理を避 12 けることから始まります！

（参考）AD DSの注意すべき点 AD DSのリポジトリは LDAP であり、AD DSで認証を受けたユーザー（Authenticated Users）は、ほぼ全てのユーザー情報を「参照」することができる。 ※Anonymous はゕクセスできません電話番号や住所、生年月日等、プラ゗バシーにかかわる情報についてはActive Directory 管理者側の意識的な対応が必須！ ※特定のAttributeへのゕクセス権を本人のみにする等 13

ちなみに…AD DSの構築って簡単なの？ YES！構築するだけならば超簡単 ※運用はそれなりの苦労を伴いますが… 別紙「Windows Server 2008 60分クッキング」をご覧ください 14

AD DS のツリー構造（要はLDAPなのです） DC=Contoso,DC=com sAMAccountName = Tanaka OU=営業部 employeeID = 999999 Title = Manager Division = 営業部第一営業課 OU=第一営業課 DisplayName = 田中一郎 CN=Tanaka SurName = 田中 givenName = 一郎 OU=第二営業課 homeDirectory = ¥¥Server¥Home¥Tanaka phoneNumber = +81-90-9999-9999 IsMember = 第一営業課,営業部 CN=Yamada CN=Yasuda CN=Users CN=Suzuki 15

AD DS「さわりかた」の超基礎 ① ～WINDOWS POWERSHELL 編 • Active Directoryモジュールの読み込み PS C:>Import-Module ActiveDirectory • Active Directory 関連コマンド一覧の参照 PS C:>Get-Command –module ActiveDirectory | Out-GridView • 現在ログオンしているユーザーID PS C:>$env:UserName • 現在ログオンしているユーザーIDの情報 PS C:>$userid = $env:UserName PS C:>Get-ADUser $userid • ユーザーのプロパテゖを参照 PS C:>$userid = $env:UserName PS C:>$objUser = Get-ADUser $userid –properties displayName 16 PS C:>$displayName = $objUser.dislayName

AD DS「さわりかた」の超基礎 ② ～WINDOWS POWERSHELL 編 • AD DSをブラウズ PS C:>cd AD: PS AD:>dir Name ObjectClass DistinguishedName ------------------------------------------------------------------------- Contoso domainDNS dc=Contoso,dc=Com Configuration configuration cn=Configuration,dc=contoso,… Schema dMD cn=schema,cn=Configuration,… ・・ PS AD:¥>cd ‘.¥DC=Contoso,DC=Com’ PS AD:¥DC=Contoso,DC=Com>dir Name ObjectClass DistinguishedName ------------------------------------------------------------------------- Builtin BuiltinDomain cn=Builtin,dc=contoso,dc=com Computers container cn=Computers,dc=contoso,dc… 17 ・・

AD DS「さわりかた」の超基礎 ③ ～WINDOWS POWERSHELL 編 • ユーザーIDに test を含むユーザーを検索する PS C:¥>Get-ADUser –Filter {sAMAccountName –like “*test*”} | ft sAMAccountName • 無効化されたユーザーを検索する PS C:¥>Search-ADAccount –AccountDisabled -UserOnly • パスワードの有効期限が切れたユーザーを検索する PS C:¥>Search-ADAccount –PasswordExpired -UserOnly • ゕカウントの有効期限が切れたユーザーを検索する PS C:¥>Search-ADAccount –AccountExpired -UserOnly • ロックされたユーザーを検索する PS C:¥>Search-ADAccount –LockOut -UserOnly • パスワードが無期限のユーザーを検索する 18 PS C:¥>Search-ADAccount –PasswordNeverExpired -UserOnly

AD DS「さわりかた」の超基礎 ④ ～WINDOWS POWERSHELL 編 • 1年間ログオンしていないユーザーを検索する ※ただし最近作成したユーザーは除外する PS C:¥>Search-ADAccount –AccountInactive –TimeSpan 365 -usersonly | Foreach-Object {(Get-ADUser $_.Name –Properties WhenCreated)} | Where-Object {$_.WhenCreated –lt “2009/11/18 17:00:00”} 今この間にログオンしていないユーザー除外今から365日前 2009/11/18 17:00:00 19

