開発者のためのActive Directory講座

12,262 views

Published on

Windows PowerShellを使用するとActive Directoryと付き合いやすくなります というお話

Published in: Technology, Business
0 Comments
19 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
12,262
On SlideShare
0
From Embeds
0
Number of Embeds
653
Actions
Shares
0
Downloads
158
Comments
0
Likes
19
Embeds 0
No embeds

No notes for slide

開発者のためのActive Directory講座

  1. 1. 救世主降臨! ACTIVE DIRECTORY + POWERSHELL が開発者を救う!? 開発者のための最新ACTIVE DIRECTORY講座 マイクロソフト株式会社 エバンジェリスト 安納 順一 Anno Junichi http://blogs.technet.com/junichia/
  2. 2. これまで いろいろありました.... これまで いろいろありました....
  3. 3. 3 10年もたつけど・・・
  4. 4. 4 ある日の会話(ほぼ実話) 登場人物 PM :プロジェクトマネージャー(゗ンフラ担当SEが兼任) DEV :業務ゕプリ設計/開発担当 PM 「例の業務ゕプリだけど、認証はどうするの?」 DEV 「もちろん実装しますよ。ローカルにDBもてばいいんですよね?」 PM 「だめだよ。Active Directory で認証するようにしよ」 DEV 「えぇ、使ったことないですよ。Active Directory なんて」 PM 「別に難しくないよ」 DEV 「実績が無いので開発コストが増えますよ?」 PM 「どれくらい?」 DEV 「5人月とか?」 PM 「そんな馬鹿なぁ!それに予算FIXしてるのに、いまさら無理だって~」 DEV 「Active Directoryから同期してくればいいじゃないですか」 PM 「じゃ、同期する部分作ってくれる?」 DEV 「そんなのバッチ作れば済むじゃないですか」 PM 「…」
  5. 5. 5 認証を独立させるとこんな影響が… 業務ゕプリA 業務ゕプリB フゔ゗ルサーバー(Windows) メールサーバー(LDAP) ユーザーDB ユーザーDB Active Directory OpenLDAP メタデータベース
  6. 6. 6 AGENDA  はじめに  マ゗クロソフト製品群におけるAD DSの位置づけ  ITシステムにおけるAD DSの位置づけ  AD DSは開発者の救世主となるか?  開発者にとっての AD DS  AD DS「さわりかた」超基礎  開発者のための AD DS 最新トピック 2010年度版  New! AD Recycle Bin で削除したオブジェクトを復活  Windows PowerShell と AD DS  まずは AD の構造から  AD DS用コマンドレットの使い方  Appendix
  7. 7. はじめに AD DSの位置づけ
  8. 8. 8 メッセージ保護 安全な コラボレーション 情報の保護 IDとアクセスの管理 統合セキュリティ クライアント保護 マ゗クロソフト製品群におけるAD DSの位置づけ
  9. 9. 9 Access IDとゕクセスを統制するということは ID 資源がIDを介して有機的に結びついた状態
  10. 10. 10 ITシステムにおける AD DS の位置づけ 業務ゕプリA(Linux) 業務ゕプリB(Windows) フゔ゗ルサーバー(Windows) メールサーバー(Linux) Active Directory Domain Service 認証/ユーザー情報問合せ (ADO/ADSI)
  11. 11. AD DSは開発者の救世主となるか
  12. 12. 12 開発者視点での AD DS のメリット Windowsクラ゗ゕントにログオンしているユーザーは、すでに「資格情 報」を保持しているため、ユーザーIDを改めて入力させる必要は無いし、 パスワードの保存も必要ない。 管理者のみが行える操作、ユーザーが行える操作、部門によって行える操 作等の判断は、Active Directory の組織情報やタ゗トル、所属グループ等 から判断すればよく、ローカルで管理する必要は無い。 ID統制には大切な視点! 矛盾のないID管理は、可能な限り重複管理を避 けることから始まります! 氏名や所属など、ユーザー情報はAD DSに格納されているので、ローカル DBに保存する必要が無い。ただし、情報漏えいに関して注意も必要(後 述)。
  13. 13. 13 (参考)AD DSの注意すべき点 AD DSのリポジトリは LDAP であり、AD DSで認証を受けたユー ザー(Authenticated Users)は、ほぼ全てのユーザー情報を「参 照」することができる。 ※Anonymous はゕクセスできません 電話番号や住所、生年月日等、プラ゗バシーにかかわる情報に ついてはActive Directory 管理者側の意識的な対応が必須! ※特定のAttributeへのゕクセス権を本人のみにする等
  14. 14. 14 ちなみに…AD DSの構築って簡単なの? YES! 構築するだけならば超簡単 ※運用はそれなりの苦労を伴いますが… 別紙「Windows Server 2008 60分クッキング」をご覧ください
