仕組みがわかるActive Directory
?
35 likes?13,979 views
2013年8月31日開催「Windows インフラエンジニア ビギナーズDay」のセッションスライドです。
![グループポリシーを使う
?[サーバーマネージャー]から[表示]-[グループポリシーの管理]で管理ツールに
アクセス
Copyright 2013 Sophia Network Ltd.35](https://image.slidesharecdn.com/ad-130830211912-phpapp02/85/Active-Directory-35-320.jpg)
![グループポリシーで、よく「使われる」設定/よく「使いたい」設定
?アプリケーション実行の制限
?[コンピューターの構成]-[ポリシー]-[Windowsの設定]-[セキュリティの設定]-[アプリ
ケーション制限ポリシー]-[AppLocker]
?コントロールパネル利用の制限
?[ユーザーの構成]-[ポリシー]-[管理用テンプレート]-[コントロールパネル]-[コントロー
ルパネルとPC設定へのアクセスを禁止する]
?ゲーム利用の制限
?[ユーザーの構成]-[ポリシー]-[管理用テンプレート]-[タスクバーと[スタート]メニュー]-
[[スタート]メニューから[ゲーム]アイコンを削除する]
?指定したWi-Fi接続のみ許可
?[コンピューターの構成]-[ポリシー]-[Windowsの設定]-[セキュリティの設定]-[ワイ
ヤレスネットワークポリシー]
Copyright 2013 Sophia Network Ltd.39](https://image.slidesharecdn.com/ad-130830211912-phpapp02/85/Active-Directory-39-320.jpg)
![グループポリシーで、よく「使われる」設定/よく「使いたい」設定
?ドライブ文字の割り当て
?[ユーザーの構成]-[基本設定]-[Windowsの設定]-[ドライブマップ]
Copyright 2013 Sophia Network Ltd.40](https://image.slidesharecdn.com/ad-130830211912-phpapp02/85/Active-Directory-40-320.jpg)
![グループポリシーで、よく「使われる」設定/よく「使いたい」設定
?アクセス監査の設定
?[コンピューターの構成]-[ポリシー]
-[Windowsの設定]
-[セキュリティの設定]
-[監査ポリシーの詳細な構成]
-[監査ポリシー]
?監査結果はイベントビューアの
セキュリティログより確認可能
Copyright 2013 Sophia Network Ltd.41](https://image.slidesharecdn.com/ad-130830211912-phpapp02/85/Active-Directory-41-320.jpg)
仕組みがわかるActive Directory
- 1. 仕組みがわかるActive Directory 株式会社ソフィアネットワーク 国井 傑 (くにい すぐる) スライドは↓こちら↓からダウンロード http://www.slideshare.net/sugurukunii/
- 2. 自己紹介 Copyright 2013 Sophia Network Ltd.2 Microsoft MVP for Directory Services (2006~2014) マイクロソフト認定トレーナー (1997~) ブログ Always on the clock @sophiakunii 株式会社ソフィアネットワーク 所属 ブログ + 連載 スライドは↓こちら↓からダウンロード http://www.slideshare.net/sugurukunii/
- 3. こんな人に聞いてもらいたい ?Active Directoryという言葉はよく聞くけど、それ以上は... な人 ?会社の偉い人に頼まれて、ユーザーを作ったことはあるけど、 それが何を意味するのか、よくわからない人 ?会社のIT担当になったけど、どうすればよいか、わからない人 Copyright 2013 Sophia Network Ltd.3 スライドは↓こちら↓からダウンロード http://www.slideshare.net/sugurukunii/
- 4. これからお話しすること 1. ドメインの仕組み 2. 認証/承認のシステムとしてのActive Directory 3. ディレクトリサービスとしてのActive Directory 4. 一元管理を実現する仕組みとしてのActive Directory Copyright 2013 Sophia Network Ltd.4 スライドは↓こちら↓からダウンロード http://www.slideshare.net/sugurukunii/
- 5. Active Directoryに 対するイメージ Copyright 2013 Sophia Network Ltd.5 2013年国井調べによる スライドは↓こちら↓からダウンロード http://www.slideshare.net/sugurukunii/
- 6. ドメインの仕組み Copyright 2013 Sophia Network Ltd.6
- 7. ドメインとは?Active Directoryとは? ?ドメインとは何か?と聞かれたら、私は大まかにこのように答えています。 ?相手が「管理者」だったら ?相手が「利用者」だったら Copyright 2013 Sophia Network Ltd.7