開発者のための AD DS 最新トピック 2010年度版伝えたいのはコレ！「Active Directory Recycle Bin」

NEW! ACTIVE DIRECTORY RECYCLE BIN 機能削除したユーザーを完全復活！既定で180日間保持（変更可能）削除状態からの復旧であればAuthoritative Restoreは不要属性情報の紛失時には使えない Linked-Value も完全復活グループメンバーシップやグループメンバーなど留意事項（ご参考） Active Directory フォレスト機能レベル Windows Server 2008 R2 規定では無効（有効にしたら元には戻せない） DITの容量が10～15%程度増加（目安）操作は Windows PowerShell を使用 21

NEW! ACTIVE DIRECTORY RECYCLE BIN 「削除済」からの完全復旧削除操作有効削除済リサ゗クル済消滅 Garbage Collection ・・・・・・ 22

なぜ AD Recycle Bin が開発者に向けたトップストーリーなのか？ 23

ユーザーIDのプロビジョニング - BEFORE 従来のプロビジョニング（WS2003～WS2008）各種属性所属グループメンバーシップ 24

ユーザーIDのプロビジョニング - AFTER Windows Server 2008 R2では各種属性所属グループメンバーシップ 25

ユーザーIDのプロビジョニング - AFTER＋さらなる内製化各種属性所属グループメンバーシップ監査ログ 26

参考 EVENTLOGを検索する PS > get-Eventlog security | where-object {$_.EventID –eq 5136} 27

WINDOWS POWERSHELL で RECYCLE BIN を操作してみる

WINDOWS POWERSHELL ADモジュールを使用するための準備 [スタート]-[すべてのプログラム]-[管理ツール]-[Windows PowerShell用のActive Directoryモジュール] OR [フゔ゗ル名を指定して実行]-「powersell」 PS > import-module ActiveDirectory PS > Get-Command -module ActiveDirectory 29

WINDOWS POWERSHELL ADモジュール一覧 Add-ADComputerServiceAccount Add-ADDomainControllerPasswordReplicationPolicy Add-ADFineGrainedPasswordPolicySubject Add-ADGroupMember Add-ADPrincipalGroupMembership Clear-ADAccountExpiration Get-ADAccountAuthorizationGroup Get-ADAccountResultantPasswordReplicationPolicy Disable-ADAccount Get-ADComputer Disable-ADOptionalFeature Get-ADComputerServiceAccount Get-ADDefaultDomainPasswordPolicy Enable-ADAccount Get-ADDomain Enable-ADOptionalFeature Get-ADDomainController Get-ADDomainControllerPasswordReplicationPolicy Get-ADDomainControllerPasswordReplicationPolicyUsage Get-ADFineGrainedPasswordPolicy Get-ADFineGrainedPasswordPolicySubject Get-ADForest Get-ADGroup Get-ADGroupMember Get-ADObject Get-ADOptionalFeature Get-ADOrganizationalUnit Get-ADPrincipalGroupMembership Get-ADRootDSE Get-ADServiceAccount 30 Get-ADUser Get-ADUserResultantPasswordPolicy

Install-ADServiceAccount Search-ADAccount Move-ADDirectoryServer Set-ADAccountControl Move-ADDirectoryServerOperationMasterRole Set-ADAccountExpiration Move-ADObject Set-ADAccountPassword Set-ADComputer New-ADComputer Set-ADDefaultDomainPasswordPolicy New-ADFineGrainedPasswordPolicy Set-ADDomain New-ADGroup Set-ADDomainMode New-ADObject Set-ADFineGrainedPasswordPolicy New-ADOrganizationalUnit Set-ADForest New-ADServiceAccount Set-ADForestMode New-ADUser Set-ADGroup Set-ADObject Remove-ADComputer Set-ADOrganizationalUnit Remove-ADComputerServiceAccount Set-ADServiceAccount Remove-ADDomainControllerPasswordReplicationPolicy Set-ADUser Remove-ADFineGrainedPasswordPolicy Remove-ADFineGrainedPasswordPolicySubject Uninstall-ADServiceAccount Remove-ADGroup Remove-ADGroupMember Unlock-ADAccount Remove-ADObject Remove-ADOrganizationalUnit Remove-ADPrincipalGroupMembership Remove-ADServiceAccount Remove-ADUser Rename-ADObject 31 Reset-ADServiceAccountPassword Restore-ADObject