  15. 15. 15 AD DS のツリー構造(要はLDAPなのです) OU=営業部 OU=第一営業課 DC=Contoso,DC=com CN=Users OU=第二営業課 CN=Tanaka CN=Yamada CN=Suzuki sAMAccountName = Tanaka employeeID = 999999 Title = Manager Division = 営業部第一営業課 DisplayName = 田中 一郎 SurName = 田中 givenName = 一郎 homeDirectory = ¥¥Server¥Home¥Tanaka phoneNumber = +81-90-9999-9999 IsMember = 第一営業課,営業部 CN=Yasuda
  16. 16. 16 AD DS「さわりかた」の超基礎 ① ~WINDOWS POWERSHELL 編 PS C:>$env:UserName • 現在ログオンしているユーザーID PS C:>Import-Module ActiveDirectory • Active Directoryモジュールの読み込み PS C:>Get-Command –module ActiveDirectory | Out-GridView • Active Directory 関連コマンド一覧の参照 PS C:>$userid = $env:UserName PS C:>Get-ADUser $userid • 現在ログオンしているユーザーIDの情報 PS C:>$userid = $env:UserName PS C:>$objUser = Get-ADUser $userid –properties displayName PS C:>$displayName = $objUser.dislayName • ユーザーのプロパテゖを参照
  17. 17. 17 AD DS「さわりかた」の超基礎 ② ~WINDOWS POWERSHELL 編 PS C:>cd AD: PS AD:>dir Name ObjectClass DistinguishedName ------------------------------------------------------------------------- Contoso domainDNS dc=Contoso,dc=Com Configuration configuration cn=Configuration,dc=contoso,… Schema dMD cn=schema,cn=Configuration,… ・ ・ PS AD:¥>cd ‘.¥DC=Contoso,DC=Com’ PS AD:¥DC=Contoso,DC=Com>dir Name ObjectClass DistinguishedName ------------------------------------------------------------------------- Builtin BuiltinDomain cn=Builtin,dc=contoso,dc=com Computers container cn=Computers,dc=contoso,dc… ・ ・ • AD DSをブラウズ
  18. 18. 18 AD DS「さわりかた」の超基礎 ③ ~WINDOWS POWERSHELL 編 • ユーザーIDに test を含むユーザーを検索する PS C:¥>Get-ADUser –Filter {sAMAccountName –like “*test*”} | ft sAMAccountName • 無効化されたユーザーを検索する PS C:¥>Search-ADAccount –AccountDisabled -UserOnly • パスワードの有効期限が切れたユーザーを検索する PS C:¥>Search-ADAccount –PasswordExpired -UserOnly • ゕカウントの有効期限が切れたユーザーを検索する PS C:¥>Search-ADAccount –AccountExpired -UserOnly • ロックされたユーザーを検索する PS C:¥>Search-ADAccount –LockOut -UserOnly • パスワードが無期限のユーザーを検索する PS C:¥>Search-ADAccount –PasswordNeverExpired -UserOnly
  19. 19. 19 AD DS「さわりかた」の超基礎 ④ ~WINDOWS POWERSHELL 編 • 1年間ログオンしていないユーザーを検索する ※ただし最近作成したユーザーは除外する PS C:¥>Search-ADAccount –AccountInactive –TimeSpan 365 -usersonly | Foreach-Object {(Get-ADUser $_.Name –Properties WhenCreated)} | Where-Object {$_.WhenCreated –lt “2009/11/18 17:00:00”} 今 2009/11/18 17:00:00 除外 今から365日前 この間にログオンしていないユーザー
  20. 20. 開発者のための AD DS 最新トピック 2010年度版 伝えたいのはコレ! 「Active Directory Recycle Bin」
  21. 21. 21 NEW! ACTIVE DIRECTORY RECYCLE BIN 機能 削除したユーザーを完全復活! 既定で180日間保持(変更可能) 削除状態からの復旧であればAuthoritative Restoreは不要 属性情報の紛失時には使えない Linked-Value も完全復活 グループメンバーシップやグループメンバー など 留意事項(ご参考) Active Directory フォレスト機能レベル Windows Server 2008 R2 規定では無効(有効にしたら元には戻せない) DITの容量が10~15%程度増加(目安) 操作は Windows PowerShell を使用
