Active Directory 使い倒し術
W
indows
S
erver
®
2008
R
2
ITライブラリーより (pdf 100冊)
他の章は下記をクリックして
PDF一覧からお入り下さい。
ITライブラリー (pdf 100冊)
http://itlib1.sakura.ne.jp/
目次番号 270番 Windows Server Enterprise 2008 R2
完全解説 (再入門 )
全26冊
ファイル サーバーのユーザーを一ケ所で管理
課題: ファイル サーバーのユーザー管理が大変
解決策:
Active Directory でユーザーの一元管理を実現 システム管理者 ユーザー数やファイル サーバーの増加に より ID 管理は限界!! ID を一元管理し、適正なアクセス権を 付与できないだろうか? :編集可能:Yamazaki :読み取り専用:Takada ファイル サーバー ユーザー Active Directory ユーザーの一元管理が行え、 ファイル サーバーのフォルダなど 様々な共有リソースに対し適正な アクセス管理を実現 また、各リソースへの認証基盤 として利用が可能 :参照不可:Sato A サーバのユーザー B サーバのユーザー 個々のファイル サーバーでそれぞれ ID が管理されている :Takada :Yamazaki :Sato 認証 Active Directory に登録された ID で アクセス権を指定実現! クライアント PC の統制
課題: クライアント PC を一台一台管理するのが大変
解決策: グループ ポリシー / 基本設定の利用による一括設定
PC の設定が バラバラで皆、 やりたい放題… システム管理者 情報漏洩?? 内部統制?? そんなこと、 言われても… グループ ポリシー ドメインのコンピューター、ユーザーに 設定を一括適用 / 設定の強制 xx.bat 設定の一括適用! グループ ポリシーで パスワード ポリシーや壁紙な どの設定も強制できる! 基本設定 コンピューター、ユーザーに 設定を一括適用! もう、面倒くさいバッチは 不要! グループ ポリシーに似ているが、 設定は強制されず、変更可能! 初期設定やこれまでバッチで実行していた 処理の設定に便利! パスワードの設定 がバラバラだよ… 壁紙 / スクリーン セーバーが すごいことに… 「○×を設定して」って 言ってるのに… New簡単!グループ ポリシー活用でコスト削減
課題: 情報漏えい対策や PC の電力に掛かるコスト、またそれに伴う展開コストを削減したい
解決策: USB デバイスのポリシーによる情報漏えい対策 / 電源管理ポリシーによる一括省電力設定
新たに製品導入はもちろん、 各 PC にインストールや 電源設定を行うと、 予想以上にコストが かかってしまう。 USB デバイスのポリシーによる制御 USB デバイスの制御ポリシー USB デバイスの使用に制限を設定できる! 読み取りのみ許可するなど柔軟に管理可能! 一切使用不可 読み取りのみ許可 書き込み NG! A メーカー B メーカー 特定デバイス のみ利用可能! 電源管理ポリシーによる一括省電力設定 電源管理ポリシー 社内 PC の電力設定を統一し、消費電力を抑えること ができる! グループポリシー で一括展開 消費電力 情報漏洩対策 ソフトの導入 この PC に設定ができてない PC 台数の増加で電力料金も 気になる 各 PC への 展開が大変 Windows XP は グループポリシー”基本設定”で対応Active Directory のユーザー復元を容易に
課題: 誤って削除された Active Directory ユーザーの復元が大変
解決策: 削除されたオブジェクトも簡単復旧 / PowerShell を利用して管理を自動化
Active Directory のユーザーを 誤って削除してしまった! バックアップデータから Active Directory の復元は大変・・・ ・復元手順は ? ・復元するバックアップデータは ? ・DC の再起動のタイミングは ? バックアップ データ 復元 削除されたオブジェクトも簡単復旧 ごみ箱から復元 Recycle Bin による削除オブジェクト の復元 削除されたオブジェクトも PowerShell で簡単に復元できる! PowerShell のコマンド 「 Restore-ADObject 」 を実行 バックアップデータ からの復元は不要 GUI での操作は簡単だが、オペレーション ミスが発生しやすい・・・ Active Directory 内PowerShell Active Directory モジュール
