仕組みがわかるActive Directory

8,619 views

Published on

2013年8月31日開催「Windows インフラエンジニア ビギナーズDay」のセッションスライドです。

Published in: Technology
  • Be the first to comment

仕組みがわかるActive Directory

  1. 1. 仕組みがわかるActive Directory 株式会社ソフィアネットワーク 国井 傑 (くにい すぐる) スライドは↓こちら↓からダウンロード http://www.slideshare.net/sugurukunii/
  2. 2. 自己紹介 Copyright 2013 Sophia Network Ltd.2 Microsoft MVP for Directory Services (2006~2014) マイクロソフト認定トレーナー (1997~) ブログ Always on the clock @sophiakunii 株式会社ソフィアネットワーク 所属 ブログ + 連載 スライドは↓こちら↓からダウンロード http://www.slideshare.net/sugurukunii/
  3. 3. こんな人に聞いてもらいたい Active Directoryという言葉はよく聞くけど、それ以上は... な人 会社の偉い人に頼まれて、ユーザーを作ったことはあるけど、 それが何を意味するのか、よくわからない人 会社のIT担当になったけど、どうすればよいか、わからない人 Copyright 2013 Sophia Network Ltd.3 スライドは↓こちら↓からダウンロード http://www.slideshare.net/sugurukunii/
  4. 4. これからお話しすること 1. ドメインの仕組み 2. 認証/承認のシステムとしてのActive Directory 3. ディレクトリサービスとしてのActive Directory 4. 一元管理を実現する仕組みとしてのActive Directory Copyright 2013 Sophia Network Ltd.4 スライドは↓こちら↓からダウンロード http://www.slideshare.net/sugurukunii/
  5. 5. Active Directoryに 対するイメージ Copyright 2013 Sophia Network Ltd.5 2013年国井調べによる スライドは↓こちら↓からダウンロード http://www.slideshare.net/sugurukunii/
  6. 6. ドメインの仕組み Copyright 2013 Sophia Network Ltd.6
  7. 7. ドメインとは?Active Directoryとは? ドメインとは何か?と聞かれたら、私は大まかにこのように答えています。 相手が「管理者」だったら 相手が「利用者」だったら Copyright 2013 Sophia Network Ltd.7
  8. 8. ドメインとは?Active Directoryとは? ドメイン=機能の名称 Active Directory=マイクロソフトの登録商標 つまり、、 Copyright 2013 Sophia Network Ltd.8
  9. 9. Active Directoryの仕組み ~ 概要編 Active Directoryは「ドメイン」という単位で管理する ドメインには、1台以上の「ドメインコントローラー」というサーバーが必要 ドメインに管理されるコンピューターは「ドメインに参加する」という設定が必要 Copyright 2013 Sophia Network Ltd.9
  10. 10. Active Directoryの仕組み ~ 概要編 ドメインに参加するコンピューターはドメインコントローラーに格納された ユーザー情報を利用してサインインすることができる ドメインにサインインしたユーザーはドメインに参加する、ほかのコンピューターに アクセスできる (ただし、アクセス許可がないユーザーはアクセスできない) Copyright 2013 Sophia Network Ltd.10
  11. 11. Active DirectoryではKerberos(ケルベロス)と呼ばれるテクノロジーを 使って、認証と承認を行う Active Directoryの仕組み ~ ちょっと細かい話 Copyright 2013 Sophia Network Ltd.11
  12. 12. ドメインコントローラーは重要なサーバーなので複数台で運用することが多い 事業所ごとにドメインコントローラーを設置して運用することも可能 Active Directoryの仕組み ~ ドメインコントローラー編 Copyright 2013 Sophia Network Ltd.12
  13. 13. 事業所ごとにドメインコントローラーを設置して運用する場合、「サイト」を 設定することで、PCは近くのドメインコントローラーにアクセスできる Active Directoryの仕組み ~ サイト編 Copyright 2013 Sophia Network Ltd.13