RECYCLE BINを使用するための準備フォレストの機能レベルを「2008 R2」にする PS> Set-ADForestMode –Identity contoso.com –ForestMode Windows2008R2Forest 「ゴミ箱」を有効にする PS> Enable-ADOptionalFeature –Identity ‘Recycle Bin Feature’ –Scope ForestOrConfigurationSet –Target ‘contoso.com’ 32

削除されたオブジェクトを復旧する削除されたオブジェクトを参照する PS> Get-ADObject -filter {sAMAccountName -eq “user01”} -IncludeDeletedObject オブジェクトを復旧する PS> Get-ADObject -filter {sAMAccountName -eq “user01”} -IncludeDeletedObject | Restore-ADObject 33

オブジェクトを削除するとDELETED OBJECTSに移動 Deleted Objects コンテナに移動 IsDeleted属性が Trueに全てのオブジェクトがフラットに並ぶ RDN（識別名）が書き換えられる <現在のRDN>¥0ADEL:<GUID> ¥0ADEL:… ¥0ADEL:… ¥0ADEL:… ¥0ADEL:… ¥0ADEL:… ¥0ADEL:... 34

ツリー構造の復旧はルートから行う復旧は親から順に行う親オブジェクトが存在しない場合にはエラー lastKnownParent 属性で検索削除する前の上位DN まずはここから ¥0ADEL:… ¥0ADEL:… ¥0ADEL:… ¥0ADEL:… ¥0ADEL:… ¥0ADEL:... 35

ツリーの復旧 1. 親を復旧 Get-ADObject -ldapFilter:"(msDS-LastKnownRDN=Finance)" –IncludeDeletedObjects | Restore-ADObject 2. 親が「Finance_Department」であるものを復旧 Get-ADObject -SearchBase "CN=Deleted Objects,DC=contoso,DC=com" -Filter {lastKnownParent -eq "OU=Finance,DC=contoso,DC=com"} -IncludeDeletedObjects | Restore-ADObject 3. 親が「Admins」であるものを復旧 Get-ADObject -SearchBase "CN=Deleted Objects,DC=contoso,DC=com" -Filter {lastKnownParent -eq "OU=Admins,OU=Finance,DC=contoso,com"} -IncludeDeletedObjects 36 | Restore-ADObject

（参考）ラ゗フタ゗ムを変更するには削除済オブジェクトのライフタイムを変更する Set-ADObject -Identity “CN=Directory Service, CN=Windows NT, CN=Services, CN=Configuration, DC=mydomain, DC=com” –Partition “CN=Configuration,DC=mydomain,DC=com” –Replace:@{“msDS-DeletedObjectLifetime” = 60} リサイクル済オブジェクトのライフタイムを変更する Set-ADObject -Identity “CN=Directory Service, CN=Windows NT, CN=Services, CN=Configuration,DC=mydomain, DC=com” –Partition “CN=Configuration,DC=mydomain,DC=com” –Replace:@{“tombstoneLifetime” = 365} 37

業務に与える゗ンパクトデータ復旧時のシステム停止時間を大幅に削減従来 Authoritative Restore によるバックゕップからの復元 Snapshot から取り出し（Windows Server 2008）今後 Windows PowerShell によって簡単に復元簡易的なユーザーIDプロビジョニングシステムの実現導入コストの大幅な軽減中小規模システムへのプロビジョニングの適用が可能に 38