ユーザー情報の編集など管理する上で発生する 定型作業を簡単にスクリプト化でき、ミスなく 作業ができ、さらに作業コストの削減ができる! PowerShell を利用して管理を自動化 定型業務を スクリプト化 し、バッチで 実行 ・有効期限が切れたユーザー の取得 ・一定期間ログインされてい ないユーザーの取得 ・ユーザーの一括登録 ・エクセルへグループ情報の エクスポート など Active Directory オブジェクトの管理 が 自動化できる!また、ADSI より簡単! オブジェクト 情報の取得 New
Active Directory のログ取得
課題: Active Directory の操作を「誰が」「いつ」「どのように」行ったのかわからない…
解決策: Active Directory の監査ログの取得
いつのまにか、Active Directory の ユーザーが削除されている Active Directory の監査機能 「誰が」、「いつ」、「どこから」、「何を」、「どのように」といったログの取得ができ る!Windows Server 2008 R2 では、さらに変更前と変更後の情報が記録できる! 新しいイベント ビューア (強化された監査ログ) Active Directory の 監査ログなら ・「誰が」 ・「いつ」 ・「どこから」 ・「何を」 ・「どのように」 変更したのかを確認可能 グループポリシーから設定Active Directory の構成確認と運用監視を簡単に
課題:ドメイン コントローラーが正しく構成されているか不安
解決策: ドメイン コントローラーの構成確認 / 監視
Active Directory ベストプラクティス アナライザー ドメインコントローラーの構成をチェック して、問題があれば対処方法が表示される ので、問題を迅速に解決できる! リソースやネットワークの 状態を表示 社内 ネットワーク ドメイン コントローラーの構成状態が 簡単に確認できないだろうか? どう監視すればいいか分からない Active Directory 関連の情報を収集System Center Operations Manager
メーカー純正の運用監視ツールで Windows Server を一元管理! Active Directory 用の監視テンプレートが提供されて いるので、運用監視も簡単にできる! ドメイン コントローラーが ダウンすると大変 共有ファイルなどの 社内リソースにアクセス できない 全体の構成からドリルダウンし、 エラーの原因、対処策が確認できる ユーザー New
リモート接続を行いたいけど… ・リモート アクセスの設定を行うのが大変 ・接続が切断されるたびに再接続が面倒
社外から社内ネットワークへ安全 / 簡単アクセス
課題: より安全でシンプルなリモートアクセス環境を提供したい
解決策: インターネットに接続するだけで社内ネットワークに安全 / 簡単アクセス
システム管理者 社外からのアクセスをより安全に、 よりシンプルに提供したい 社内ネットワーク 社内で承認された PC からのみ 社内ネットワークの接続を許可 未承認の PC からの 接続は拒否 自動接続 社内ネットワークDirectAccess と Forefront Unified Access Gateway (UAG) 連携
Windows 7 + Windows Server 2008 R2 で実現する 社外から社内ネットワークへ安全・簡単にアクセスできる! スマートカード認証の 強制も可能 DirectAccess サーバー UAG を使うことで DirectAccess サーバーの冗長化と IP v4 の社内ネットワークへの接続が可能に ユーザー インターネット 通信は自動的に 暗号化 New
Windows 標準機能でデジタル証明書、使い放題!
課題: デジタル証明書を使った機能を使いたいのだけれど、コストがかかる…
解決策: Windows 標準搭載の証明機関を活用!無料で証明書を使い放題!
Active Directory 証明書サービス (AD CS)
・Windows Server 2008 R2 に標準で搭載されている証明機関 ・業界標準の x.509v3 準拠の証明書を発行可能 ・デジタル証明書を使った様々なセキュリティ (SSL、S/MIME、EAP-TLS、IC カード など) 強化に利用できる! OS 標準搭載の証明機関だから証明書をどれだけ発行しても無料! 面倒な証明書の発行 / 更新もグループ ポリシーで自動化が可能! Step2. Step1. でも、デジタル証明書の発行 / 管理 / 更新には高いコストが… IC カード、WEB サーバー (SSL) 、メールの暗号化、無線 LAN… デジタル証明書を使った機能は魅力的… 証明機関 AD 証明書サービス (AD CS) ILM 2007 との連携 ILM の証明書管理機能に より IC カード発行が できる!
