 |
 |
 |
 |
||||
|
 |
 |
 |
 |
|
 |
|
|
各キャリアサポートセンターで、 土曜登録会、出張登録会を開催しております。 |
 |
 |
 |
http://m.pasonatech.co.jp |
 |
|
 |
|
 |
|
 |
|
 |
|
 |
個人情報保護方針 |
| トップページ>派遣>Microsoft University>Windows Server 2008ポイント技術解説 - 第5回 Active Directoryでの新機能 |
第5回 Active Directoryでの新機能
安藤 奈帆子 |
2008ではActive Directory の概念は変わらず大きな変化もありませんが、細かいところに手が届いたという印象を受ける新機能がいろいろあります。
読み取り専用ドメインコントローラ、ドメイン単位でしか設定できなかったパスワードポリシーの改善、日本語環境にはうれしい「ふりがな」機能など、「こうしてほしかった・・・」という思いが実現しています。順にご紹介していきましょう。
2003までの「Active Directory」のサービスだけではなく、2008では他の様々なコンポーネントもActive Directoryと連携するようになりました。
具体的には「Active Directory」という看板をつけたコンポーネントが合計5つ用意されています。
従来の「Active Directory」は「Active Directoryドメインサービス(AD DS)」という名称となりました。
■Active Directoryドメインサービス(AD DS)
セキュリティ性や柔軟性が強化されています。■Active Directory証明書サービス(AD CS)
2003までの証明書サービスの後継版。
特にエンタープライズ環境向けに機能が強化されました。■Active Directoryフェデレーションサービス(AD FS)
2003のR2から提供されていたサービスの後継版。組織の違いを超えて認証の仕組みを連携します。■Active Directoryライトウェイトディレクトリサービス(AD LDS)
2003までの「Active Directory Application Mode(AD AM)」の後継版。
アプリケーション用の認証サービス。■Active Directory Rights Management Services (AD RMS)
Windows Rights Managements Services (RMS)をActive Directoryと統合したもの。
ドキュメントの権限管理やコンテンツ保護などが実現できます。
2008でのAD DSで目玉ともいえる新機能が読み取り専用ドメインコントローラ(RODC)です。読み取り専用と聞くと、NT時代のBDCを思い出す方もいらっしゃるかもしれません。
そもそもRODCが生まれた背景としてはブランチオフィス(支店、支社)展開があります。本社のドメインコントローラ(DC)は厳重に管理されサーバールームに隔離されている場合が多いですが、ブランチオフィスではむき出しにサーバーが置かれてしまっており、盗難などの危険が格段に高い場合が多く見受けられます。そしてそのマシンが盗まれてしまったことによって、全社の情報が漏洩してしまうという事態に発展する危険もあります。
そこで、ブランチオフィスにはRODCを配置し、支店ユーザーからのログオンなどの参照のみを処理させます。書き込みをさせないことによって、ユーザー削除や誤動作による間違った情報が本社のDCへレプリケートされてしまうといったことを防ぐことが可能となり、セキュリティ性を高めることが可能です。またこのRODCはServer Core上にインストールできるため、CoreのマシンをBitLockerで暗号化するといったさまざまな技術を組み合わせて、よりセキュアな状態を維持できます。
RODCのインストールは非常に簡単で、通常のDCと同じ「DCPROMO」を実行します。ウィザード内で「読み取り専用ドメインコントローラ」にチェックを入れることでRODCとなります。 もちろん、ドメイン内の1台目のDCをRODCにすることはできません。
RODCを構成するにはいくつかの条件があります。
まずフォレストとドメインの機能レベルがWindows Server 2003以上となります。さらにそのなかでドメインコントローラである必要があります。この2008がRODCの複製パートナーとなります。
また、同一サイト内の同一ドメインの中ではRODCは1台のみがサポートされています。複数のRODCの導入は、RODC同士の情報を共有しないのでサポートされていません。
RODCのレプリケーションは、書き込み可能な通常のDCからRODCへの一方向の複製となり、RODCディレクトリへの変更はできません。「Active Directoryユーザーとコンピュータ」などの管理ツールでユーザーのプロパティを見ても、RODC上ではグレーアウトし、変更できない状態であるのがわかります。
また、RODCは資格情報(パスワード)をキャッシュします。ユーザーの最初のログオンや、パスワード変更後のログオンの際にユーザーのパスワードキャッシュはRODCに保存されます。この保存の対象となるユーザーを管理者は選択することができるため、ブランチオフィスのメンバだけをキャッシュ保存の対象にすることができます。 またパスワードキャッシュに関する組み込みグループも用意されており、このグループにユーザーやグループを追加することでRODCでの資格情報キャッシュを許可するか、拒否するかを実装できます。