- 8. ドメインとは?Active Directoryとは? ?ドメイン=機能の名称 ?Active Directory=マイクロソフトの登録商標 ?つまり、、 Copyright 2013 Sophia Network Ltd.8
- 9. Active Directoryの仕組み ~ 概要編 ?Active Directoryは「ドメイン」という単位で管理する ?ドメインには、1台以上の「ドメインコントローラー」というサーバーが必要 ?ドメインに管理されるコンピューターは「ドメインに参加する」という設定が必要 Copyright 2013 Sophia Network Ltd.9
- 10. Active Directoryの仕組み ~ 概要編 ?ドメインに参加するコンピューターはドメインコントローラーに格納された ユーザー情報を利用してサインインすることができる ?ドメインにサインインしたユーザーはドメインに参加する、ほかのコンピューターに アクセスできる (ただし、アクセス許可がないユーザーはアクセスできない) Copyright 2013 Sophia Network Ltd.10
- 11. ?Active DirectoryではKerberos(ケルベロス)と呼ばれるテクノロジーを 使って、認証と承認を行う Active Directoryの仕組み ~ ちょっと細かい話 Copyright 2013 Sophia Network Ltd.11
- 12. ?ドメインコントローラーは重要なサーバーなので複数台で運用することが多い ?事業所ごとにドメインコントローラーを設置して運用することも可能 Active Directoryの仕組み ~ ドメインコントローラー編 Copyright 2013 Sophia Network Ltd.12
- 13. ?事業所ごとにドメインコントローラーを設置して運用する場合、「サイト」を 設定することで、PCは近くのドメインコントローラーにアクセスできる Active Directoryの仕組み ~ サイト編 Copyright 2013 Sophia Network Ltd.13
- 14. 認証/承認のシステムとしてのActive Directory Copyright 2013 Sophia Network Ltd.14
- 15. ?ワークグループではそれぞれのサーバーにアクセスするごとに認証が必要。 だから、ドメインを利用して1回の認証(サインイン)で、すべてのサーバーに アクセスできるような仕組みが重宝される ドメインとは1回のサインインでアクセスできる範囲 Copyright 2013 Sophia Network Ltd.15
- 16. ?1回のサインインでアクセスできる範囲を「ドメイン」と呼ぶが、2つ以上の ドメインを「信頼関係」という設定で連携させることで、アクセスできる範囲を 拡張可能 信頼関係=1回のサインインでアクセスできる範囲を拡張 Copyright 2013 Sophia Network Ltd.16
- 17. 信頼関係が使われるケース ?会社の構造に合わせてドメインを分割して運用するケースがよく見られる Copyright 2013 Sophia Network Ltd.17
- 18. クラウドとの信頼関係 ?クラウドはドメインに参加していないので、別途サインインが必要 ?Active Directoryフェデレーションサービス(ADFS)を活用すれば、 クラウドを「1回のサインインでアクセスできる範囲」にできる Copyright 2013 Sophia Network Ltd.
- 19. ?Active Directoryでは認証時に、ユーザーの認証だけでなく、 コンピューターの認証も行っている ?コンピューター認証用パスワードは30日に一度変更し、クライアントとの間で同期 ところで…ドメインに参加する設定はなぜ必要? Copyright 2013 Sophia Network Ltd.19
- 20. ?コンピューターパスワードは片方だけで変更されると認証できなくなる ?長期間ドメインにサインインしていないコンピューター ?仮想マシンをスナップショットで以前の状態に戻したとき ところで…ドメインに参加する設定はなぜ必要? Copyright 2013 Sophia Network Ltd.20
- 21. ?コンピューターパスワードは片方だけで変更されると認証できなくなる ?長期間ドメインにサインインしていないコンピューター ?仮想マシンをスナップショットで以前の状態に戻したとき ところで…ドメインに参加する設定はなぜ必要? Copyright 2013 Sophia Network Ltd.21
- 22. ?必要に応じてコンピューターパスワードは変更しないように設定すること ?グループポリシーから設定可能 (グループポリシーについては後述) ところで…ドメインに参加する設定はなぜ必要? Copyright 2013 Sophia Network Ltd.22
- 23. ディレクトリサービスとしてのActive Directory Copyright 2013 Sophia Network Ltd.23
- 24. ディレクトリサービスとは? ?会社の様々な情報をまとめて記憶し、 いつでも参照できるようにするための仕組み ?オブジェクトとプロパティという関係で情報が保存される Copyright 2013 Sophia Network Ltd.24
- 25. Active Directoryに登録できるオブジェクトとプロパティ Copyright 2013 Sophia Network Ltd.25