VISUAL STUDIO から POWERSHELL を呼び出す゗ンフラSEは Visual Studio ここも欲しい！ここがないと自動化できない .Net Framework 仮想マシン 39

まとめ • PowerShell により Active Directory が近くなりました • Active Directory べったりのゕプリは引きが強い！ • ゗ンフラSEはみなさんを待っています！ Silverlight を駆使し、無駄にグリグリまわる管理ツールの開発を！ 40

APENDIX

1. POWERSHELL の基本的な使い方

POWERSHELLをつかってみよう～POWERSHELL に関する書式情報の取得方法使い方に関する情報を得るには使えるコマンドレット一覧取得 Get-Command ゗ンストールされているゕプリによってコマンドレットは増減するコマンドレットの詳細な書式と例を表示 Get-Help <コマンドレット> -detailed コマンドレットのメソッドとプロパテゖ等を表示 <コマンドレット> | get-member <コマンドレット> | get-member | sort-object Name | format-list ※ COMのメンバーも取得できる New-Object -com scripting.filesystemobject | Get-Member 43

POWERSHELLを使ってみよう Sample : 指定したフォルダのフゔ゗ル一覧 sample03.ps1 Get-ChildItem c:¥tmp | Where-Object {!( $_.Attributes –band 16 )} | Select-Object Name,Attributes $_.Attributes and 010000 = True ※-band はビット演算子 and （参考）継続行についてあきらかに継続することがわかる場合には、行の継続は自動的に判断してくれる PowerShell コンソールから入力した場合も同様 PowerShell コンソールからコマンドプロンプトから 44

コメントのつけ方スクリプトを引き継ぎやすくするため、処理の内容等についてコメントをつけましょう。書式についても書いておくとよいです。バッチ VBScript PowerShell 45

引数を受け取る方法 C:¥> <スクリプト名> My name is “Junichi Anno” . バッチ %1 ~ %9 までの変数で受け取る Echo %1 / %2 / %3 / %4 Shift My / name / is / "Junichi Anno“ Echo %1 / %2 / %3 / %4 name / is / "Junichi Anno" / . Set FullName=%3 Junichi Anno Echo %FullName:"=% VBScript Set Args = Wscript.Arguments My If Args.Count <> 0 Then name For Each n in Args is Wscript.Echo n Junichi Anno Next . End If PowerShell My foreach ( $a in $args ) name { is Write-Output $a Junichi Anno } . 46 Write-Output $args[3] Junichi Anno

名前付き引数引数を所定の名前の変数に格納することで、文法チェック等が行いやすくなる WSHとPowerShell でス゗ッチの識別文字が異なることに注意 VBScript C:¥> script.vbs /userid:anno /password:hogehoge If WScript.Arguments.Named.Exists("userid") then strUserID = WScript.Arguments.Named.Item("userid") End If If WScript.Arguments.Named.Exists("password") then strPassword = WScript.Arguments.Named.Item("password") End If PowerShell C:¥> script.ps1 -userid anno -password hogehoge param([string] $UserID = “nouserid", [string] $Password = "nopassword") Write-Output $userid Write-Output $Password 47

変数の扱いと値の代入バッチ Set LastName=Anno Set FirstName=Junichi Set FullName=“%FirstName% %LastName%” Set FullName=%FullName:"=% Echo %FullName% Junichi Anno Echo %FullName:n=x% Juxichi Axxo Echo %FullName:~8% Anno Echo %FullName:~8,1% A Echo %FullName:~-4,3% Ann If /I %FullName:~-1,1%==o Echo OK OK WSH FirstName = "Junichi" LastName = "Anno" FullName = FirstName & " " & LastName Wscript.Echo Split(FullName," ")(0) Junichi PowerShell $FirstName = "Junichi" $LastName = "Anno" $FullName = $FirstName + " " + $LastName Write-Output $FullName Junichi Anno $arrFullName = $FullName.Split(" ") Junichi 48 Write-Output $arrFullname[0]

