JAWS-UG CLI #34 LTAWS Directory ServiceでMicrosoft ADがリリースされたので利用してみた

2015/12/7 Mon

Nobuhiro Nakayama

{

"name":"Nobuhiro Nakayama",

"company":"UCHIDAYOKO CO., LTD.",

"favorite aws services":[

"Storage Gateway",

"Directory Service",

"IAM",

"AWS CLI"

],

"certifications":[

"AWS Certified Solutions Architect-Professional",

"AWS Certified SysOps Administrator-Associate",

"Microsoft Certified Solutions Expert Server Infrastructure",

"Microsoft Certified Solutions Expert SharePoint",

"IPA Network Specialist", "IPA Information Security Specialist"

]

}

Agenda

• これまでのDirectory Service

• ブログの会社

• Microsoft ADを使ってみた

2015/12/7 3

これまでのDirectory Service

• Simple ADの中身はSamba4

• Windows ServerのActive Directoryとは「完全な」互換性が無い・・・

• AD Connectorは、ドメインコントローラのプロキシ

2015/12/7 4

そんなとき・・・

2015/12/7 5

キタコレ！

2015/12/7 6

• 「・・・クラメソさんを出し抜けるんじゃね？」

2015/12/7 7

クラスメソッドとは

• ブログの会社（としか思えない）

• Developers.IOというブログを社員総出で書いている（としか思えない）

• 早い（早すぎる）

• たぶん24/365（ブログ的な意味で）

• 大変お世話になっております！

2015/12/7 8

• 「早速検証だ！」（業務時間中だけど）

2015/12/7 9

2015/12/7 10

しかし・・・

2015/12/7 11

2015/12/7 12

メソられた・・・

○|￣|＿2015/12/7 13

でも、せっかくなので公開

2015/12/7 14

Microsoft ADの注目ポイント

• 初期ユーザの権限

• Adminと言いながらあまり権限が無いので要検証（マネージドサービスなのである意味当然）

• Certificate Service DCOM Access

• DNS Admin

• Incomming Forest Trust Builders

• Group Policy Creator Owners

• Domain Users

• リモートデスクトップやPowerShellでの接続もできない

• 閲覧できるログも最小限度しか閲覧できない

• DNS event logs

• security event logs

• フォレスト間信頼に関する設定

• 既存のドメインと連携できる

• スキーマ拡張

• 申請することでできるもよう

2015/12/7 15

これまでできてたこともできる

• VPC上への構築

• VPN ConnectionやDirect Connectによるオンプレミスのサーバとの連携

• IAM Role・STSを利用したWorkSpacesやManagement Consoleとの認証連携

• WorkDocsやWorkMailはまだ見えてない

• スナップショットによるバックアップ

• USNロールバック問題は？

• たぶん、２つあるインスタンスを両方作り直している？（推測）

• AWS CLIでディレクトリの作成・削除など（1.9.11～）

2015/12/7 16

要望

• ADFS連携

• オンプレミスのADからのマイグレーション

2015/12/7 17

おわり

2015/12/7 18