  22. 22. 22 削除済 リサ゗クル済有効 NEW! ACTIVE DIRECTORY RECYCLE BIN 「削除済」からの完全復旧 消滅 削除 操作 Garbage Collection ・ ・ ・ ・ ・ ・
  23. 23. 23 なぜ AD Recycle Bin が 開発者に向けたトップストーリーなのか?
  24. 24. 24 ユーザーIDのプロビジョニング - BEFORE 従来のプロビジョニング(WS2003~WS2008) 各種属性 所属グループ メンバーシップ
  25. 25. 25 ユーザーIDのプロビジョニング - AFTER Windows Server 2008 R2では 各種属性 所属グループ メンバーシップ
  26. 26. 26 ユーザーIDのプロビジョニング - AFTER+ さらなる内製化 監査ログ 各種属性 所属グループ メンバーシップ
  27. 27. 27 参考 EVENTLOGを検索する PS > get-Eventlog security | where-object {$_.EventID –eq 5136}
  28. 28. WINDOWS POWERSHELL で RECYCLE BIN を操作してみる
  29. 29. 29 [フゔ゗ル名を指定して実行]-「powersell」 WINDOWS POWERSHELL ADモジュールを使用するための準備 PS > import-module ActiveDirectory PS > Get-Command -module ActiveDirectory [スタート]-[すべてのプログラム]-[管理ツール]-[Windows PowerShell用のActive Directoryモジュール] OR
  30. 30. 30 WINDOWS POWERSHELL ADモジュール一覧 Add-ADComputerServiceAccount Add-ADDomainControllerPasswordReplicationPolicy Add-ADFineGrainedPasswordPolicySubject Add-ADGroupMember Add-ADPrincipalGroupMembership Clear-ADAccountExpiration Disable-ADAccount Disable-ADOptionalFeature Enable-ADAccount Enable-ADOptionalFeature Get-ADAccountAuthorizationGroup Get-ADAccountResultantPasswordReplicationPolicy Get-ADComputer Get-ADComputerServiceAccount Get-ADDefaultDomainPasswordPolicy Get-ADDomain Get-ADDomainController Get-ADDomainControllerPasswordReplicationPolicy Get-ADDomainControllerPasswordReplicationPolicyUsage Get-ADFineGrainedPasswordPolicy Get-ADFineGrainedPasswordPolicySubject Get-ADForest Get-ADGroup Get-ADGroupMember Get-ADObject Get-ADOptionalFeature Get-ADOrganizationalUnit Get-ADPrincipalGroupMembership Get-ADRootDSE Get-ADServiceAccount Get-ADUser Get-ADUserResultantPasswordPolicy
  31. 31. 31 Install-ADServiceAccount Move-ADDirectoryServer Move-ADDirectoryServerOperationMasterRole Move-ADObject New-ADComputer New-ADFineGrainedPasswordPolicy New-ADGroup New-ADObject New-ADOrganizationalUnit New-ADServiceAccount New-ADUser Remove-ADComputer Remove-ADComputerServiceAccount Remove-ADDomainControllerPasswordReplicationPolicy Remove-ADFineGrainedPasswordPolicy Remove-ADFineGrainedPasswordPolicySubject Remove-ADGroup Remove-ADGroupMember Remove-ADObject Remove-ADOrganizationalUnit Remove-ADPrincipalGroupMembership Remove-ADServiceAccount Remove-ADUser Rename-ADObject Reset-ADServiceAccountPassword Restore-ADObject Search-ADAccount Set-ADAccountControl Set-ADAccountExpiration Set-ADAccountPassword Set-ADComputer Set-ADDefaultDomainPasswordPolicy Set-ADDomain Set-ADDomainMode Set-ADFineGrainedPasswordPolicy Set-ADForest Set-ADForestMode Set-ADGroup Set-ADObject Set-ADOrganizationalUnit Set-ADServiceAccount Set-ADUser Uninstall-ADServiceAccount Unlock-ADAccount
