Your SlideShare is downloading. ×
開発者のためのActive Directory講座
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Introducing the official SlideShare app

Stunning, full-screen experience for iPhone and Android

Text the download link to your phone

Standard text messaging rates apply

開発者のためのActive Directory講座

9,715
views

Published on

Windows PowerShellを使用するとActive Directoryと付き合いやすくなります というお話

Windows PowerShellを使用するとActive Directoryと付き合いやすくなります というお話

Published in: Technology, Business

0 Comments
16 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
9,715
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
144
Comments
0
Likes
16
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. 救世主降臨! ACTIVE DIRECTORY + POWERSHELL が開発者を救う!? 開発者のための最新ACTIVE DIRECTORY講座 マイクロソフト株式会社 エバンジェリスト 安納 順一 Anno Junichi http://blogs.technet.com/junichia/
  • 2. これまで いろいろありました.... これまで いろいろありました....
  • 3. 3 10年もたつけど・・・
  • 4. 4 ある日の会話(ほぼ実話) 登場人物 PM :プロジェクトマネージャー(゗ンフラ担当SEが兼任) DEV :業務ゕプリ設計/開発担当 PM 「例の業務ゕプリだけど、認証はどうするの?」 DEV 「もちろん実装しますよ。ローカルにDBもてばいいんですよね?」 PM 「だめだよ。Active Directory で認証するようにしよ」 DEV 「えぇ、使ったことないですよ。Active Directory なんて」 PM 「別に難しくないよ」 DEV 「実績が無いので開発コストが増えますよ?」 PM 「どれくらい?」 DEV 「5人月とか?」 PM 「そんな馬鹿なぁ!それに予算FIXしてるのに、いまさら無理だって~」 DEV 「Active Directoryから同期してくればいいじゃないですか」 PM 「じゃ、同期する部分作ってくれる?」 DEV 「そんなのバッチ作れば済むじゃないですか」 PM 「…」
  • 5. 5 認証を独立させるとこんな影響が… 業務ゕプリA 業務ゕプリB フゔ゗ルサーバー(Windows) メールサーバー(LDAP) ユーザーDB ユーザーDB Active Directory OpenLDAP メタデータベース
  • 6. 6 AGENDA  はじめに  マ゗クロソフト製品群におけるAD DSの位置づけ  ITシステムにおけるAD DSの位置づけ  AD DSは開発者の救世主となるか?  開発者にとっての AD DS  AD DS「さわりかた」超基礎  開発者のための AD DS 最新トピック 2010年度版  New! AD Recycle Bin で削除したオブジェクトを復活  Windows PowerShell と AD DS  まずは AD の構造から  AD DS用コマンドレットの使い方  Appendix
  • 7. はじめに AD DSの位置づけ
  • 8. 8 メッセージ保護 安全な コラボレーション 情報の保護 IDとアクセスの管理 統合セキュリティ クライアント保護 マ゗クロソフト製品群におけるAD DSの位置づけ
  • 9. 9 Access IDとゕクセスを統制するということは ID 資源がIDを介して有機的に結びついた状態
  • 10. 10 ITシステムにおける AD DS の位置づけ 業務ゕプリA(Linux) 業務ゕプリB(Windows) フゔ゗ルサーバー(Windows) メールサーバー(Linux) Active Directory Domain Service 認証/ユーザー情報問合せ (ADO/ADSI)
  • 11. AD DSは開発者の救世主となるか
  • 12. 12 開発者視点での AD DS のメリット Windowsクラ゗ゕントにログオンしているユーザーは、すでに「資格情 報」を保持しているため、ユーザーIDを改めて入力させる必要は無いし、 パスワードの保存も必要ない。 管理者のみが行える操作、ユーザーが行える操作、部門によって行える操 作等の判断は、Active Directory の組織情報やタ゗トル、所属グループ等 から判断すればよく、ローカルで管理する必要は無い。 ID統制には大切な視点! 矛盾のないID管理は、可能な限り重複管理を避 けることから始まります! 氏名や所属など、ユーザー情報はAD DSに格納されているので、ローカル DBに保存する必要が無い。ただし、情報漏えいに関して注意も必要(後 述)。
  • 13. 13 (参考)AD DSの注意すべき点 AD DSのリポジトリは LDAP であり、AD DSで認証を受けたユー ザー(Authenticated Users)は、ほぼ全てのユーザー情報を「参 照」することができる。 ※Anonymous はゕクセスできません 電話番号や住所、生年月日等、プラ゗バシーにかかわる情報に ついてはActive Directory 管理者側の意識的な対応が必須! ※特定のAttributeへのゕクセス権を本人のみにする等
