仕組みがわかるActive Directory

Post on 28-May-2015

4.848 views 2 download

Preview:

Click to see full reader
Report this document
SHARE

description

2013年8月31日開催「Windows インフラエンジニア ビギナーズDay」のセッションスライドです。

Transcript of 仕組みがわかるActive Directory

仕組みがわかるActive Directory株式会社ソフィアネットワーク

国井 傑 (くにい すぐる)

スライドは↓こちら↓からダウンロードhttp://www.slideshare.net/sugurukunii/

自己紹介

Copyright 2013 Sophia Network Ltd.2

Microsoft MVP for Directory Services (2006~2014)

マイクロソフト認定トレーナー(1997~)

ブログAlways on the clock

@sophiakunii

株式会社ソフィアネットワーク 所属

ブログ + 連載

スライドは↓こちら↓からダウンロードhttp://www.slideshare.net/sugurukunii/

http://gravatar.com/e1fb8058e63b3ba2706f7ac43a43fc47
http://gravatar.com/e1fb8058e63b3ba2706f7ac43a43fc47
http://www.takashimedia.com/blog/wp-content/uploads/2011/11/twitter-logo.jpg
http://www.takashimedia.com/blog/wp-content/uploads/2011/11/twitter-logo.jpg
https://www.computerworld.jp/
https://www.computerworld.jp/

こんな人に聞いてもらいたい

Active Directoryという言葉はよく聞くけど、それ以上は... な人

会社の偉い人に頼まれて、ユーザーを作ったことはあるけど、それが何を意味するのか、よくわからない人

会社のIT担当になったけど、どうすればよいか、わからない人

Copyright 2013 Sophia Network Ltd.3

スライドは↓こちら↓からダウンロードhttp://www.slideshare.net/sugurukunii/

これからお話しすること

1. ドメインの仕組み

2. 認証/承認のシステムとしてのActive Directory

3. ディレクトリサービスとしてのActive Directory

4. 一元管理を実現する仕組みとしてのActive Directory

Copyright 2013 Sophia Network Ltd.4

スライドは↓こちら↓からダウンロードhttp://www.slideshare.net/sugurukunii/

Active Directoryに対するイメージ

Copyright 2013 Sophia Network Ltd.5

2013年国井調べによる

スライドは↓こちら↓からダウンロードhttp://www.slideshare.net/sugurukunii/

ドメインの仕組み

Copyright 2013 Sophia Network Ltd.6

ドメインとは?Active Directoryとは?ドメインとは何か?と聞かれたら、私は大まかにこのように答えています。

相手が「管理者」だったら

相手が「利用者」だったら

Copyright 2013 Sophia Network Ltd.7

ドメインとは?Active Directoryとは?

ドメイン=機能の名称

Active Directory=マイクロソフトの登録商標

つまり、、

Copyright 2013 Sophia Network Ltd.8

Active Directoryの仕組み ~ 概要編Active Directoryは「ドメイン」という単位で管理する

ドメインには、1台以上の「ドメインコントローラー」というサーバーが必要

ドメインに管理されるコンピューターは「ドメインに参加する」という設定が必要

Copyright 2013 Sophia Network Ltd.9

Active Directoryの仕組み ~ 概要編ドメインに参加するコンピューターはドメインコントローラーに格納されたユーザー情報を利用してサインインすることができる

ドメインにサインインしたユーザーはドメインに参加する、ほかのコンピューターにアクセスできる (ただし、アクセス許可がないユーザーはアクセスできない)

Copyright 2013 Sophia Network Ltd.10

Active DirectoryではKerberos(ケルベロス)と呼ばれるテクノロジーを使って、認証と承認を行う

Active Directoryの仕組み ~ ちょっと細かい話

Copyright 2013 Sophia Network Ltd.11

ドメインコントローラーは重要なサーバーなので複数台で運用することが多い

事業所ごとにドメインコントローラーを設置して運用することも可能

Active Directoryの仕組み ~ ドメインコントローラー編

Copyright 2013 Sophia Network Ltd.12

事業所ごとにドメインコントローラーを設置して運用する場合、「サイト」を設定することで、PCは近くのドメインコントローラーにアクセスできる

Active Directoryの仕組み ~ サイト編

Copyright 2013 Sophia Network Ltd.13

認証/承認のシステムとしてのActive Directory

Copyright 2013 Sophia Network Ltd.14

ワークグループではそれぞれのサーバーにアクセスするごとに認証が必要。だから、ドメインを利用して1回の認証(サインイン)で、すべてのサーバーにアクセスできるような仕組みが重宝される

