仕組みがわかるactive directory
DESCRIPTION
2013年8月31日開催「Windows インフラエンジニア ビギナーズDay」のセッションスライドです。TRANSCRIPT
![Page 1: 仕組みがわかるActive Directory](https://reader034.vdocuments.pub/reader034/viewer/2022042815/5566089dd8b42a06318b4650/html5/thumbnails/1.jpg)
仕組みがわかるActive Directory株式会社ソフィアネットワーク
国井 傑 (くにい すぐる)
スライドは↓こちら↓からダウンロードhttp://www.slideshare.net/sugurukunii/
![Page 2: 仕組みがわかるActive Directory](https://reader034.vdocuments.pub/reader034/viewer/2022042815/5566089dd8b42a06318b4650/html5/thumbnails/2.jpg)
自己紹介
Copyright 2013 Sophia Network Ltd.2
Microsoft MVP for Directory Services (2006~2014)
マイクロソフト認定トレーナー(1997~)
ブログAlways on the clock
@sophiakunii
株式会社ソフィアネットワーク 所属
ブログ + 連載
スライドは↓こちら↓からダウンロードhttp://www.slideshare.net/sugurukunii/
![Page 3: 仕組みがわかるActive Directory](https://reader034.vdocuments.pub/reader034/viewer/2022042815/5566089dd8b42a06318b4650/html5/thumbnails/3.jpg)
こんな人に聞いてもらいたい
Active Directoryという言葉はよく聞くけど、それ以上は... な人
会社の偉い人に頼まれて、ユーザーを作ったことはあるけど、それが何を意味するのか、よくわからない人
会社のIT担当になったけど、どうすればよいか、わからない人
Copyright 2013 Sophia Network Ltd.3
スライドは↓こちら↓からダウンロードhttp://www.slideshare.net/sugurukunii/
![Page 4: 仕組みがわかるActive Directory](https://reader034.vdocuments.pub/reader034/viewer/2022042815/5566089dd8b42a06318b4650/html5/thumbnails/4.jpg)
これからお話しすること
1. ドメインの仕組み
2. 認証/承認のシステムとしてのActive Directory
3. ディレクトリサービスとしてのActive Directory
4. 一元管理を実現する仕組みとしてのActive Directory
Copyright 2013 Sophia Network Ltd.4
スライドは↓こちら↓からダウンロードhttp://www.slideshare.net/sugurukunii/
![Page 5: 仕組みがわかるActive Directory](https://reader034.vdocuments.pub/reader034/viewer/2022042815/5566089dd8b42a06318b4650/html5/thumbnails/5.jpg)
Active Directoryに対するイメージ
Copyright 2013 Sophia Network Ltd.5
2013年国井調べによる
スライドは↓こちら↓からダウンロードhttp://www.slideshare.net/sugurukunii/
![Page 6: 仕組みがわかるActive Directory](https://reader034.vdocuments.pub/reader034/viewer/2022042815/5566089dd8b42a06318b4650/html5/thumbnails/6.jpg)
ドメインの仕組み
Copyright 2013 Sophia Network Ltd.6
![Page 7: 仕組みがわかるActive Directory](https://reader034.vdocuments.pub/reader034/viewer/2022042815/5566089dd8b42a06318b4650/html5/thumbnails/7.jpg)
ドメインとは?Active Directoryとは?ドメインとは何か?と聞かれたら、私は大まかにこのように答えています。
相手が「管理者」だったら
相手が「利用者」だったら
Copyright 2013 Sophia Network Ltd.7
![Page 8: 仕組みがわかるActive Directory](https://reader034.vdocuments.pub/reader034/viewer/2022042815/5566089dd8b42a06318b4650/html5/thumbnails/8.jpg)
ドメインとは?Active Directoryとは?
