Active Directory Basic

1. おさらい Active Directory
( Active Directory についてのあれこれ )
アイティデザイン株式会社
知北直宏
Copyright 2013 ITdesign Corporation , All Rights Reserved
‘13/3/30
@ Japan SharePoint Group 勉強会
1

2. 2
自己紹介
 知北直宏（ちきたなおひろ）Twitter: @wanto1101
 アイティデザイン株式会社 代表取締役社長
 九州発ITPro系コミュニティ「Win.tech.q」代表
 福岡でITProやってます。
Active Directory、Hyper-V、Exchange、System Center
その他いろいろの提案・設計・構築・サポートまでなんでも。
大手、地場インテグレーターさんの後方支援など。
 Microsoft MVP(Directory Services)
 MCT、MCSE、MCITPとかいろいろ。
 「標準テキスト Windows Server 2008 R2 構築・運用・管理パーフェクト
ガイド」という本を書きました。
御礼・2012年10月に第8版発売、通算15000部発行
 「第4回 Windows Server 2012 Community Day」登壇
http://technet.microsoft.com/ja-jp/windowsserver/jj973165
次へ

3. 3
はじめに
 Active Directory ドメインサービス (AD DS)
を中心にお話しします。
 SlideShare に Active Directory 関連の
スライドをいくつか公開しています。
・Active Directory のセキュリティ対策
・Active Directory の障害対策
・グループポリシーを使った Windows ファイアウォールの統合管理
・おさらいグループポリシー
( SlideShare wintechq で検索！ )
次へ

4. 4
アジェンダ
 Active Directory とは
 Active Directory の機能
 Windows Server 2012 での新機能
 Windows Azure で Active Directory
 まとめ
次へ

5. Active Directory とは
5
次へ

6. 6
Active Directory ってなに？
 Windows 標準の「ディレクトリーサービス」です。
 Windows 2000 Server で実装されました。
 ユーザーやコンピューターなどの「アカウント・オブジェクト」を一元管理
することができます。
 IDの集中管理、認証の統合などが実現できます。
次へ

7. 7
どんなオブジェクトが管理できるの？
 Active Directory では次のようなオブジェクトを管理することができ
ます。
 ユーザー
 グループ
 コンピューター
 プリンター
 共有フォルダー
 連絡先
次へ

8. 8
Active Directory の機能や目的の一例
 「グループポリシー」を使って、アカウントの一括管理が可能です。
 ユーザーや Windows コンピューターが数十、数百を超えた環境で
は、なくてはならないシステムです。
 WSFC（Windows Server Failover Clustering）や、
Windows HPC Server など高度なシステム環境の構築にも必須
です。
次へ

9. 9
グループポリシーってなに？
次へ
• Active Directory 環境のコンピューターアカウントや
ユーザーアカウントを集中管理、集中制御する仕組みです。
ドメインコントローラー
Active Directory ドメイン
コンピューターアカウントや
ユーザーアカウント
グループポリシーで集中管理、集中制御

10. 10
グループポリシーでなにができるの？
 グループポリシーで次のようなことができます。
 セキュリティ関連の設定を一括して行う
 コントロールパネルなどOS環境を一括して制御する
 IEやOfficeなどの環境を一括して制御する
 レジストリーやiniファイルを一括して制御する
 ソフトウェアの展開、配布を行う
 その他いろいろ
次へ

11. 11
よくある話。。。
次へ
管理者がユーザーにPCを配布したときには
こんなにキレイなデスクトップだったのに。。。
数週間経つとこのありさま！
☛ グループポリシーで解決！

12. Active Directory の機能
12
次へ

13. フォレスト
ドメイン
13
Active Directory を構成するコンポーネント
 ドメインコントローラー(DC)
 ドメイン
 フォレスト
次へ
DC DC
フォレスト
Adatum.com
DC DC
Contoso.com
DC DC
Sales.contoso.com
DC DC
Tech.contoso.com
DC DC
Sub.tech.contoso.com
DC DC
信頼関係

14. 14
Active Directory の機能レベル
次へ
 フォレストやドメインで実行できる機能をまとめたもの、定義したもので
す。
 「フォレストの機能レベル」と「ドメインの機能レベル」は、より上位のほ
うが多機能であり、セキュリティに関する機能も強化されています。
 しかし、NTドメインやWindows 2000 Active Directoryからアッ
プグレードを繰り返したWindows Server 2012 Active
Directory環境でさえも、次のような機能レベルになっている可能性
があります。
フォレストの機能レベル ：Windows 2000
ドメインの機能レベル ：Windows 2000 ネイティブ
 参考
http://technet.microsoft.com/ja-jp/library/cc771294.aspx