ドメインとは1回のサインインでアクセスできる範囲

Copyright 2013 Sophia Network Ltd.15

1回のサインインでアクセスできる範囲を「ドメイン」と呼ぶが、2つ以上のドメインを「信頼関係」という設定で連携させることで、アクセスできる範囲を拡張可能

信頼関係=1回のサインインでアクセスできる範囲を拡張

Copyright 2013 Sophia Network Ltd.16

信頼関係が使われるケース会社の構造に合わせてドメインを分割して運用するケースがよく見られる

Copyright 2013 Sophia Network Ltd.17

クラウドとの信頼関係クラウドはドメインに参加していないので、別途サインインが必要

Active Directoryフェデレーションサービス(ADFS)を活用すれば、クラウドを「1回のサインインでアクセスできる範囲」にできる

Copyright 2013 Sophia Network Ltd.

Active Directoryでは認証時に、ユーザーの認証だけでなく、コンピューターの認証も行っている

コンピューター認証用パスワードは30日に一度変更し、クライアントとの間で同期

ところで…ドメインに参加する設定はなぜ必要?

Copyright 2013 Sophia Network Ltd.19

コンピューターパスワードは片方だけで変更されると認証できなくなる

長期間ドメインにサインインしていないコンピューター

仮想マシンをスナップショットで以前の状態に戻したとき

ところで…ドメインに参加する設定はなぜ必要?

Copyright 2013 Sophia Network Ltd.20

コンピューターパスワードは片方だけで変更されると認証できなくなる

長期間ドメインにサインインしていないコンピューター

仮想マシンをスナップショットで以前の状態に戻したとき

ところで…ドメインに参加する設定はなぜ必要?

Copyright 2013 Sophia Network Ltd.21

必要に応じてコンピューターパスワードは変更しないように設定すること

グループポリシーから設定可能 (グループポリシーについては後述)

ところで…ドメインに参加する設定はなぜ必要?

Copyright 2013 Sophia Network Ltd.22

ディレクトリサービスとしてのActive Directory

Copyright 2013 Sophia Network Ltd.23

ディレクトリサービスとは?会社の様々な情報をまとめて記憶し、いつでも参照できるようにするための仕組み

オブジェクトとプロパティという関係で情報が保存される

Copyright 2013 Sophia Network Ltd.24

Active Directoryに登録できるオブジェクトとプロパティ

Copyright 2013 Sophia Network Ltd.25

【参考】プロパティに表示される名前は属性名と一致しない

Copyright 2013 Sophia Network Ltd.26

一般のプロパティには表示されない属性もある

Copyright 2013 Sophia Network Ltd.27

Get-ADUser -Filter * -Properties logonCount | ft name,logoncount

ディレクトリサービスとしてActive Directoryを有効活用Active Directoryは単純にユーザー名・パスワードを登録するだけではもったいない!

情報を登録しておけば、登録された情報をもとにアクセス制御ができる

Copyright 2013 Sophia Network Ltd.28

【参考】ダイナミックアクセス制御Windows Server 2012から利用可能なアクセス制御方法

ユーザーの属性とフォルダーの属性をそれぞれ設定し、条件に一致する場合だけ、アクセス許可を与える

コンピューターの属性を条件にアクセス許可を設定することも可能 (Win8のみ)

Copyright 2013 Sophia Network Ltd.29

トークンベースのアクセス制御Active Directoryフェデレーションサービス(ADFS)の活用

Copyright 2013 Sophia Network Ltd.30

Active Directoryではユーザー情報をもとに承認を行うのに対して、ADFSではサーバーが必要とする情報をもとに承認(認可)を行う→ 必ずしもユーザー情報は必要でないので、個人情報を晒すことなくサーバーにアクセスできる

トークンベースのアクセス制御

Copyright 2013 Sophia Network Ltd.31

一元管理を実現する仕組みとしてのActive Directory

Copyright 2013 Sophia Network Ltd.32

会社で管理すること、それは「制限」することであるActive Directoryに登録された情報(ユーザー/コンピューター)が会社にとって良くないことをしないように制限したい