ドメイン=機能の名称
Active Directory=マイクロソフトの登録商標
つまり、、
Copyright 2013 Sophia Network Ltd.8
![Page 9: 仕組みがわかるActive Directory](https://reader034.vdocuments.pub/reader034/viewer/2022042815/5566089dd8b42a06318b4650/html5/thumbnails/9.jpg)
Active Directoryの仕組み ~ 概要編Active Directoryは「ドメイン」という単位で管理する
ドメインには、1台以上の「ドメインコントローラー」というサーバーが必要
ドメインに管理されるコンピューターは「ドメインに参加する」という設定が必要
Copyright 2013 Sophia Network Ltd.9
![Page 10: 仕組みがわかるActive Directory](https://reader034.vdocuments.pub/reader034/viewer/2022042815/5566089dd8b42a06318b4650/html5/thumbnails/10.jpg)
Active Directoryの仕組み ~ 概要編ドメインに参加するコンピューターはドメインコントローラーに格納されたユーザー情報を利用してサインインすることができる
ドメインにサインインしたユーザーはドメインに参加する、ほかのコンピューターにアクセスできる (ただし、アクセス許可がないユーザーはアクセスできない)
Copyright 2013 Sophia Network Ltd.10
![Page 11: 仕組みがわかるActive Directory](https://reader034.vdocuments.pub/reader034/viewer/2022042815/5566089dd8b42a06318b4650/html5/thumbnails/11.jpg)
Active DirectoryではKerberos(ケルベロス)と呼ばれるテクノロジーを使って、認証と承認を行う
Active Directoryの仕組み ~ ちょっと細かい話
Copyright 2013 Sophia Network Ltd.11
![Page 12: 仕組みがわかるActive Directory](https://reader034.vdocuments.pub/reader034/viewer/2022042815/5566089dd8b42a06318b4650/html5/thumbnails/12.jpg)
ドメインコントローラーは重要なサーバーなので複数台で運用することが多い
事業所ごとにドメインコントローラーを設置して運用することも可能
Active Directoryの仕組み ~ ドメインコントローラー編
Copyright 2013 Sophia Network Ltd.12
![Page 13: 仕組みがわかるActive Directory](https://reader034.vdocuments.pub/reader034/viewer/2022042815/5566089dd8b42a06318b4650/html5/thumbnails/13.jpg)
事業所ごとにドメインコントローラーを設置して運用する場合、「サイト」を設定することで、PCは近くのドメインコントローラーにアクセスできる
Active Directoryの仕組み ~ サイト編
Copyright 2013 Sophia Network Ltd.13
![Page 14: 仕組みがわかるActive Directory](https://reader034.vdocuments.pub/reader034/viewer/2022042815/5566089dd8b42a06318b4650/html5/thumbnails/14.jpg)
認証/承認のシステムとしてのActive Directory
Copyright 2013 Sophia Network Ltd.14
![Page 15: 仕組みがわかるActive Directory](https://reader034.vdocuments.pub/reader034/viewer/2022042815/5566089dd8b42a06318b4650/html5/thumbnails/15.jpg)
ワークグループではそれぞれのサーバーにアクセスするごとに認証が必要。だから、ドメインを利用して1回の認証(サインイン)で、すべてのサーバーにアクセスできるような仕組みが重宝される
ドメインとは1回のサインインでアクセスできる範囲
Copyright 2013 Sophia Network Ltd.15
![Page 16: 仕組みがわかるActive Directory](https://reader034.vdocuments.pub/reader034/viewer/2022042815/5566089dd8b42a06318b4650/html5/thumbnails/16.jpg)
1回のサインインでアクセスできる範囲を「ドメイン」と呼ぶが、2つ以上のドメインを「信頼関係」という設定で連携させることで、アクセスできる範囲を拡張可能
信頼関係=1回のサインインでアクセスできる範囲を拡張
Copyright 2013 Sophia Network Ltd.16
![Page 17: 仕組みがわかるActive Directory](https://reader034.vdocuments.pub/reader034/viewer/2022042815/5566089dd8b42a06318b4650/html5/thumbnails/17.jpg)
信頼関係が使われるケース会社の構造に合わせてドメインを分割して運用するケースがよく見られる
Copyright 2013 Sophia Network Ltd.17
![Page 18: 仕組みがわかるActive Directory](https://reader034.vdocuments.pub/reader034/viewer/2022042815/5566089dd8b42a06318b4650/html5/thumbnails/18.jpg)
クラウドとの信頼関係クラウドはドメインに参加していないので、別途サインインが必要
Active Directoryフェデレーションサービス(ADFS)を活用すれば、クラウドを「1回のサインインでアクセスできる範囲」にできる
Copyright 2013 Sophia Network Ltd.