  32. 32. 32 RECYCLE BINを使用するための準備 フォレストの機能レベルを「2008 R2」にする 「ゴミ箱」を有効にする PS> Set-ADForestMode –Identity contoso.com –ForestMode Windows2008R2Forest PS> Enable-ADOptionalFeature –Identity ‘Recycle Bin Feature’ –Scope ForestOrConfigurationSet –Target ‘contoso.com’
  33. 33. 33 削除されたオブジェクトを復旧する 削除されたオブジェクトを参照する オブジェクトを復旧する PS> Get-ADObject -filter {sAMAccountName -eq “user01”} -IncludeDeletedObject PS> Get-ADObject -filter {sAMAccountName -eq “user01”} -IncludeDeletedObject | Restore-ADObject
  34. 34. 34 オブジェクトを削除するとDELETED OBJECTSに移動 Deleted Objects コンテナに移動 IsDeleted属性が Trueに 全てのオブジェクトがフラットに並ぶ RDN(識別名)が書き換えられる <現在のRDN>¥0ADEL:<GUID> ¥0ADEL:… ¥0ADEL:… ¥0ADEL:… ¥0ADEL:… ¥0ADEL:... ¥0ADEL:…
  35. 35. 35 ツリー構造の復旧はルートから行う 復旧は親から順に行う 親オブジェクトが存在しない場合にはエラー lastKnownParent 属性で検索 削除する前の上位DN ¥0ADEL:… ¥0ADEL:… ¥0ADEL:… ¥0ADEL:… ¥0ADEL:... ¥0ADEL:… まずは ここから
  36. 36. 36 ツリーの復旧 1. 親を復旧 2. 親が「Finance_Department」であるものを復旧 3. 親が「Admins」であるものを復旧 Get-ADObject -ldapFilter:"(msDS-LastKnownRDN=Finance)" –IncludeDeletedObjects | Restore-ADObject Get-ADObject -SearchBase "CN=Deleted Objects,DC=contoso,DC=com" -Filter {lastKnownParent -eq "OU=Finance,DC=contoso,DC=com"} -IncludeDeletedObjects | Restore-ADObject Get-ADObject -SearchBase "CN=Deleted Objects,DC=contoso,DC=com" -Filter {lastKnownParent -eq "OU=Admins,OU=Finance,DC=contoso,com"} -IncludeDeletedObjects | Restore-ADObject
  37. 37. 37 削除済オブジェクト の ライフタイム を変更する リサイクル済オブジェクトのライフタイムを変更する (参考)ラ゗フタ゗ムを変更するには Set-ADObject -Identity “CN=Directory Service, CN=Windows NT, CN=Services, CN=Configuration, DC=mydomain, DC=com” –Partition “CN=Configuration,DC=mydomain,DC=com” –Replace:@{“msDS-DeletedObjectLifetime” = 60} Set-ADObject -Identity “CN=Directory Service, CN=Windows NT, CN=Services, CN=Configuration,DC=mydomain, DC=com” –Partition “CN=Configuration,DC=mydomain,DC=com” –Replace:@{“tombstoneLifetime” = 365}
  38. 38. 38 業務に与える゗ンパクト データ復旧時のシステム停止時間を大幅に削減 従来 Authoritative Restore によるバックゕップからの復元 Snapshot から取り出し(Windows Server 2008) 今後 Windows PowerShell によって簡単に復元 簡易的なユーザーIDプロビジョニングシステムの実現 導入コストの大幅な軽減 中小規模システムへのプロビジョニングの適用が可能に
  39. 39. 39 VISUAL STUDIO から POWERSHELL を呼び出す .Net Framework ゗ンフラSEは ここも欲しい! 仮想マシン Visual Studio ここがないと 自動化できない
  40. 40. 40 まとめ • PowerShell により Active Directory が近くなりました • Active Directory べったりのゕプリは引きが強い! • ゗ンフラSEはみなさんを待っています! Silverlight を駆使し、無駄にグリグリまわる管理ツールの開発を!