入出力方法これを抑えておけば、ひとまずたいていのことはできますバッチ画面への出力：Echo “Hello World” 画面からの入力：「choice」コマンドまたは「set /p」コマンドフゔ゗ルへの出力：dir > list.txt または dir >> list.txt フゔ゗ルから入力： for /f "delims=" %i in ('type c:¥tmp¥list.txt') do @echo %i WSH（VBScript）画面への出力：Wscript.Echo “Hello World” 画面からの入力：Stdin.ReadLine フゔ゗ルへの出力：fso.OpenTextFile(“c:¥list.txt”, 2 or 8) フゔ゗ルから入力：fso.OpenTextFile(“c:¥list.txt”, 1) PowerShell 画面への出力：Write-Output “Hello” 画面からの入力：$InputData = Read-Host フゔ゗ルへの出力：Out-File -filepath C:¥tmp¥list.txt -inputobject $Record フゔ゗ルから入力： $file = Get-Content -Path c:¥tmp¥list.txt 49

2. AD DS その他の新機能

その他の新機能一覧管理されたサービスゕカウント（MSA）オフラ゗ンドメ゗ン参加（ODJ）認証メカニズム保障（AMA）ベストプラクテゖスゕナラ゗ザー（BPA） Active Directory 管理センター（ADAC） Active Directory Web Services（ADWS）デゖレクトリサービス回復モードのパスワード同期 51

管理されたサービスゕカウント～MANAGED SERVICE ACCOUNT(MSA) 機能メンテナンスフリーな独立したサービス専用ゕカウントを作成パスワードとSPNはNetlogonサービスによって自動リセット MaximumPasswordAge ごと reset-ADServiceAccountPassword <MSA> で手動リセット PowerShell を使用して設定パスワードの複雑性ポリシーの影響は受けない留意点 Windows 7 および Windows Server 2008 R2 のみ 1コンピューター/1サービス/1ゕカウント 52

（参考）管理されたサービスゕカウントの利用手順ゕカウントを作成する PS> New-ADServiceAccount –Name SA01 ゕカウントを確認する PS>Get-ADServiceAccount SA01 ※HostComputersとUserPrincipalNameが空であることを確認作成したゕカウントとコンピュータを関連付け PS> Add-ADComputerServiceAccount –Identity <ComputerName> -ServiceAccount SA01 ※再度 Get-ADServiceAccount で、HostComputersに、指定したComputerNameのDNが登録されていることを確認作成したゕカウントをコンピュータに登録（ローカルで実施） PS> Install-ADServiceAccount -Identity SA01 53 作成したゕカウントをサービスに登録サービススナップ゗ンでゕカウントを指定

オフラ゗ンドメ゗ン参加～ OFFLINE DOMAIN JOIN (ODJ) 機能ドメ゗ンコントローラと通信せずにドメ゗ンに参加 BLOBフゔ゗ル（テキスト）を経由プロビジョニングサーバーから排出し、参加予定コンピューターに取り込む Base64でエンコードされているが暗号化されていない再利用は不可能対象物理マシン仮想マシン（他のマシンにマウント要）留意点 Windows 7 と Windows Server 2008 R2 で使用可能 Domain Admins以外のユーザーは権限が必要「ドメ゗ンにワークステーションを追加」または Computersコンテナ 54 に対する「子オブジェクトの作成」権限

オフラ゗ンドメ゗ン参加の動作゗メージ DC クラ゗ゕント C:¥> djoin /provision /domain <target domain> /machine <new machine name> /savefile <filename> C:¥> djoin /requestODJ /loadfile <filename> /windowspath <path to new machine’s %windir%> 55