Windows 標準機能で LDAP サーバーを構築
課題: LDAP サーバーを利用したい
解決策: Active Directory ライトウェイト ディレクトリ サービスによる解決
システム管理者 AD LDS サーバー アカウント 情報の複製 Active Directory 以外の情報を拡張し、 アプリケーションデータとして利用 管理されたユー ザー情報 Active Directory ライトウェイト ディレクトリ サービス (AD LDS) ① OS 標準機能として提供されている LDAP サービスで、低コストにて LDAP サーバーを構築② ベースは Active Directory (AD) と 同じなので AD との親和性が高く、 AD の情報を拡張して様々な活用が可能 ① LDAP 対応のアプリケーションを導入 するために LDAP サーバーを構築したい ② ID 情報としては、 Active Directory を利用したいが、アプリケーション用に スキーマ拡張はしたくない LDAP サーバー Active Directory その他の アプリケーション IDを登録 LDAP 対応 アプリケーション LDAP 対応 アプリケーション
複数システムの ID / パスワードを統一!
課題: システムごとの ID / パスワードがバラバラでどれがどれだか…
解決策: Identity Lifecycle Manager 2007 でシステム間の ID を自動同期
システムごとに ID / パスワードが 違うと不便… セキュリティも不安 でも、どうしたら… ID : tanaka PWD:1041 ID :tana01 PWD: acse ID : salesu21 PWD: 243kb ID : man02 PWD: dB94 どれがどれだっけ?? AD Notes ID 同期 Oracle ID : tanaka PWD:1041 ILM2007 の ID / パスワードの同期機能で 複数のシステムの ID / パスワードを統一!
Identity Lifecycle Manager 2007 (ILM 2007) ILM 2007 で異種分散ディレクトリ環境の ID / パスワードの統合管理を実現! これでユーザーが覚えなくてはならない ID / パスワードは一つに! ILM 2007 どのシステムでも 同じ ID / パスワード で利用可能! その他の業務システム
もう怖くない!人事異動!
課題: 複数システムのアカウント情報 (ID やパスワード) のメンテナンスが大変!
解決策: Identity Lifecycle Manager 2007 による ID 管理システムの構築
AD DS Notes 人事マスタ Oracle 人事異動の度に… 各 ID データベースで 変更作業が発生… 変更情報 派遣社員の 登録依頼 人事異動があると ID データベースの メンテナンスが 大変! 会社を退職した 人のアカウントの 消し忘れがないか 心配… AD Notes 人事マスタ その他の業務システム ID 同期 Oracle ILM 2007 の ID / パスワードの同期機能で 複数システムの ID / パスワードを統一! ILM 2007
Identity Lifecycle Manager 2007 (ILM 2007)
複数システムの ID / パスワードの 同期ができる!
手作業による登録/変更/削除ではないの で、入力漏れやミスの心配は無用!