  41. 41. APENDIX
  42. 42. 1. POWERSHELL の基本的な使い方
  43. 43. 43 POWERSHELLをつかってみよう ~POWERSHELL に関する書式情報の取得方法 使い方に関する情報を得るには 使えるコマンドレット一覧取得 Get-Command ゗ンストールされているゕプリによってコマンドレットは増減する コマンドレットの詳細な書式と例を表示 Get-Help <コマンドレット> -detailed コマンドレットのメソッドとプロパテゖ等を表示 <コマンドレット> | get-member <コマンドレット> | get-member | sort-object Name | format-list ※ COMのメンバーも取得できる New-Object -com scripting.filesystemobject | Get-Member
  44. 44. 44 POWERSHELLを使ってみよう Sample : 指定したフォルダのフゔ゗ル一覧 Get-ChildItem c:¥tmp | Where-Object {!( $_.Attributes –band 16 )} | Select-Object Name,Attributes sample03.ps1 PowerShell コンソールから コマンドプロンプトから (参考)継続行 について あきらかに継続することがわかる場合には、行の継続は自動的に判断してくれる PowerShell コンソールから入力した場合も同様 $_.Attributes and 010000 = True ※-band はビット演算子 and
  45. 45. 45 コメントのつけ方 バッチ VBScript PowerShell スクリプトを引き継ぎやすくするため、処理の内容等についてコメントをつけま しょう。書式についても書いておくとよいです。
  46. 46. 46 引数を受け取る方法 バッチ VBScript PowerShell C:¥> <スクリプト名> My name is “Junichi Anno” . Echo %1 / %2 / %3 / %4 Shift Echo %1 / %2 / %3 / %4 Set FullName=%3 Echo %FullName:"=% Set Args = Wscript.Arguments If Args.Count <> 0 Then For Each n in Args Wscript.Echo n Next End If foreach ( $a in $args ) { Write-Output $a } Write-Output $args[3] %1 ~ %9 までの変数で受け取る My / name / is / "Junichi Anno“ name / is / "Junichi Anno" / . Junichi Anno My name is Junichi Anno . My name is Junichi Anno . Junichi Anno
  47. 47. 47 名前付き引数 引数を所定の名前の変数に格納することで、文法チェック等が行いやすくなる WSHとPowerShell でス゗ッチの識別文字が異なることに注意 VBScript PowerShell If WScript.Arguments.Named.Exists("userid") then strUserID = WScript.Arguments.Named.Item("userid") End If If WScript.Arguments.Named.Exists("password") then strPassword = WScript.Arguments.Named.Item("password") End If param([string] $UserID = “nouserid", [string] $Password = "nopassword") Write-Output $userid Write-Output $Password C:¥> script.vbs /userid:anno /password:hogehoge C:¥> script.ps1 -userid anno -password hogehoge
  48. 48. 48 変数の扱いと値の代入 バッチ WSH PowerShell Set LastName=Anno Set FirstName=Junichi Set FullName=“%FirstName% %LastName%” Set FullName=%FullName:"=% Echo %FullName% Echo %FullName:n=x% Echo %FullName:~8% Echo %FullName:~8,1% Echo %FullName:~-4,3% If /I %FullName:~-1,1%==o Echo OK Junichi Anno Juxichi Axxo Anno A Ann OK FirstName = "Junichi" LastName = "Anno" FullName = FirstName & " " & LastName Wscript.Echo Split(FullName," ")(0) Junichi $FirstName = "Junichi" $LastName = "Anno" $FullName = $FirstName + " " + $LastName Write-Output $FullName $arrFullName = $FullName.Split(" ") Write-Output $arrFullname[0] Junichi Anno Junichi