  • 14. 14 ちなみに…AD DSの構築って簡単なの? YES! 構築するだけならば超簡単 ※運用はそれなりの苦労を伴いますが… 別紙「Windows Server 2008 60分クッキング」をご覧ください
  • 15. 15 AD DS のツリー構造(要はLDAPなのです) OU=営業部 OU=第一営業課 DC=Contoso,DC=com CN=Users OU=第二営業課 CN=Tanaka CN=Yamada CN=Suzuki sAMAccountName = Tanaka employeeID = 999999 Title = Manager Division = 営業部第一営業課 DisplayName = 田中 一郎 SurName = 田中 givenName = 一郎 homeDirectory = ¥¥Server¥Home¥Tanaka phoneNumber = +81-90-9999-9999 IsMember = 第一営業課,営業部 CN=Yasuda
  • 16. 16 AD DS「さわりかた」の超基礎 ① ~WINDOWS POWERSHELL 編 PS C:>$env:UserName • 現在ログオンしているユーザーID PS C:>Import-Module ActiveDirectory • Active Directoryモジュールの読み込み PS C:>Get-Command –module ActiveDirectory | Out-GridView • Active Directory 関連コマンド一覧の参照 PS C:>$userid = $env:UserName PS C:>Get-ADUser $userid • 現在ログオンしているユーザーIDの情報 PS C:>$userid = $env:UserName PS C:>$objUser = Get-ADUser $userid –properties displayName PS C:>$displayName = $objUser.dislayName • ユーザーのプロパテゖを参照
  • 17. 17 AD DS「さわりかた」の超基礎 ② ~WINDOWS POWERSHELL 編 PS C:>cd AD: PS AD:>dir Name ObjectClass DistinguishedName ------------------------------------------------------------------------- Contoso domainDNS dc=Contoso,dc=Com Configuration configuration cn=Configuration,dc=contoso,… Schema dMD cn=schema,cn=Configuration,… ・ ・ PS AD:¥>cd ‘.¥DC=Contoso,DC=Com’ PS AD:¥DC=Contoso,DC=Com>dir Name ObjectClass DistinguishedName ------------------------------------------------------------------------- Builtin BuiltinDomain cn=Builtin,dc=contoso,dc=com Computers container cn=Computers,dc=contoso,dc… ・ ・ • AD DSをブラウズ
  • 18. 18 AD DS「さわりかた」の超基礎 ③ ~WINDOWS POWERSHELL 編 • ユーザーIDに test を含むユーザーを検索する PS C:¥>Get-ADUser –Filter {sAMAccountName –like “*test*”} | ft sAMAccountName • 無効化されたユーザーを検索する PS C:¥>Search-ADAccount –AccountDisabled -UserOnly • パスワードの有効期限が切れたユーザーを検索する PS C:¥>Search-ADAccount –PasswordExpired -UserOnly • ゕカウントの有効期限が切れたユーザーを検索する PS C:¥>Search-ADAccount –AccountExpired -UserOnly • ロックされたユーザーを検索する PS C:¥>Search-ADAccount –LockOut -UserOnly • パスワードが無期限のユーザーを検索する PS C:¥>Search-ADAccount –PasswordNeverExpired -UserOnly
  • 19. 19 AD DS「さわりかた」の超基礎 ④ ~WINDOWS POWERSHELL 編 • 1年間ログオンしていないユーザーを検索する ※ただし最近作成したユーザーは除外する PS C:¥>Search-ADAccount –AccountInactive –TimeSpan 365 -usersonly | Foreach-Object {(Get-ADUser $_.Name –Properties WhenCreated)} | Where-Object {$_.WhenCreated –lt “2009/11/18 17:00:00”} 今 2009/11/18 17:00:00 除外 今から365日前 この間にログオンしていないユーザー
  • 20. 開発者のための AD DS 最新トピック 2010年度版 伝えたいのはコレ! 「Active Directory Recycle Bin」