■Allowed RODC Password Replication Group
資格情報(パスワード)キャッシュ許可用グループ。
既定ではメンバが含まれていません。■Denied RODC Password Replication Group
資格情報(パスワード)キャッシュ拒否用グループ。
既定でDomain AdminsやEnterprise Admins、Enterprise Domain Controllers などのグループが登録されています。
また、あってはならない事ですがRODCが盗難にあってしまった場合も、パスワード情報の漏洩が全社的に影響を与えることはありません。盗難後にRODCを「Active Directory ユーザーとコンピュータ」から削除した場合には、キャッシュしているユーザーやコンピュータアカウントのパスワードはリセットされるため、不正なログインを防ぐことが可能となっています。
次に、「きめ細かなパスワードポリシー」を紹介します。
従来の2003までのActive Directoryの場合、パスワードポリシーはドメイン単位にのみ設定ができました。
たとえば一般ユーザーであっても管理者であっても同じレベルでパスワードの長さや変更期間を設定する必要がありました。
管理者だけは、頻繁にパスワードを変えてセキュリティ性を高めたいと考える場合にはドメインを分けるしかありませんでした。
2008では「きめ細かなパスワードポリシー」という機能によって1つのドメイン内でも複数のパスワードポリシーを定義することが可能となっています。 対象となるオブジェクトは、ユーザーオブジェクトやグローバルグループ単位で、コンピュータオブジェクトやOUは対象外となっています。
ただし、設定は少し手間がかかります。方法としてはADSIエディタ、もしくはLdifdeツールを使う2つが用意されています。
- ■ADSIエディタ
- 「adsiedit.msc」でエディタを起動
- ドメインに接続し、「CN=System」、「CN=Password Settings Container」と順に選択
- オブジェクトを作成し、「msDS-PasswordSettings」クラスを選択
- 目的の属性を設定 例)msDS-MinimumPasswordLength(パスワードの長さ) msDS-MaximumPasswordAge(パスワードの有効期限)
- 属性の編集から、適用するユーザーやグループを選択
- ■Ldifdeツール
- 以下のようなldifファイルを作成(一部省略) dn: CN=PSO1, CN=Password Settings Container,CN=System, DC=dc1, DC=test, DC=com
- 次のコマンドをコマンドプロンプトで入力し、ldifファイルをインポートする ldifde -i -f XXXXX.ldf
changetype: add
objectClass: msDS-PasswordSettings
msDS-MaximumPasswordAge:-1728000000000
※ →(有効期間2日)
msDS-MinimumPasswordAge:-864000000000
※ →(変更期間10日)
・・・・・・・
msDS-PSOAppliesTo:CN=user1,CN=Users,DC=dc1,DC=test,DC=com
※(時間関連の値はI8形式という100ナノ秒間隔を負の値で指定すること)
最後に細かい変更点ですが、とても便利だと感じた2つの機能をご紹介します。
日本のActive Directory環境向けに「ふりがな」機能が追加されました。
従来のActive Directoryではふりがなに対応していなかったために、正しくユーザーオブジェクトを並べ替えることができなかったり、検索に手間取っていました。
2008ではユーザーオブジェクトのプロパティに「フリガナ」タブが追加され、並べ替えや検索の対象となっています。
また、グループポリシー管理エディタ(gpedit)では、キーワードによるフィルタリングができるようになりました。 GPOのタイトルや説明文などに対して、フィルタを実行できるので大量のGPOから設定したいオブジェクトを手早く見つけることが可能です。
フィルタを実行した場合には、各ポリシーのフォルダがフィルタ表示されていることがアイコンによってわかるようになっています。
このあたりの内容も含め実際にWindows Server 2008 実機環境にて学習いただけるトレーニングMicrosoft University(MSU)をパソナテックでも定期的に開催しております。
| 第1回 | Windows Server 2008でのサーバー管理 |
|---|---|
| 第2回 | ネットワークアクセス保護(NAP)によるセキュリティの向上 |
| 第3回 | シンプルなOSの提供(Server Core) |
| 第4回 | 仮想化機能 Hyper-V |
| 第5回 | Active Directoryでの新機能 |
お問い合わせ
株式会社パソナテック セミナー事務局
Mail : project@cs.pasonatech.co.jp
TEL : 0120-887004
 ページトップ |