  14. 14. 認証/承認のシステムとしてのActive Directory Copyright 2013 Sophia Network Ltd.14
  15. 15. ワークグループではそれぞれのサーバーにアクセスするごとに認証が必要。 だから、ドメインを利用して1回の認証(サインイン)で、すべてのサーバーに アクセスできるような仕組みが重宝される ドメインとは1回のサインインでアクセスできる範囲 Copyright 2013 Sophia Network Ltd.15
  16. 16. 1回のサインインでアクセスできる範囲を「ドメイン」と呼ぶが、2つ以上の ドメインを「信頼関係」という設定で連携させることで、アクセスできる範囲を 拡張可能 信頼関係=1回のサインインでアクセスできる範囲を拡張 Copyright 2013 Sophia Network Ltd.16
  17. 17. 信頼関係が使われるケース 会社の構造に合わせてドメインを分割して運用するケースがよく見られる Copyright 2013 Sophia Network Ltd.17
  18. 18. クラウドとの信頼関係 クラウドはドメインに参加していないので、別途サインインが必要 Active Directoryフェデレーションサービス(ADFS)を活用すれば、 クラウドを「1回のサインインでアクセスできる範囲」にできる Copyright 2013 Sophia Network Ltd.
  19. 19. Active Directoryでは認証時に、ユーザーの認証だけでなく、 コンピューターの認証も行っている コンピューター認証用パスワードは30日に一度変更し、クライアントとの間で同期 ところで…ドメインに参加する設定はなぜ必要? Copyright 2013 Sophia Network Ltd.19
  20. 20. コンピューターパスワードは片方だけで変更されると認証できなくなる 長期間ドメインにサインインしていないコンピューター 仮想マシンをスナップショットで以前の状態に戻したとき ところで…ドメインに参加する設定はなぜ必要? Copyright 2013 Sophia Network Ltd.20
  21. 21. コンピューターパスワードは片方だけで変更されると認証できなくなる 長期間ドメインにサインインしていないコンピューター 仮想マシンをスナップショットで以前の状態に戻したとき ところで…ドメインに参加する設定はなぜ必要? Copyright 2013 Sophia Network Ltd.21
  22. 22. 必要に応じてコンピューターパスワードは変更しないように設定すること グループポリシーから設定可能 (グループポリシーについては後述) ところで…ドメインに参加する設定はなぜ必要? Copyright 2013 Sophia Network Ltd.22
  23. 23. ディレクトリサービスとしてのActive Directory Copyright 2013 Sophia Network Ltd.23
  24. 24. ディレクトリサービスとは? 会社の様々な情報をまとめて記憶し、 いつでも参照できるようにするための仕組み オブジェクトとプロパティという関係で情報が保存される Copyright 2013 Sophia Network Ltd.24
  25. 25. Active Directoryに登録できるオブジェクトとプロパティ Copyright 2013 Sophia Network Ltd.25
  26. 26. 【参考】プロパティに表示される名前は属性名と一致しない Copyright 2013 Sophia Network Ltd.26
  27. 27. 一般のプロパティには表示されない属性もある Copyright 2013 Sophia Network Ltd.27 Get-ADUser -Filter * -Properties logonCount | ft name,logoncount
  28. 28. ディレクトリサービスとしてActive Directoryを有効活用 Active Directoryは単純にユーザー名・パスワードを登録するだけでは もったいない! 情報を登録しておけば、登録された情報をもとにアクセス制御ができる Copyright 2013 Sophia Network Ltd.28
  29. 29. 【参考】ダイナミックアクセス制御 Windows Server 2012から 利用可能なアクセス制御方法 ユーザーの属性とフォルダーの 属性をそれぞれ設定し、 条件に一致する場合だけ、 アクセス許可を与える コンピューターの属性を条件に アクセス許可を設定することも 可能 (Win8のみ) Copyright 2013 Sophia Network Ltd.29
  30. 30. トークンベースのアクセス制御 Active Directoryフェデレーションサービス(ADFS)の活用 Copyright 2013 Sophia Network Ltd.30
  31. 31. Active Directoryではユーザー情報をもとに承認を行うのに対して、 ADFSではサーバーが必要とする情報をもとに承認(認可)を行う → 必ずしもユーザー情報は必要でないので、 個人情報を晒すことなくサーバーにアクセスできる トークンベースのアクセス制御 Copyright 2013 Sophia Network Ltd.31