Windows Server 2008 / R2 Active Directory の新機能
新機能 内容 ドメイン機能のサービス化 ドメイン機能のサービス化により、更新プログラムの適用やオフライン最適化など、ドメイン コントローラの定期的な保守作業を、サーバーを再起動せずに実施できます。 読み取り専用ドメイン コントローラ 読み取り専用 ドメイン コントローラー (RODC) を使用すると、組織は、物理的な セキュリティを保証できない場所でもドメイン コントローラを簡単に展開できます。 RODC では、 Active Directory ドメイン サービス (AD DS) データベースの読み取り専用パーティ ションがホストされます。 ふりがな属性の追加 ふりがな属性が追加され、ふりがなでソート、検索が可能になりました。ふりがな属性が追加された項目は以下の通りです。 姓 / 名 / 表示名 / 会社名 / 部署 きめ細かなパスワード ポリシー 細かい設定が可能なパスワード ポリシーを使用すると、1 つのドメイン内に複数のパスワード ポリシーを指定でき、ドメイン内のユーザー セットごとに、パスワードとアカウ ント ロックアウトのポリシーに指定した異なる制限を適用できます。 Active Directory のスナップショット 参照Active Directory データベース マウント ツール (Dsamain.exe) により、組織の
回復手順を強化できます。このツールを使用すると、別々の時間に取得したスナップショット やバックアップに存在するデータを比較できるので、データの損失があった 場合にどのデータを復元するかをより適切に判断できます。そのため、Active Directory デー タを比較するときに、データを含む複数のバックアップを復元する必要がなくなります。 オフライン ドメイン参加 (Windows Server 2008 R2 新機能) オフライン ドメイン参加を使用するとオフライン状態からコンピューターをドメインに参加さ せることができます。コンピューターをドメインに参加させることができるのは、オペレー ティング システムのインストール後にコンピューターを初めて起動するときです。また、コン ピューターを再起動しなくても、ドメイン参加を完了させることができます。これにより、 データセンターなどの場所でコンピューターの大規模展開を完了するのに必要な時間と手間を 減らすことができます。
PowerShell 2.0 と Recycle Bin の対応 (Windows Server 2008 R2 新機能)
Windows Server 2008 R2 では、Active Directory module を PowerShell 2.0 に組み込む と、Active Directory のオブジェクトやドメイン コントローラー、およびパスワード ポリ シーを管理したり、これらを新しく作成でき、スクリプトベースでの管理が可能です。 Windows Server 2008 R2 ネイティブ環境で、 Recycle Bin を有効化すると、削除されたオ ブジェクトをバックアップデータを利用する事なく、 PowerShell から簡単に復元ができます。
構成例と価格( 1/2 )
1,000 ユーザーを AD で管理した構成
• ハードウェア、SI 費用、Active Directory 構築費用は含まれておりません • 記載の価格は、2009 年 9 月の参考価格です (参考価格は、Select の価格レベル A の新規ライセンス (L) + SA 3 年分で算出しております) • お客様の実際のお支払額は、お客様のご注文先である LAR 様、販売会社様との間で決定されます • 実環境に沿った設計、見積りが別途必要となります ドメイン コントローラ Windows Server 2008 R2 Standard x64 × 2 台 利用ユーザー 1,000 人
構成例 (冗長性を考慮した構成)
ILM 2007 で ID 同期を行う構成 クライアント PC x 1,000 台 ILM 2007 × 1台 、Windows Server 2008 Enterprise (x86) × 1 台 SQL Server 2005 Standard × 1 台
Windows Server 2008 R2 Standard × 2, Windows Server CAL × 1,000
参考価格: ¥
6,609,000-Windows Server 2008 Enterprise × 1, ILM 2007 × 1, SQL Server 2005 Standard (1 プロセッサ) × 1
参考価格: ¥
構成例と価格 (2/2)
1,000 ユーザー (同時接続数: 500 ユーザー) で DirectAccess を利用する構成
• ハードウェア、SI 費用、Active Directory 構築費用、Active Directory 用の Windows Server ライセンスは含まれておりません
• Forefront Unified Access Gateway は 2009 年 10 月現在リリースされていない為、本構成の価格に含まれておりません
• 記載の価格は、2009 年 10 月の参考価格です
(参考価格は、Select の価格レベル A の新規ライセンス (L) + SA 3 年分で算出しております) • お客様の実際のお支払額は、お客様のご注文先である LAR 様、販売会社様との間で決定されます • 実環境に沿った設計、見積りが別途必要となります
ドメイン コントローラー
Windows Server 2008 R2 Standard クライアント PC
x 1,000 台