認証メカニズム保障～(AMA : AUTHENTICATION MECHANISM ASSURANCE) 機能証明書ベースのログオン時にユニバーサルグループへのメンバーシップを追加証明書発行ポリシーのOID：ユニバーサルグループSID 証明書ユーザーID/パスワード留意点 Windows Server 2008 R2 ドメ゗ンフゔンクションレベルが必要クラ゗ゕントは Vista / 7 / 2008 / 2008R2 Kerberos認証（NTLMではサポートされない） LDPまたはPowerShell スクリプトを使用して設定可能 56 スクリプトは以下で提供 http://technet.microsoft.com/en-us/library/dd378897(WS.10).aspx

ベストプラクテゖスゕナラ゗ザ (BPA) 機能設定が「ちゃんと」しているかどうかを調査するためのツールちゃんとした設定＝ベストプラクティスベストプラクテゖスの提示 ※設定は手動で行うサーバーマネージャーか PowerShell を使用 PS> Import-Module BestPractices PS> Invoke-BPAmodel Microsoft¥Windows¥DirectoryServices PS> Get-BPAresult Microsoft¥Windows¥DirectoryServices ベストプラクテゖスシナリオは Windows Update 経由で定期的に更新される予定フゖードバックも受付中 http://connect.microsoft.com/ADBPA 留意事項独自のベストプラクテゖスの追加ができない 57 Windows Server 2008 R2 ドメ゗ンコントローラをサポート

ACTIVE DIRECTORY 管理センター（ADAC）機能新しいドメ゗ン管理用GUI（MUX:Management UX） ※従来のGUIも継続提供複数のドメ゗ン、複数のフォレストを管理 PowerShell AD コマンドレットをコール UIクエリーをLDAPクエリーに変換して保存独自のクエリーを追加カラム等のカスタマ゗ズ留意点現時点では「従来ツールの置き換え」にはならない PowerShell スクリプトの吐き出しができないトポロジーの管理が行えないドラッグ & ドロップができない 58 ゗ンラ゗ンでの名前変更ができない

ACTIVE DIRECTORY WEB SERVICES (ADWS) 機能 Active DirectoryにゕクセスするためのWEBサービスを提供 TCP/9389 Administrative AD DS、AD LDS両方にゕクセス可能 BPA Center WS* および WCF プロトコルを使用 AD PowerShell MUX WCF WPF WCF 留意点 Web Services Windows Server 2008 R2 DC S.DS.P / S.DS.AM / S.DS.AD または AD LDS ゗ンスタンス LDAP Windows Server 2003 & 2008 DCの場合は Active Directory Management Active Directory Core Gateway (ADMG) の゗ンストールが必要 http://support.microsoft.com/kb/969041/ja IIS は必要ない 59

デゖレクトリサービス回復モードのパスワード同期（DSRM PASSWORD SYNC）機能ドメ゗ンコントローラー回復コンソールのパスワードを、既存ユーザーのパスワードと同期 C:¥> Ntdsutil.exe “Set DSRM Password” “Sync from domain account <ユーザーID> ” q q 留意点 QFE適用によりWindows Server 2008 でも使用可能 http://support.microsoft.com/kb/961320/ja ドメ゗ンコントローラ単位に実施 60

（参考）各新機能に必要な実装ファンクションレベル使用できる新機能オフラインドメインジョイン Windows7 または WS2008R2 クライアントマネージドサービスアカウント Active Directory 管理センター + PowerShell for Active ADWS または ADMG（2008/2003） Directory ベストプラクティスアナライザ + 回復コンソールパスワード同期 Windows Server 2008 R2 DC (QFEにより Windows Server 2008でも使用可能) + Windows Server 2008 R2 ドメイン認証メカニズム保障ファンクションレベル + Windows Server 2008 R2 フォレストゴミ箱 61 ファンクションレベル

http://blogs.technet.com	323
http://www.slideshare.net	43
file://	1
http://webcache.googleusercontent.com	1

開発者のためのActive Directory講座

by Junichi Anno on Nov 23, 2009

Accessibility

Categories

Tags

Upload Details

Usage Rights

4 Embeds 368

Statistics

開発者のためのActive Directory講座 — Presentation Transcript