Copyright 2013 Sophia Network Ltd.33

グループポリシーを利用して制限グループポリシーとはActive Directoryに付属する機能で、ドメインに参加するコンピューターやユーザーに対して、様々な制限を行う機能

Copyright 2013 Sophia Network Ltd.34

グループポリシーを使う[サーバーマネージャー]から[表示]-[グループポリシーの管理]で管理ツールにアクセス

Copyright 2013 Sophia Network Ltd.35

複数のGPOを割り当てられる。だけどシンプルが基本。

Copyright 2013 Sophia Network Ltd.36

グループポリシーの特徴を踏まえてOUを設計GPOはドメインまたはOUに割り当てられる

OUはドメインのユーザーやコンピューターなどを「まとめる」役割がある

Copyright 2013 Sophia Network Ltd.37

GPOの設定

Copyright 2013 Sophia Network Ltd.38

グループポリシーで、よく「使われる」設定/よく「使いたい」設定アプリケーション実行の制限

[コンピューターの構成]-[ポリシー]-[Windowsの設定]-[セキュリティの設定]-[アプリケーション制限ポリシー]-[AppLocker]

コントロールパネル利用の制限[ユーザーの構成]-[ポリシー]-[管理用テンプレート]-[コントロールパネル]-[コントロールパネルとPC設定へのアクセスを禁止する]

ゲーム利用の制限[ユーザーの構成]-[ポリシー]-[管理用テンプレート]-[タスクバーと[スタート]メニュー]-[[スタート]メニューから[ゲーム]アイコンを削除する]

指定したWi-Fi接続のみ許可[コンピューターの構成]-[ポリシー]-[Windowsの設定]-[セキュリティの設定]-[ワイヤレスネットワークポリシー]

Copyright 2013 Sophia Network Ltd.39

グループポリシーで、よく「使われる」設定/よく「使いたい」設定ドライブ文字の割り当て

[ユーザーの構成]-[基本設定]-[Windowsの設定]-[ドライブマップ]

Copyright 2013 Sophia Network Ltd.40

グループポリシーで、よく「使われる」設定/よく「使いたい」設定アクセス監査の設定

[コンピューターの構成]-[ポリシー]-[Windowsの設定]-[セキュリティの設定]-[監査ポリシーの詳細な構成]-[監査ポリシー]

監査結果はイベントビューアのセキュリティログより確認可能

Copyright 2013 Sophia Network Ltd.41

グループポリシーの項目数は3438!でもどうやって調べる?グループポリシーの設定項目がたくさんあっても、存在を知らなければ宝の持ち腐れ。そこで、調べ方を覚えておきましょう。

方法1:GPOの検索

Copyright 2013 Sophia Network Ltd.42

グループポリシーの項目数は3438!でもどうやって調べる?方法2:Excelシートで一覧の確認Group Policy Settings Reference for Windows and Windows Server http://www.microsoft.com/en-us/download/details.aspx?displaylang=en&id=25250

Copyright 2013 Sophia Network Ltd.43

まとめActive Directoryは単純にユーザーを登録するデータベースではない!

認証/承認システムとして、認証・承認を集中管理できるだけでなく、拡張が可能

ディレクトリサービスとして、様々な属性を登録することで、後から参照したり、アクセス制御の仕組みとして流用できる

一元管理を実現する仕組みとして、グループポリシーによるドメイン参加のPCに対する制限・制御ができる

Copyright 2013 Sophia Network Ltd.44

Microsoft Confidential45

We don’t even have to try,It’s always a good time.

from “good time” by owl city & carly rae jepsen

Top related

Eindwerk: Linux Active Directory Emulatie 1users.telenet.be/lade/Linux Active Directory thesis.pdfEindwerk: Linux Active Directory Emulatie 5 2. Wat is Active Directory Als men het
 Documents
Active Directory Directory Searcher
 Documents
dit.urfu.ru · Web viewКаталог объектов Microsoft Active Directory. Включает в себя домен Active Directory «at.urfu.ru», лес Active Directory
 Documents
Manage Engine Active Directory Auditing Sunumu(Active Directory Denetimi)
 Documents
Active-Directory-Zertifikatdienste (PKI) Installieren ... · 2 Active-Directory-Zertifikatdienste (PKI) Installieren & konfigurieren Active Directory-Zertifikatdienst Installieren
 Documents
Active Directory
 Documents

Copyright © 2022 FDOCUMENT