  • 21. 21 NEW! ACTIVE DIRECTORY RECYCLE BIN 機能 削除したユーザーを完全復活! 既定で180日間保持(変更可能) 削除状態からの復旧であればAuthoritative Restoreは不要 属性情報の紛失時には使えない Linked-Value も完全復活 グループメンバーシップやグループメンバー など 留意事項(ご参考) Active Directory フォレスト機能レベル Windows Server 2008 R2 規定では無効(有効にしたら元には戻せない) DITの容量が10~15%程度増加(目安) 操作は Windows PowerShell を使用
  • 22. 22 削除済 リサ゗クル済有効 NEW! ACTIVE DIRECTORY RECYCLE BIN 「削除済」からの完全復旧 消滅 削除 操作 Garbage Collection ・ ・ ・ ・ ・ ・
  • 23. 23 なぜ AD Recycle Bin が 開発者に向けたトップストーリーなのか?
  • 24. 24 ユーザーIDのプロビジョニング - BEFORE 従来のプロビジョニング(WS2003~WS2008) 各種属性 所属グループ メンバーシップ
  • 25. 25 ユーザーIDのプロビジョニング - AFTER Windows Server 2008 R2では 各種属性 所属グループ メンバーシップ
  • 26. 26 ユーザーIDのプロビジョニング - AFTER+ さらなる内製化 監査ログ 各種属性 所属グループ メンバーシップ
  • 27. 27 参考 EVENTLOGを検索する PS > get-Eventlog security | where-object {$_.EventID –eq 5136}
  • 28. WINDOWS POWERSHELL で RECYCLE BIN を操作してみる
  • 29. 29 [フゔ゗ル名を指定して実行]-「powersell」 WINDOWS POWERSHELL ADモジュールを使用するための準備 PS > import-module ActiveDirectory PS > Get-Command -module ActiveDirectory [スタート]-[すべてのプログラム]-[管理ツール]-[Windows PowerShell用のActive Directoryモジュール] OR
  • 30. 30 WINDOWS POWERSHELL ADモジュール一覧 Add-ADComputerServiceAccount Add-ADDomainControllerPasswordReplicationPolicy Add-ADFineGrainedPasswordPolicySubject Add-ADGroupMember Add-ADPrincipalGroupMembership Clear-ADAccountExpiration Disable-ADAccount Disable-ADOptionalFeature Enable-ADAccount Enable-ADOptionalFeature Get-ADAccountAuthorizationGroup Get-ADAccountResultantPasswordReplicationPolicy Get-ADComputer Get-ADComputerServiceAccount Get-ADDefaultDomainPasswordPolicy Get-ADDomain Get-ADDomainController Get-ADDomainControllerPasswordReplicationPolicy Get-ADDomainControllerPasswordReplicationPolicyUsage Get-ADFineGrainedPasswordPolicy Get-ADFineGrainedPasswordPolicySubject Get-ADForest Get-ADGroup Get-ADGroupMember Get-ADObject Get-ADOptionalFeature Get-ADOrganizationalUnit Get-ADPrincipalGroupMembership Get-ADRootDSE Get-ADServiceAccount Get-ADUser Get-ADUserResultantPasswordPolicy
  • 31. 31 Install-ADServiceAccount Move-ADDirectoryServer Move-ADDirectoryServerOperationMasterRole Move-ADObject New-ADComputer New-ADFineGrainedPasswordPolicy New-ADGroup New-ADObject New-ADOrganizationalUnit New-ADServiceAccount New-ADUser Remove-ADComputer Remove-ADComputerServiceAccount Remove-ADDomainControllerPasswordReplicationPolicy Remove-ADFineGrainedPasswordPolicy Remove-ADFineGrainedPasswordPolicySubject Remove-ADGroup Remove-ADGroupMember Remove-ADObject Remove-ADOrganizationalUnit Remove-ADPrincipalGroupMembership Remove-ADServiceAccount Remove-ADUser Rename-ADObject Reset-ADServiceAccountPassword Restore-ADObject Search-ADAccount Set-ADAccountControl Set-ADAccountExpiration Set-ADAccountPassword Set-ADComputer Set-ADDefaultDomainPasswordPolicy Set-ADDomain Set-ADDomainMode Set-ADFineGrainedPasswordPolicy Set-ADForest Set-ADForestMode Set-ADGroup Set-ADObject Set-ADOrganizationalUnit Set-ADServiceAccount Set-ADUser Uninstall-ADServiceAccount Unlock-ADAccount