![Page 19: 仕組みがわかるActive Directory](https://reader034.vdocuments.pub/reader034/viewer/2022042815/5566089dd8b42a06318b4650/html5/thumbnails/19.jpg)
Active Directoryでは認証時に、ユーザーの認証だけでなく、コンピューターの認証も行っている
コンピューター認証用パスワードは30日に一度変更し、クライアントとの間で同期
ところで…ドメインに参加する設定はなぜ必要?
Copyright 2013 Sophia Network Ltd.19
![Page 20: 仕組みがわかるActive Directory](https://reader034.vdocuments.pub/reader034/viewer/2022042815/5566089dd8b42a06318b4650/html5/thumbnails/20.jpg)
コンピューターパスワードは片方だけで変更されると認証できなくなる
長期間ドメインにサインインしていないコンピューター
仮想マシンをスナップショットで以前の状態に戻したとき
ところで…ドメインに参加する設定はなぜ必要?
Copyright 2013 Sophia Network Ltd.20
![Page 21: 仕組みがわかるActive Directory](https://reader034.vdocuments.pub/reader034/viewer/2022042815/5566089dd8b42a06318b4650/html5/thumbnails/21.jpg)
コンピューターパスワードは片方だけで変更されると認証できなくなる
長期間ドメインにサインインしていないコンピューター
仮想マシンをスナップショットで以前の状態に戻したとき
ところで…ドメインに参加する設定はなぜ必要?
Copyright 2013 Sophia Network Ltd.21
![Page 22: 仕組みがわかるActive Directory](https://reader034.vdocuments.pub/reader034/viewer/2022042815/5566089dd8b42a06318b4650/html5/thumbnails/22.jpg)
必要に応じてコンピューターパスワードは変更しないように設定すること
グループポリシーから設定可能 (グループポリシーについては後述)
ところで…ドメインに参加する設定はなぜ必要?
Copyright 2013 Sophia Network Ltd.22
![Page 23: 仕組みがわかるActive Directory](https://reader034.vdocuments.pub/reader034/viewer/2022042815/5566089dd8b42a06318b4650/html5/thumbnails/23.jpg)
ディレクトリサービスとしてのActive Directory
Copyright 2013 Sophia Network Ltd.23
![Page 24: 仕組みがわかるActive Directory](https://reader034.vdocuments.pub/reader034/viewer/2022042815/5566089dd8b42a06318b4650/html5/thumbnails/24.jpg)
ディレクトリサービスとは?会社の様々な情報をまとめて記憶し、いつでも参照できるようにするための仕組み
オブジェクトとプロパティという関係で情報が保存される
Copyright 2013 Sophia Network Ltd.24
![Page 25: 仕組みがわかるActive Directory](https://reader034.vdocuments.pub/reader034/viewer/2022042815/5566089dd8b42a06318b4650/html5/thumbnails/25.jpg)
Active Directoryに登録できるオブジェクトとプロパティ
Copyright 2013 Sophia Network Ltd.25
![Page 26: 仕組みがわかるActive Directory](https://reader034.vdocuments.pub/reader034/viewer/2022042815/5566089dd8b42a06318b4650/html5/thumbnails/26.jpg)
【参考】プロパティに表示される名前は属性名と一致しない
Copyright 2013 Sophia Network Ltd.26
![Page 27: 仕組みがわかるActive Directory](https://reader034.vdocuments.pub/reader034/viewer/2022042815/5566089dd8b42a06318b4650/html5/thumbnails/27.jpg)
一般のプロパティには表示されない属性もある
Copyright 2013 Sophia Network Ltd.27
Get-ADUser -Filter * -Properties logonCount | ft name,logoncount
![Page 28: 仕組みがわかるActive Directory](https://reader034.vdocuments.pub/reader034/viewer/2022042815/5566089dd8b42a06318b4650/html5/thumbnails/28.jpg)
ディレクトリサービスとしてActive Directoryを有効活用Active Directoryは単純にユーザー名・パスワードを登録するだけではもったいない!
