JAWS-UG CLI #34 LTAWS Directory ServiceでMicrosoft ADがリリースされたので利用してみた
2015/12/7 Mon
Nobuhiro Nakayama
{
"name":"Nobuhiro Nakayama",
"company":"UCHIDAYOKO CO., LTD.",
"favorite aws services":[
"Storage Gateway",
"Directory Service",
"IAM",
"AWS CLI"
],
"certifications":[
"AWS Certified Solutions Architect-Professional",
"AWS Certified SysOps Administrator-Associate",
"Microsoft Certified Solutions Expert Server Infrastructure",
"Microsoft Certified Solutions Expert SharePoint",
"IPA Network Specialist", "IPA Information Security Specialist"
]
}
Agenda
• これまでのDirectory Service
• ブログの会社
• Microsoft ADを使ってみた
2015/12/7 3
これまでのDirectory Service
• Simple ADの中身はSamba4
• Windows ServerのActive Directoryとは「完全な」互換性が無い・・・
• AD Connectorは、ドメインコントローラのプロキシ
2015/12/7 4
そんなとき・・・
2015/12/7 5
キタコレ!
2015/12/7 6
• 「・・・クラメソさんを出し抜けるんじゃね?」
2015/12/7 7
クラスメソッドとは
• ブログの会社(としか思えない)
• Developers.IOというブログを社員総出で書いている(としか思えない)
• 早い(早すぎる)
• たぶん24/365(ブログ的な意味で)
• 大変お世話になっております!
2015/12/7 8
• 「早速検証だ!」(業務時間中だけど)
2015/12/7 9
2015/12/7 10
しかし・・・
2015/12/7 11
2015/12/7 12
メソられた・・・
○| ̄|_2015/12/7 13
でも、せっかくなので公開
2015/12/7 14
Microsoft ADの注目ポイント
• 初期ユーザの権限
• Adminと言いながらあまり権限が無いので要検証(マネージドサービスなのである意味当然)
• Certificate Service DCOM Access
• DNS Admin
• Incomming Forest Trust Builders
• Group Policy Creator Owners
• Domain Users
• リモートデスクトップやPowerShellでの接続もできない
• 閲覧できるログも最小限度しか閲覧できない
• DNS event logs
• security event logs
• フォレスト間信頼に関する設定
• 既存のドメインと連携できる
• スキーマ拡張
• 申請することでできるもよう
2015/12/7 15
これまでできてたこともできる
• VPC上への構築
• VPN ConnectionやDirect Connectによるオンプレミスのサーバとの連携
• IAM Role・STSを利用したWorkSpacesやManagement Consoleとの認証連携
• WorkDocsやWorkMailはまだ見えてない
• スナップショットによるバックアップ
• USNロールバック問題は?
• たぶん、2つあるインスタンスを両方作り直している?(推測)
• AWS CLIでディレクトリの作成・削除など(1.9.11~)
2015/12/7 16
要望
• ADFS連携
• オンプレミスのADからのマイグレーション
2015/12/7 17
おわり
2015/12/7 18