  • 32. 32 RECYCLE BINを使用するための準備 フォレストの機能レベルを「2008 R2」にする 「ゴミ箱」を有効にする PS> Set-ADForestMode –Identity contoso.com –ForestMode Windows2008R2Forest PS> Enable-ADOptionalFeature –Identity ‘Recycle Bin Feature’ –Scope ForestOrConfigurationSet –Target ‘contoso.com’
  • 33. 33 削除されたオブジェクトを復旧する 削除されたオブジェクトを参照する オブジェクトを復旧する PS> Get-ADObject -filter {sAMAccountName -eq “user01”} -IncludeDeletedObject PS> Get-ADObject -filter {sAMAccountName -eq “user01”} -IncludeDeletedObject | Restore-ADObject
  • 34. 34 オブジェクトを削除するとDELETED OBJECTSに移動 Deleted Objects コンテナに移動 IsDeleted属性が Trueに 全てのオブジェクトがフラットに並ぶ RDN(識別名)が書き換えられる <現在のRDN>¥0ADEL:<GUID> ¥0ADEL:… ¥0ADEL:… ¥0ADEL:… ¥0ADEL:… ¥0ADEL:... ¥0ADEL:…
  • 35. 35 ツリー構造の復旧はルートから行う 復旧は親から順に行う 親オブジェクトが存在しない場合にはエラー lastKnownParent 属性で検索 削除する前の上位DN ¥0ADEL:… ¥0ADEL:… ¥0ADEL:… ¥0ADEL:… ¥0ADEL:... ¥0ADEL:… まずは ここから
  • 36. 36 ツリーの復旧 1. 親を復旧 2. 親が「Finance_Department」であるものを復旧 3. 親が「Admins」であるものを復旧 Get-ADObject -ldapFilter:"(msDS-LastKnownRDN=Finance)" –IncludeDeletedObjects | Restore-ADObject Get-ADObject -SearchBase "CN=Deleted Objects,DC=contoso,DC=com" -Filter {lastKnownParent -eq "OU=Finance,DC=contoso,DC=com"} -IncludeDeletedObjects | Restore-ADObject Get-ADObject -SearchBase "CN=Deleted Objects,DC=contoso,DC=com" -Filter {lastKnownParent -eq "OU=Admins,OU=Finance,DC=contoso,com"} -IncludeDeletedObjects | Restore-ADObject
  • 37. 37 削除済オブジェクト の ライフタイム を変更する リサイクル済オブジェクトのライフタイムを変更する (参考)ラ゗フタ゗ムを変更するには Set-ADObject -Identity “CN=Directory Service, CN=Windows NT, CN=Services, CN=Configuration, DC=mydomain, DC=com” –Partition “CN=Configuration,DC=mydomain,DC=com” –Replace:@{“msDS-DeletedObjectLifetime” = 60} Set-ADObject -Identity “CN=Directory Service, CN=Windows NT, CN=Services, CN=Configuration,DC=mydomain, DC=com” –Partition “CN=Configuration,DC=mydomain,DC=com” –Replace:@{“tombstoneLifetime” = 365}
  • 38. 38 業務に与える゗ンパクト データ復旧時のシステム停止時間を大幅に削減 従来 Authoritative Restore によるバックゕップからの復元 Snapshot から取り出し(Windows Server 2008) 今後 Windows PowerShell によって簡単に復元 簡易的なユーザーIDプロビジョニングシステムの実現 導入コストの大幅な軽減 中小規模システムへのプロビジョニングの適用が可能に
  • 39. 39 VISUAL STUDIO から POWERSHELL を呼び出す .Net Framework ゗ンフラSEは ここも欲しい! 仮想マシン Visual Studio ここがないと 自動化できない
  • 40. 40 まとめ • PowerShell により Active Directory が近くなりました • Active Directory べったりのゕプリは引きが強い! • ゗ンフラSEはみなさんを待っています! Silverlight を駆使し、無駄にグリグリまわる管理ツールの開発を!