  49. 49. 49 入出力方法 これを抑えておけば、ひとまずたいていのことはできます バッチ 画面への出力 :Echo “Hello World” 画面からの入力 :「choice」 コマンド または 「set /p」コマンド フゔ゗ルへの出力 :dir > list.txt または dir >> list.txt フゔ゗ルから入力 : for /f "delims=" %i in ('type c:¥tmp¥list.txt') do @echo %i WSH(VBScript) 画面への出力 :Wscript.Echo “Hello World” 画面からの入力 :Stdin.ReadLine フゔ゗ルへの出力 :fso.OpenTextFile(“c:¥list.txt”, 2 or 8) フゔ゗ルから入力 :fso.OpenTextFile(“c:¥list.txt”, 1) PowerShell 画面への出力 :Write-Output “Hello” 画面からの入力 :$InputData = Read-Host フゔ゗ルへの出力 :Out-File -filepath C:¥tmp¥list.txt -inputobject $Record フゔ゗ルから入力 : $file = Get-Content -Path c:¥tmp¥list.txt
  50. 50. 2. AD DS その他の 新機能
  51. 51. 51 その他の新機能一覧 管理されたサービスゕカウント(MSA) オフラ゗ンドメ゗ン参加(ODJ) 認証メカニズム保障(AMA) ベスト プラクテゖス ゕナラ゗ザー(BPA) Active Directory 管理センター(ADAC) Active Directory Web Services(ADWS) デゖレクトリサービス回復モードのパスワード同期
  52. 52. 52 機能 メンテナンスフリーな独立したサービス専用ゕカウントを作成 パスワードとSPNはNetlogonサービスによって自動リセット MaximumPasswordAge ごと reset-ADServiceAccountPassword <MSA> で手動リセット PowerShell を使用して設定 パスワードの複雑性ポリシーの影響は受けない 留意点 Windows 7 および Windows Server 2008 R2 のみ 1コンピューター/1サービス/1ゕカウント 管理されたサービスゕカウント ~MANAGED SERVICE ACCOUNT(MSA)
  53. 53. 53 (参考)管理されたサービスゕカウントの利用手順 PS> New-ADServiceAccount –Name SA01 ゕカウントを作成する 作成したゕカウントとコンピュータを関連付け PS> Add-ADComputerServiceAccount –Identity <ComputerName> -ServiceAccount SA01 ※再度 Get-ADServiceAccount で、HostComputersに、指定したComputerNameのDNが 登録されていることを確認 作成したゕカウントをコンピュータに登録(ローカルで実施) PS> Install-ADServiceAccount -Identity SA01 作成したゕカウントをサービスに登録 サービススナップ゗ンでゕカウントを指定 PS>Get-ADServiceAccount SA01 ※HostComputersとUserPrincipalNameが空であることを確認 ゕカウントを確認する
  54. 54. 54 機能 ドメ゗ンコントローラと通信せずにドメ゗ンに参加 BLOBフゔ゗ル(テキスト)を経由 プロビジョニングサーバーから排出し、参加予定コンピューターに取 り込む Base64でエンコードされているが暗号化されていない 再利用は不可能 対象 物理マシン 仮想マシン(他のマシンにマウント要) 留意点 Windows 7 と Windows Server 2008 R2 で使用可能 Domain Admins以外のユーザーは権限が必要 「ドメ゗ンにワークステーションを追加」または Computersコンテナ に対する「子オブジェクトの作成」権限 オフラ゗ンドメ゗ン参加 ~ OFFLINE DOMAIN JOIN (ODJ)
  55. 55. 55 オフラ゗ンドメ゗ン参加の動作゗メージ クラ゗ゕントDC C:¥> djoin /provision /domain <target domain> /machine <new machine name> /savefile <filename> C:¥> djoin /requestODJ /loadfile <filename> /windowspath <path to new machine’s %windir%>