情報を登録しておけば、登録された情報をもとにアクセス制御ができる
Copyright 2013 Sophia Network Ltd.28
![Page 29: 仕組みがわかるActive Directory](https://reader034.vdocuments.pub/reader034/viewer/2022042815/5566089dd8b42a06318b4650/html5/thumbnails/29.jpg)
【参考】ダイナミックアクセス制御Windows Server 2012から利用可能なアクセス制御方法
ユーザーの属性とフォルダーの属性をそれぞれ設定し、条件に一致する場合だけ、アクセス許可を与える
コンピューターの属性を条件にアクセス許可を設定することも可能 (Win8のみ)
Copyright 2013 Sophia Network Ltd.29
![Page 30: 仕組みがわかるActive Directory](https://reader034.vdocuments.pub/reader034/viewer/2022042815/5566089dd8b42a06318b4650/html5/thumbnails/30.jpg)
トークンベースのアクセス制御Active Directoryフェデレーションサービス(ADFS)の活用
Copyright 2013 Sophia Network Ltd.30
![Page 31: 仕組みがわかるActive Directory](https://reader034.vdocuments.pub/reader034/viewer/2022042815/5566089dd8b42a06318b4650/html5/thumbnails/31.jpg)
Active Directoryではユーザー情報をもとに承認を行うのに対して、ADFSではサーバーが必要とする情報をもとに承認(認可)を行う→ 必ずしもユーザー情報は必要でないので、個人情報を晒すことなくサーバーにアクセスできる
トークンベースのアクセス制御
Copyright 2013 Sophia Network Ltd.31
![Page 32: 仕組みがわかるActive Directory](https://reader034.vdocuments.pub/reader034/viewer/2022042815/5566089dd8b42a06318b4650/html5/thumbnails/32.jpg)
一元管理を実現する仕組みとしてのActive Directory
Copyright 2013 Sophia Network Ltd.32
![Page 33: 仕組みがわかるActive Directory](https://reader034.vdocuments.pub/reader034/viewer/2022042815/5566089dd8b42a06318b4650/html5/thumbnails/33.jpg)
会社で管理すること、それは「制限」することであるActive Directoryに登録された情報(ユーザー/コンピューター)が会社にとって良くないことをしないように制限したい
Copyright 2013 Sophia Network Ltd.33
![Page 34: 仕組みがわかるActive Directory](https://reader034.vdocuments.pub/reader034/viewer/2022042815/5566089dd8b42a06318b4650/html5/thumbnails/34.jpg)
グループポリシーを利用して制限グループポリシーとはActive Directoryに付属する機能で、ドメインに参加するコンピューターやユーザーに対して、様々な制限を行う機能
Copyright 2013 Sophia Network Ltd.34
![Page 35: 仕組みがわかるActive Directory](https://reader034.vdocuments.pub/reader034/viewer/2022042815/5566089dd8b42a06318b4650/html5/thumbnails/35.jpg)
グループポリシーを使う[サーバーマネージャー]から[表示]-[グループポリシーの管理]で管理ツールにアクセス
Copyright 2013 Sophia Network Ltd.35
![Page 36: 仕組みがわかるActive Directory](https://reader034.vdocuments.pub/reader034/viewer/2022042815/5566089dd8b42a06318b4650/html5/thumbnails/36.jpg)
複数のGPOを割り当てられる。だけどシンプルが基本。
Copyright 2013 Sophia Network Ltd.36
![Page 37: 仕組みがわかるActive Directory](https://reader034.vdocuments.pub/reader034/viewer/2022042815/5566089dd8b42a06318b4650/html5/thumbnails/37.jpg)
グループポリシーの特徴を踏まえてOUを設計GPOはドメインまたはOUに割り当てられる
OUはドメインのユーザーやコンピューターなどを「まとめる」役割がある
Copyright 2013 Sophia Network Ltd.37
![Page 38: 仕組みがわかるActive Directory](https://reader034.vdocuments.pub/reader034/viewer/2022042815/5566089dd8b42a06318b4650/html5/thumbnails/38.jpg)