  • 41. APENDIX
  • 42. 1. POWERSHELL の基本的な使い方
  • 43. 43 POWERSHELLをつかってみよう ~POWERSHELL に関する書式情報の取得方法 使い方に関する情報を得るには 使えるコマンドレット一覧取得 Get-Command ゗ンストールされているゕプリによってコマンドレットは増減する コマンドレットの詳細な書式と例を表示 Get-Help <コマンドレット> -detailed コマンドレットのメソッドとプロパテゖ等を表示 <コマンドレット> | get-member <コマンドレット> | get-member | sort-object Name | format-list ※ COMのメンバーも取得できる New-Object -com scripting.filesystemobject | Get-Member
  • 44. 44 POWERSHELLを使ってみよう Sample : 指定したフォルダのフゔ゗ル一覧 Get-ChildItem c:¥tmp | Where-Object {!( $_.Attributes –band 16 )} | Select-Object Name,Attributes sample03.ps1 PowerShell コンソールから コマンドプロンプトから (参考)継続行 について あきらかに継続することがわかる場合には、行の継続は自動的に判断してくれる PowerShell コンソールから入力した場合も同様 $_.Attributes and 010000 = True ※-band はビット演算子 and
  • 45. 45 コメントのつけ方 バッチ VBScript PowerShell スクリプトを引き継ぎやすくするため、処理の内容等についてコメントをつけま しょう。書式についても書いておくとよいです。
  • 46. 46 引数を受け取る方法 バッチ VBScript PowerShell C:¥> <スクリプト名> My name is “Junichi Anno” . Echo %1 / %2 / %3 / %4 Shift Echo %1 / %2 / %3 / %4 Set FullName=%3 Echo %FullName:"=% Set Args = Wscript.Arguments If Args.Count <> 0 Then For Each n in Args Wscript.Echo n Next End If foreach ( $a in $args ) { Write-Output $a } Write-Output $args[3] %1 ~ %9 までの変数で受け取る My / name / is / "Junichi Anno“ name / is / "Junichi Anno" / . Junichi Anno My name is Junichi Anno . My name is Junichi Anno . Junichi Anno
  • 47. 47 名前付き引数 引数を所定の名前の変数に格納することで、文法チェック等が行いやすくなる WSHとPowerShell でス゗ッチの識別文字が異なることに注意 VBScript PowerShell If WScript.Arguments.Named.Exists("userid") then strUserID = WScript.Arguments.Named.Item("userid") End If If WScript.Arguments.Named.Exists("password") then strPassword = WScript.Arguments.Named.Item("password") End If param([string] $UserID = “nouserid", [string] $Password = "nopassword") Write-Output $userid Write-Output $Password C:¥> script.vbs /userid:anno /password:hogehoge C:¥> script.ps1 -userid anno -password hogehoge
  • 48. 48 変数の扱いと値の代入 バッチ WSH PowerShell Set LastName=Anno Set FirstName=Junichi Set FullName=“%FirstName% %LastName%” Set FullName=%FullName:"=% Echo %FullName% Echo %FullName:n=x% Echo %FullName:~8% Echo %FullName:~8,1% Echo %FullName:~-4,3% If /I %FullName:~-1,1%==o Echo OK Junichi Anno Juxichi Axxo Anno A Ann OK FirstName = "Junichi" LastName = "Anno" FullName = FirstName & " " & LastName Wscript.Echo Split(FullName," ")(0) Junichi $FirstName = "Junichi" $LastName = "Anno" $FullName = $FirstName + " " + $LastName Write-Output $FullName $arrFullName = $FullName.Split(" ") Write-Output $arrFullname[0] Junichi Anno Junichi