  56. 56. 56 機能 証明書ベースのログオン時にユニバーサルグループへのメンバー シップを追加 証明書発行ポリシーのOID:ユニバーサルグループSID 留意点 Windows Server 2008 R2 ドメ゗ンフゔンクションレベルが必要 クラ゗ゕントは Vista / 7 / 2008 / 2008R2 Kerberos認証(NTLMではサポートされない) LDPまたはPowerShell スクリプトを使用して設定可能 スクリプトは以下で提供 認証メカニズム保障 ~(AMA : AUTHENTICATION MECHANISM ASSURANCE) ユーザーID/パスワード 証明書 http://technet.microsoft.com/en-us/library/dd378897(WS.10).aspx
  57. 57. 57 機能 設定が「ちゃんと」しているかどうかを調査するためのツール ちゃんとした設定=ベストプラクティス ベストプラクテゖスの提示 ※設定は手動で行う サーバーマネージャー か PowerShell を使用 ベストプラクテゖスシナリオは Windows Update 経由で定期的に 更新される予定 フゖードバックも受付中 http://connect.microsoft.com/ADBPA 留意事項 独自のベストプラクテゖスの追加ができない Windows Server 2008 R2 ドメ゗ンコントローラをサポート ベストプラクテゖスゕナラ゗ザ (BPA) PS> Import-Module BestPractices PS> Invoke-BPAmodel Microsoft¥Windows¥DirectoryServices PS> Get-BPAresult Microsoft¥Windows¥DirectoryServices
  58. 58. 58 機能 新しいドメ゗ン管理用GUI(MUX:Management UX) ※従来のGUIも継続提供 複数のドメ゗ン、複数のフォレストを管理 PowerShell AD コマンドレットをコール UIクエリーをLDAPクエリーに変換して保存 独自のクエリーを追加 カラム等のカスタマ゗ズ 留意点 現時点では「従来ツールの置き換え」にはならない PowerShell スクリプトの吐き出しができない トポロジーの管理が行えない ドラッグ & ドロップができない ゗ンラ゗ンでの名前変更ができない ACTIVE DIRECTORY 管理センター(ADAC)
  59. 59. 59 機能 Active DirectoryにゕクセスするためのWEBサービスを提供 TCP/9389 AD DS、AD LDS両方にゕクセス可能 WS* および WCF プロトコルを使用 留意点 Windows Server 2008 R2 DC または AD LDS ゗ンスタンス Windows Server 2003 & 2008 DCの 場合は Active Directory Management Gateway (ADMG) の゗ンストールが必要 http://support.microsoft.com/kb/969041/ja IIS は必要ない ACTIVE DIRECTORY WEB SERVICES (ADWS) LDAP S.DS.P / S.DS.AM / S.DS.AD Active Directory Core Web Services AD PowerShell MUX WCF WPF Administrative Center BPA WCF
  60. 60. 60 機能 ドメ゗ンコントローラー回復コンソールのパスワードを、 既存ユーザーのパスワードと同期 留意点 QFE適用によりWindows Server 2008 でも使用可能 http://support.microsoft.com/kb/961320/ja ドメ゗ンコントローラ単位に実施 デゖレクトリサービス回復モードの パスワード同期 (DSRM PASSWORD SYNC) C:¥> Ntdsutil.exe “Set DSRM Password” “Sync from domain account <ユーザーID> ” q q
  61. 61. 61 (参考)各新機能に必要な実装 ファンクションレベル 使用できる新機能 Windows7 または WS2008R2 クライアント オフラインドメインジョイン マネージドサービスアカウント + ADWS または ADMG(2008/2003) Active Directory 管理センター PowerShell for Active Directory + Windows Server 2008 R2 DC ベストプラクティスアナライザ 回復コンソール パスワード同期 (QFEにより Windows Server 2008でも使用可 能) + Windows Server 2008 R2 ドメイン ファンクションレベル 認証メカニズム保障 + Windows Server 2008 R2 フォレスト ファンクションレベル ゴミ箱

×