- 26. 【参考】プロパティに表示される名前は属性名と一致しない Copyright 2013 Sophia Network Ltd.26
- 27. 一般のプロパティには表示されない属性もある Copyright 2013 Sophia Network Ltd.27 Get-ADUser -Filter * -Properties logonCount | ft name,logoncount
- 28. ディレクトリサービスとしてActive Directoryを有効活用 ?Active Directoryは単純にユーザー名?パスワードを登録するだけでは もったいない! ?情報を登録しておけば、登録された情報をもとにアクセス制御ができる Copyright 2013 Sophia Network Ltd.28
- 29. 【参考】ダイナミックアクセス制御 ?Windows Server 2012から 利用可能なアクセス制御方法 ?ユーザーの属性とフォルダーの 属性をそれぞれ設定し、 条件に一致する場合だけ、 アクセス許可を与える ?コンピューターの属性を条件に アクセス許可を設定することも 可能 (Win8のみ) Copyright 2013 Sophia Network Ltd.29
- 30. トークンベースのアクセス制御 ?Active Directoryフェデレーションサービス(ADFS)の活用 Copyright 2013 Sophia Network Ltd.30
- 31. ?Active Directoryではユーザー情報をもとに承認を行うのに対して、 ADFSではサーバーが必要とする情報をもとに承認(認可)を行う → 必ずしもユーザー情報は必要でないので、 個人情報を晒すことなくサーバーにアクセスできる トークンベースのアクセス制御 Copyright 2013 Sophia Network Ltd.31
- 32. 一元管理を実現する仕組みとしての Active Directory Copyright 2013 Sophia Network Ltd.32
- 33. 会社で管理すること、それは「制限」することである ?Active Directoryに登録された情報(ユーザー/コンピューター)が 会社にとって良くないことをしないように制限したい Copyright 2013 Sophia Network Ltd.33
- 34. グループポリシーを利用して制限 ?グループポリシーとはActive Directoryに付属する機能で、ドメインに 参加するコンピューターやユーザーに対して、様々な制限を行う機能 Copyright 2013 Sophia Network Ltd.34
- 36. 複数のGPOを割り当てられる。だけどシンプルが基本。 Copyright 2013 Sophia Network Ltd.36
- 37. グループポリシーの特徴を踏まえてOUを設計 ?GPOはドメインまたはOUに割り当てられる ?OUはドメインのユーザーやコンピューターなどを「まとめる」役割がある Copyright 2013 Sophia Network Ltd.37
- 38. GPOの設定 Copyright 2013 Sophia Network Ltd.38
- 40. グループポリシーで、よく「使われる」設定/よく「使いたい」設定 ?ドライブ文字の割り当て ?[ユーザーの構成]-[基本設定]-[Windowsの設定]-[ドライブマップ] Copyright 2013 Sophia Network Ltd.40
- 41. グループポリシーで、よく「使われる」設定/よく「使いたい」設定 ?アクセス監査の設定 ?[コンピューターの構成]-[ポリシー] -[Windowsの設定] -[セキュリティの設定] -[監査ポリシーの詳細な構成] -[監査ポリシー] ?監査結果はイベントビューアの セキュリティログより確認可能 Copyright 2013 Sophia Network Ltd.41
- 42. グループポリシーの項目数は3438!でもどうやって調べる? ?グループポリシーの設定項目がたくさんあっても、存在を知らなければ 宝の持ち腐れ。そこで、調べ方を覚えておきましょう。 ?方法1:GPOの検索 Copyright 2013 Sophia Network Ltd.42
- 43. グループポリシーの項目数は3438!でもどうやって調べる? ?方法2:Excelシートで一覧の確認 Group Policy Settings Reference for Windows and Windows Server http://www.microsoft.com/ en-us/download/details.aspx?displaylang=en&id=25250 Copyright 2013 Sophia Network Ltd.43
- 44. まとめ ?Active Directoryは単純にユーザーを登録するデータベースではない! ?認証/承認システムとして、 認証?承認を集中管理できるだけでなく、拡張が可能 ?ディレクトリサービスとして、 様々な属性を登録することで、後から参照したり、アクセス制御の仕組み として流用できる ?一元管理を実現する仕組みとして、 グループポリシーによるドメイン参加のPCに対する制限?制御ができる Copyright 2013 Sophia Network Ltd.44
- 45. Microsoft Confidential45 We don’t even have to try, It’s always a good time. from “good time” by owl city & carly rae jepsen