  • 49. 49 入出力方法 これを抑えておけば、ひとまずたいていのことはできます バッチ 画面への出力 :Echo “Hello World” 画面からの入力 :「choice」 コマンド または 「set /p」コマンド フゔ゗ルへの出力 :dir > list.txt または dir >> list.txt フゔ゗ルから入力 : for /f "delims=" %i in ('type c:¥tmp¥list.txt') do @echo %i WSH(VBScript) 画面への出力 :Wscript.Echo “Hello World” 画面からの入力 :Stdin.ReadLine フゔ゗ルへの出力 :fso.OpenTextFile(“c:¥list.txt”, 2 or 8) フゔ゗ルから入力 :fso.OpenTextFile(“c:¥list.txt”, 1) PowerShell 画面への出力 :Write-Output “Hello” 画面からの入力 :$InputData = Read-Host フゔ゗ルへの出力 :Out-File -filepath C:¥tmp¥list.txt -inputobject $Record フゔ゗ルから入力 : $file = Get-Content -Path c:¥tmp¥list.txt
  • 50. 2. AD DS その他の 新機能
  • 51. 51 その他の新機能一覧 管理されたサービスゕカウント(MSA) オフラ゗ンドメ゗ン参加(ODJ) 認証メカニズム保障(AMA) ベスト プラクテゖス ゕナラ゗ザー(BPA) Active Directory 管理センター(ADAC) Active Directory Web Services(ADWS) デゖレクトリサービス回復モードのパスワード同期
  • 52. 52 機能 メンテナンスフリーな独立したサービス専用ゕカウントを作成 パスワードとSPNはNetlogonサービスによって自動リセット MaximumPasswordAge ごと reset-ADServiceAccountPassword <MSA> で手動リセット PowerShell を使用して設定 パスワードの複雑性ポリシーの影響は受けない 留意点 Windows 7 および Windows Server 2008 R2 のみ 1コンピューター/1サービス/1ゕカウント 管理されたサービスゕカウント ~MANAGED SERVICE ACCOUNT(MSA)
  • 53. 53 (参考)管理されたサービスゕカウントの利用手順 PS> New-ADServiceAccount –Name SA01 ゕカウントを作成する 作成したゕカウントとコンピュータを関連付け PS> Add-ADComputerServiceAccount –Identity <ComputerName> -ServiceAccount SA01 ※再度 Get-ADServiceAccount で、HostComputersに、指定したComputerNameのDNが 登録されていることを確認 作成したゕカウントをコンピュータに登録(ローカルで実施) PS> Install-ADServiceAccount -Identity SA01 作成したゕカウントをサービスに登録 サービススナップ゗ンでゕカウントを指定 PS>Get-ADServiceAccount SA01 ※HostComputersとUserPrincipalNameが空であることを確認 ゕカウントを確認する
  • 54. 54 機能 ドメ゗ンコントローラと通信せずにドメ゗ンに参加 BLOBフゔ゗ル(テキスト)を経由 プロビジョニングサーバーから排出し、参加予定コンピューターに取 り込む Base64でエンコードされているが暗号化されていない 再利用は不可能 対象 物理マシン 仮想マシン(他のマシンにマウント要) 留意点 Windows 7 と Windows Server 2008 R2 で使用可能 Domain Admins以外のユーザーは権限が必要 「ドメ゗ンにワークステーションを追加」または Computersコンテナ に対する「子オブジェクトの作成」権限 オフラ゗ンドメ゗ン参加 ~ OFFLINE DOMAIN JOIN (ODJ)
  • 55. 55 オフラ゗ンドメ゗ン参加の動作゗メージ クラ゗ゕントDC C:¥> djoin /provision /domain <target domain> /machine <new machine name> /savefile <filename> C:¥> djoin /requestODJ /loadfile <filename> /windowspath <path to new machine’s %windir%>