  32. 32. 一元管理を実現する仕組みとしての Active Directory Copyright 2013 Sophia Network Ltd.32
  33. 33. 会社で管理すること、それは「制限」することである Active Directoryに登録された情報(ユーザー/コンピューター)が 会社にとって良くないことをしないように制限したい Copyright 2013 Sophia Network Ltd.33
  34. 34. グループポリシーを利用して制限 グループポリシーとはActive Directoryに付属する機能で、ドメインに 参加するコンピューターやユーザーに対して、様々な制限を行う機能 Copyright 2013 Sophia Network Ltd.34
  35. 35. グループポリシーを使う [サーバーマネージャー]から[表示]-[グループポリシーの管理]で管理ツールに アクセス Copyright 2013 Sophia Network Ltd.35
  36. 36. 複数のGPOを割り当てられる。だけどシンプルが基本。 Copyright 2013 Sophia Network Ltd.36
  37. 37. グループポリシーの特徴を踏まえてOUを設計 GPOはドメインまたはOUに割り当てられる OUはドメインのユーザーやコンピューターなどを「まとめる」役割がある Copyright 2013 Sophia Network Ltd.37
  38. 38. GPOの設定 Copyright 2013 Sophia Network Ltd.38
  39. 39. グループポリシーで、よく「使われる」設定/よく「使いたい」設定 アプリケーション実行の制限 [コンピューターの構成]-[ポリシー]-[Windowsの設定]-[セキュリティの設定]-[アプリ ケーション制限ポリシー]-[AppLocker] コントロールパネル利用の制限 [ユーザーの構成]-[ポリシー]-[管理用テンプレート]-[コントロールパネル]-[コントロー ルパネルとPC設定へのアクセスを禁止する] ゲーム利用の制限 [ユーザーの構成]-[ポリシー]-[管理用テンプレート]-[タスクバーと[スタート]メニュー]- [[スタート]メニューから[ゲーム]アイコンを削除する] 指定したWi-Fi接続のみ許可 [コンピューターの構成]-[ポリシー]-[Windowsの設定]-[セキュリティの設定]-[ワイ ヤレスネットワークポリシー] Copyright 2013 Sophia Network Ltd.39
  40. 40. グループポリシーで、よく「使われる」設定/よく「使いたい」設定 ドライブ文字の割り当て [ユーザーの構成]-[基本設定]-[Windowsの設定]-[ドライブマップ] Copyright 2013 Sophia Network Ltd.40
  41. 41. グループポリシーで、よく「使われる」設定/よく「使いたい」設定 アクセス監査の設定 [コンピューターの構成]-[ポリシー] -[Windowsの設定] -[セキュリティの設定] -[監査ポリシーの詳細な構成] -[監査ポリシー] 監査結果はイベントビューアの セキュリティログより確認可能 Copyright 2013 Sophia Network Ltd.41
  42. 42. グループポリシーの項目数は3438!でもどうやって調べる? グループポリシーの設定項目がたくさんあっても、存在を知らなければ 宝の持ち腐れ。そこで、調べ方を覚えておきましょう。 方法1:GPOの検索 Copyright 2013 Sophia Network Ltd.42
  43. 43. グループポリシーの項目数は3438!でもどうやって調べる? 方法2:Excelシートで一覧の確認 Group Policy Settings Reference for Windows and Windows Server http://www.microsoft.com/ en-us/download/details.aspx?displaylang=en&id=25250 Copyright 2013 Sophia Network Ltd.43
  44. 44. まとめ Active Directoryは単純にユーザーを登録するデータベースではない! 認証/承認システムとして、 認証・承認を集中管理できるだけでなく、拡張が可能 ディレクトリサービスとして、 様々な属性を登録することで、後から参照したり、アクセス制御の仕組み として流用できる 一元管理を実現する仕組みとして、 グループポリシーによるドメイン参加のPCに対する制限・制御ができる Copyright 2013 Sophia Network Ltd.44
  45. 45. Microsoft Confidential45 We don’t even have to try, It’s always a good time. from “good time” by owl city & carly rae jepsen

×