GPOの設定
Copyright 2013 Sophia Network Ltd.38
![Page 39: 仕組みがわかるActive Directory](https://reader034.vdocuments.pub/reader034/viewer/2022042815/5566089dd8b42a06318b4650/html5/thumbnails/39.jpg)
グループポリシーで、よく「使われる」設定/よく「使いたい」設定アプリケーション実行の制限
[コンピューターの構成]-[ポリシー]-[Windowsの設定]-[セキュリティの設定]-[アプリケーション制限ポリシー]-[AppLocker]
コントロールパネル利用の制限[ユーザーの構成]-[ポリシー]-[管理用テンプレート]-[コントロールパネル]-[コントロールパネルとPC設定へのアクセスを禁止する]
ゲーム利用の制限[ユーザーの構成]-[ポリシー]-[管理用テンプレート]-[タスクバーと[スタート]メニュー]-[[スタート]メニューから[ゲーム]アイコンを削除する]
指定したWi-Fi接続のみ許可[コンピューターの構成]-[ポリシー]-[Windowsの設定]-[セキュリティの設定]-[ワイヤレスネットワークポリシー]
Copyright 2013 Sophia Network Ltd.39
![Page 40: 仕組みがわかるActive Directory](https://reader034.vdocuments.pub/reader034/viewer/2022042815/5566089dd8b42a06318b4650/html5/thumbnails/40.jpg)
グループポリシーで、よく「使われる」設定/よく「使いたい」設定ドライブ文字の割り当て
[ユーザーの構成]-[基本設定]-[Windowsの設定]-[ドライブマップ]
Copyright 2013 Sophia Network Ltd.40
![Page 41: 仕組みがわかるActive Directory](https://reader034.vdocuments.pub/reader034/viewer/2022042815/5566089dd8b42a06318b4650/html5/thumbnails/41.jpg)
グループポリシーで、よく「使われる」設定/よく「使いたい」設定アクセス監査の設定
[コンピューターの構成]-[ポリシー]-[Windowsの設定]-[セキュリティの設定]-[監査ポリシーの詳細な構成]-[監査ポリシー]
監査結果はイベントビューアのセキュリティログより確認可能
Copyright 2013 Sophia Network Ltd.41
![Page 42: 仕組みがわかるActive Directory](https://reader034.vdocuments.pub/reader034/viewer/2022042815/5566089dd8b42a06318b4650/html5/thumbnails/42.jpg)
グループポリシーの項目数は3438!でもどうやって調べる?グループポリシーの設定項目がたくさんあっても、存在を知らなければ宝の持ち腐れ。そこで、調べ方を覚えておきましょう。
方法1:GPOの検索
Copyright 2013 Sophia Network Ltd.42
![Page 43: 仕組みがわかるActive Directory](https://reader034.vdocuments.pub/reader034/viewer/2022042815/5566089dd8b42a06318b4650/html5/thumbnails/43.jpg)
グループポリシーの項目数は3438!でもどうやって調べる?方法2:Excelシートで一覧の確認Group Policy Settings Reference for Windows and Windows Server http://www.microsoft.com/en-us/download/details.aspx?displaylang=en&id=25250
Copyright 2013 Sophia Network Ltd.43
![Page 44: 仕組みがわかるActive Directory](https://reader034.vdocuments.pub/reader034/viewer/2022042815/5566089dd8b42a06318b4650/html5/thumbnails/44.jpg)
まとめActive Directoryは単純にユーザーを登録するデータベースではない!
認証/承認システムとして、認証・承認を集中管理できるだけでなく、拡張が可能
ディレクトリサービスとして、様々な属性を登録することで、後から参照したり、アクセス制御の仕組みとして流用できる
一元管理を実現する仕組みとして、グループポリシーによるドメイン参加のPCに対する制限・制御ができる
Copyright 2013 Sophia Network Ltd.44
![Page 45: 仕組みがわかるActive Directory](https://reader034.vdocuments.pub/reader034/viewer/2022042815/5566089dd8b42a06318b4650/html5/thumbnails/45.jpg)
Microsoft Confidential45
We don’t even have to try,It’s always a good time.
from “good time” by owl city & carly rae jepsen