  • 56. 56 機能 証明書ベースのログオン時にユニバーサルグループへのメンバー シップを追加 証明書発行ポリシーのOID:ユニバーサルグループSID 留意点 Windows Server 2008 R2 ドメ゗ンフゔンクションレベルが必要 クラ゗ゕントは Vista / 7 / 2008 / 2008R2 Kerberos認証(NTLMではサポートされない) LDPまたはPowerShell スクリプトを使用して設定可能 スクリプトは以下で提供 認証メカニズム保障 ~(AMA : AUTHENTICATION MECHANISM ASSURANCE) ユーザーID/パスワード 証明書 http://technet.microsoft.com/en-us/library/dd378897(WS.10).aspx
  • 57. 57 機能 設定が「ちゃんと」しているかどうかを調査するためのツール ちゃんとした設定=ベストプラクティス ベストプラクテゖスの提示 ※設定は手動で行う サーバーマネージャー か PowerShell を使用 ベストプラクテゖスシナリオは Windows Update 経由で定期的に 更新される予定 フゖードバックも受付中 http://connect.microsoft.com/ADBPA 留意事項 独自のベストプラクテゖスの追加ができない Windows Server 2008 R2 ドメ゗ンコントローラをサポート ベストプラクテゖスゕナラ゗ザ (BPA) PS> Import-Module BestPractices PS> Invoke-BPAmodel Microsoft¥Windows¥DirectoryServices PS> Get-BPAresult Microsoft¥Windows¥DirectoryServices
  • 58. 58 機能 新しいドメ゗ン管理用GUI(MUX:Management UX) ※従来のGUIも継続提供 複数のドメ゗ン、複数のフォレストを管理 PowerShell AD コマンドレットをコール UIクエリーをLDAPクエリーに変換して保存 独自のクエリーを追加 カラム等のカスタマ゗ズ 留意点 現時点では「従来ツールの置き換え」にはならない PowerShell スクリプトの吐き出しができない トポロジーの管理が行えない ドラッグ & ドロップができない ゗ンラ゗ンでの名前変更ができない ACTIVE DIRECTORY 管理センター(ADAC)
  • 59. 59 機能 Active DirectoryにゕクセスするためのWEBサービスを提供 TCP/9389 AD DS、AD LDS両方にゕクセス可能 WS* および WCF プロトコルを使用 留意点 Windows Server 2008 R2 DC または AD LDS ゗ンスタンス Windows Server 2003 & 2008 DCの 場合は Active Directory Management Gateway (ADMG) の゗ンストールが必要 http://support.microsoft.com/kb/969041/ja IIS は必要ない ACTIVE DIRECTORY WEB SERVICES (ADWS) LDAP S.DS.P / S.DS.AM / S.DS.AD Active Directory Core Web Services AD PowerShell MUX WCF WPF Administrative Center BPA WCF
  • 60. 60 機能 ドメ゗ンコントローラー回復コンソールのパスワードを、 既存ユーザーのパスワードと同期 留意点 QFE適用によりWindows Server 2008 でも使用可能 http://support.microsoft.com/kb/961320/ja ドメ゗ンコントローラ単位に実施 デゖレクトリサービス回復モードの パスワード同期 (DSRM PASSWORD SYNC) C:¥> Ntdsutil.exe “Set DSRM Password” “Sync from domain account <ユーザーID> ” q q
  • 61. 61 (参考)各新機能に必要な実装 ファンクションレベル 使用できる新機能 Windows7 または WS2008R2 クライアント オフラインドメインジョイン マネージドサービスアカウント + ADWS または ADMG(2008/2003) Active Directory 管理センター PowerShell for Active Directory + Windows Server 2008 R2 DC ベストプラクティスアナライザ 回復コンソール パスワード同期 (QFEにより Windows Server 2008でも使用可 能) + Windows Server 2008 R2 ドメイン ファンクションレベル 認証メカニズム保障 + Windows Server 2008 R2 フォレスト ファンクションレベル ゴミ箱