構成例 (DirectAccess を用いたリモート接続)
ダイレクト アクセス サーバー
Windows Server 2008 R2 Standard × 2
Windows Server 2008 R2 Standard × 2, Windows Server CAL × 1,000
6,609,000-導入事例 (Active Directory)
◼ 部門サーバーの運用コスト削減を目指し、Active Directory を導入
(製造業 A 社)
➢ それぞれの部門毎に個別管理されていた約 6,000 台のファイルサーバーを
Active Directory に統合
➢ 各管理者の運用コストを集約する事により、 1 億 8,000 万円の隠れたコストを削減
➢ RODC (読み取り専用ドメインコントローラー) を活用し、資産の有効活用と拠点管理者の
管理コスト削減 (年間 500 万円) をさらに目指す
◼ ユーザー管理に関する課題解決、システム管理工数の削減 (金融業 B 社)
➢ 権限に応じた複数のパスワードポリシーを利用する事で、セキュリティの確保と利便性
向上の両立を実現
➢ WDS (Windows 展開サービス) を利用し 108 支店の PC を一括展開、管理工数の削減
➢ NAP (ネットワーク アクセス保護) により、約 2,000 台の PC に対して更新プログラムや
最新ウィルス定義ファイルの適用状況のチェックを行い管理工数を削減
Windows Server 2008 導入事例はこちらからアクセス
http://www.microsoft.com/japan/windowsserver2008/casestudies/default.mspx
2014 年 2013 年 2010 年 2011 年 2012 年 2015 年 2016 年 2017 年 2009 年 •マイクロソフトの Web サイトでの 製品情報提供 Windows Server のサポート ライフサイクルは以下のとおりです。 Windows 2000 Server はまもなく延長サポート終了です。新バージョン移行へのご計画を早期にお願いいたします。
サポート ライフサイクル
マイクロソフトは、ビジネス製品および開発用製品について、 最短でも 10 年間 (メインストリーム サポート フェーズ 5 年間、および延長サポート フェーズ 5 年間) サポートを提供します。 • 上記はビジネス製品および開発用製品についての情報です。 • コンシューマ製品、 ハードウェア製品、 マルチメディア製品、 および Microsoft Dynamics 製品については、 最短でも 5 年間のメインストリーム サポートを提供します。 • 詳細については、マイクロソフトのサポート ライフサイクルの Web サイトをご覧ください。http://support.microsoft.com/lifecycle/ 1 年 2 年 3 年 4 年 5 年 6 年 7 年 8 年 9 年 10 年 メインストリーム サポート 延長サポート •製品の仕様変更、 機能追加 •セキュリティ更新 プログラム提供 •セキュリティ以外の 更新プログラムのリ クエスト •無償サポート •有償サポート メインストリーム サポート •セキュリティ更新 プログラム提供 •セキュリティ以外の 更新プログラムのリ クエスト (別途契約が必要) •有償サポート 延長サポート メインストリーム サポート メインストリーム サポート オンライン セルフ ヘルプ サポート オンライン セルフ ヘルプ サポート 延長サポート 延長サポート 延長サポート 2010 年 7 月終了Windows Server 2008 R2 をお勧めします
2015 年 7 月終了+
関連リソース
ステップバイ ステップ ガイド
・ Windows Server 2008 の Active Directory ドメイン サービスのインストールおよび削除 ・ 読み取り専用ドメイン コントローラ など
技術情報
「Windows Server 2008 TechCenter」で検索
Windows Server 2008 TechCenter
本 Web サイトには、Windows Server 2008 の評価・導入に役立つ技術情報が 掲載されています。機能説明、ステップ バイ ステップ ガイドなど、
Windows Server 2008 / Windows Server 2008 R2 の評価・導入にお役立てください。
http://technet.microsoft.com/ja-jp/library/cc770946(WS.10).aspx
Webcast
デモンストレーションでよくわかる Windows Server 2008 R2 Webcast 「Active Directory ドメイン サービス / ファイル サーバーの強化点」
Windows Server 2008 R2 で強化された Active Directory ドメインサービス (AD DS) とファイル サーバー関連の新機能を紹介をさせていただきます。
ご都合のよい時間に視聴下さい。
http://www.microsoft.com/japan/windowsserver2008/r2/webcast/default.mspx Web Cast
Windows Server 2008 Webcast
Active Directory ドメイン サービス 新機能と機能強化
本 Webcast では、Windows Server 2008 の Active Directory の 新機能・強化点をデモンストレーションを交えながら
およそ30分程度でご紹介します。ご都合のよい時間に視聴下さい。