15. 15
FSMO ってなに？
 複数のドメインコントローラーは「マルチマスター」であって、基本的には
対等です。
 しかし、ドメインの中で 1 台のドメインコントローラーでしか実行できな
い機能、フォレストの中で 1 台のドメインコントローラーでしか実行で
きない機能がいくつかあります。
 それらを FSMO (Flexible Single Master Operation) と呼び
ます。次の 5 つがあります。
・スキーママスター
・ドメインネーミングマスター
・RID マスター
・PDC エミュレーター
・インフラストラクチャーマスター
次へ

16. Windows Server 2012
での新機能
16
次へ

17. 17
Windows Server 2012 での追加機能
 ドメインコントローラーの仮想化サポート
 ドメインコントローラーの複製機能
 ダイナミックアクセス制御
次へ

18. 18
ドメインコントローラーの仮想化サポート
 Windows Server 2008 R2 までは、ドメインコントローラーを仮
想化するといくつかの制約がありました。
 Windows Server 2012 からは安全にドメインコントローラーの仮
想化ができるようになりました。
 ただし、「 Generation ID 」という機能をサポートした
仮想化環境・ハイパーバイザーで、Windows Server 2012 ドメ
インコントローラーを動作させる必要があります。
例）
Windows Server 2012 の Hyper-V 上で、
Windows Server 2012 のドメインコントローラーを動作させる 次へ

19. 19
ドメインコントローラーの複製機能ってなに？
 Windows Server 2008 R2 までは、ドメインコントローラーを
Sysprep などで「複製」することはできませんでした。
 Windows Server 2012 からはドメインコントローラーの「複製」が
できるようになりました。
次へ

20. 20
ドメインコントローラーの複製機能の条件
 いくつかの条件があります。
・仮想化された Windows Server 2012 ベースのドメインコント
ローラーであること
・「 Generation ID 」機能をサポートした仮想化環境（例えば
Hyper-V 3.0 )で動作している仮想マシンであること
・複製元のドメインコントローラーは PDC エミュレーターではないこと
 結果として、ドメインコントローラーを 3 台以上構築するときや、
動的に増やしたいときに便利な機能
次へ

21. 21
ダイナミックアクセス制御
 ファイルやフォルダーへのアクセス権の設定を行う際の新しい方法です
 従来のアクセス権の設定方法である「随意アクセス制御」では、
対象の所有者 ( 管理者 ) が、ユーザーやグループを指定してアクセ
ス権の指定が必要でした。
 「ダイナミックアクセス制御」では、ファイルやフォルダーに設定した
「ラベル」に対して、動的にアクセス権を変更するための「ポリシー」をあ
らかじめ定義することにより、「要求・クレーム」に対してアクセス権を付
与することができます。
次へ

22. 22
Windows Server 2012 での拡張機能
 セットアップ方法が大きく変化
 Windows PowerShell の拡充
 「 Active Directory 管理センター」が機能強化
・「ごみ箱」機能、PSO、ダイナミックアクセス制御をGUIで設定可能
・Windows PowerShell の履歴機能
 ライセンス認証機能の追加
 その他いろいろ
次へ

23. Windows Azure で
Active Directory
23
次へ

24. 24
Windows Azure での Active Directory
 IaaS である「 Windows Azure 仮想マシン」に
ドメインコントローラーを構築することができます。
 「 Windows Azure 仮想ネットワーク」を使って、オンプレミス環境と
VPN接続ができます。
次へ

25. 25
Windows Azure 仮想マシンでのポイント
 「 Windows Azure 仮想マシン」でドメインコントローラーを構築す
る際には次のようないくつかのポイント、注意点があります。
 Active Directory データベースは追加したデータディスクに配置
 複数の Windows Azure データセンター間の仮想ネットワークの直
接通信はできない ( オンプレミスとの VPN 経由となる )
 Windows Azure は出力方向にのみ課金するため、 RODC ( 読
み取り専用ドメインコントローラー) を配置するとコストが抑えられるか
も。。。
次へ

26. 26
まとめ
 Active Directory は Windows 環境にはなくてはなら
ない認証基盤、インフラです。
 機能をきちんと利用して、管理、運用することが重要です。
次へ

27. ご清聴ありがとうございました！
知北直宏 @wanto1101
27Copyright 2013 ITdesign Corporation , All Rights Reserved