仕組みがわかるActive Directory

45
仕組みがわかるActive Directory 株式会社ソフィアネットワーク 国井 傑 (くにい すぐる) スライドは↓こちら↓からダウンロード http://www.slideshare.net/sugurukunii/

description

2013年8月31日開催「Windows インフラエンジニア ビギナーズDay」のセッションスライドです。

Transcript of 仕組みがわかるActive Directory

Page 1: 仕組みがわかるActive Directory

仕組みがわかるActive Directory株式会社ソフィアネットワーク

国井 傑 (くにい すぐる)

スライドは↓こちら↓からダウンロードhttp://www.slideshare.net/sugurukunii/

Page 2: 仕組みがわかるActive Directory

自己紹介

Copyright 2013 Sophia Network Ltd.2

Microsoft MVP for Directory Services (2006~2014)

マイクロソフト認定トレーナー(1997~)

ブログAlways on the clock

@sophiakunii

株式会社ソフィアネットワーク 所属

ブログ + 連載

スライドは↓こちら↓からダウンロードhttp://www.slideshare.net/sugurukunii/

http://gravatar.com/e1fb8058e63b3ba2706f7ac43a43fc47
http://gravatar.com/e1fb8058e63b3ba2706f7ac43a43fc47
http://www.takashimedia.com/blog/wp-content/uploads/2011/11/twitter-logo.jpg
http://www.takashimedia.com/blog/wp-content/uploads/2011/11/twitter-logo.jpg
https://www.computerworld.jp/
https://www.computerworld.jp/
Page 3: 仕組みがわかるActive Directory

こんな人に聞いてもらいたい

Active Directoryという言葉はよく聞くけど、それ以上は... な人

会社の偉い人に頼まれて、ユーザーを作ったことはあるけど、それが何を意味するのか、よくわからない人

会社のIT担当になったけど、どうすればよいか、わからない人

Copyright 2013 Sophia Network Ltd.3

スライドは↓こちら↓からダウンロードhttp://www.slideshare.net/sugurukunii/

Page 4: 仕組みがわかるActive Directory

これからお話しすること

1. ドメインの仕組み

2. 認証/承認のシステムとしてのActive Directory

3. ディレクトリサービスとしてのActive Directory

4. 一元管理を実現する仕組みとしてのActive Directory

Copyright 2013 Sophia Network Ltd.4

スライドは↓こちら↓からダウンロードhttp://www.slideshare.net/sugurukunii/

Page 5: 仕組みがわかるActive Directory

Active Directoryに対するイメージ

Copyright 2013 Sophia Network Ltd.5

2013年国井調べによる

スライドは↓こちら↓からダウンロードhttp://www.slideshare.net/sugurukunii/

Page 6: 仕組みがわかるActive Directory

ドメインの仕組み

Copyright 2013 Sophia Network Ltd.6

Page 7: 仕組みがわかるActive Directory

ドメインとは?Active Directoryとは?ドメインとは何か?と聞かれたら、私は大まかにこのように答えています。

相手が「管理者」だったら

相手が「利用者」だったら

Copyright 2013 Sophia Network Ltd.7

Page 8: 仕組みがわかるActive Directory

ドメインとは?Active Directoryとは?

ドメイン=機能の名称

Active Directory=マイクロソフトの登録商標

つまり、、

Copyright 2013 Sophia Network Ltd.8

Page 9: 仕組みがわかるActive Directory

Active Directoryの仕組み ~ 概要編Active Directoryは「ドメイン」という単位で管理する

ドメインには、1台以上の「ドメインコントローラー」というサーバーが必要

ドメインに管理されるコンピューターは「ドメインに参加する」という設定が必要

Copyright 2013 Sophia Network Ltd.9

Page 10: 仕組みがわかるActive Directory

Active Directoryの仕組み ~ 概要編ドメインに参加するコンピューターはドメインコントローラーに格納されたユーザー情報を利用してサインインすることができる

ドメインにサインインしたユーザーはドメインに参加する、ほかのコンピューターにアクセスできる (ただし、アクセス許可がないユーザーはアクセスできない)

Copyright 2013 Sophia Network Ltd.10

Page 11: 仕組みがわかるActive Directory

Active DirectoryではKerberos(ケルベロス)と呼ばれるテクノロジーを使って、認証と承認を行う

Active Directoryの仕組み ~ ちょっと細かい話

Copyright 2013 Sophia Network Ltd.11

Page 12: 仕組みがわかるActive Directory

ドメインコントローラーは重要なサーバーなので複数台で運用することが多い

事業所ごとにドメインコントローラーを設置して運用することも可能

Active Directoryの仕組み ~ ドメインコントローラー編

Copyright 2013 Sophia Network Ltd.12

Page 13: 仕組みがわかるActive Directory

事業所ごとにドメインコントローラーを設置して運用する場合、「サイト」を設定することで、PCは近くのドメインコントローラーにアクセスできる

Active Directoryの仕組み ~ サイト編

Copyright 2013 Sophia Network Ltd.13

Page 14: 仕組みがわかるActive Directory

認証/承認のシステムとしてのActive Directory

Copyright 2013 Sophia Network Ltd.14

Page 15: 仕組みがわかるActive Directory

ワークグループではそれぞれのサーバーにアクセスするごとに認証が必要。だから、ドメインを利用して1回の認証(サインイン)で、すべてのサーバーにアクセスできるような仕組みが重宝される

ドメインとは1回のサインインでアクセスできる範囲

Copyright 2013 Sophia Network Ltd.15

Page 16: 仕組みがわかるActive Directory

1回のサインインでアクセスできる範囲を「ドメイン」と呼ぶが、2つ以上のドメインを「信頼関係」という設定で連携させることで、アクセスできる範囲を拡張可能

信頼関係=1回のサインインでアクセスできる範囲を拡張

Copyright 2013 Sophia Network Ltd.16

Page 17: 仕組みがわかるActive Directory

信頼関係が使われるケース会社の構造に合わせてドメインを分割して運用するケースがよく見られる

Copyright 2013 Sophia Network Ltd.17

Page 18: 仕組みがわかるActive Directory

クラウドとの信頼関係クラウドはドメインに参加していないので、別途サインインが必要

Active Directoryフェデレーションサービス(ADFS)を活用すれば、クラウドを「1回のサインインでアクセスできる範囲」にできる

Copyright 2013 Sophia Network Ltd.

Page 19: 仕組みがわかるActive Directory

Active Directoryでは認証時に、ユーザーの認証だけでなく、コンピューターの認証も行っている

コンピューター認証用パスワードは30日に一度変更し、クライアントとの間で同期

ところで…ドメインに参加する設定はなぜ必要?

Copyright 2013 Sophia Network Ltd.19

Page 20: 仕組みがわかるActive Directory

コンピューターパスワードは片方だけで変更されると認証できなくなる

長期間ドメインにサインインしていないコンピューター

仮想マシンをスナップショットで以前の状態に戻したとき

ところで…ドメインに参加する設定はなぜ必要?

Copyright 2013 Sophia Network Ltd.20

Page 21: 仕組みがわかるActive Directory

コンピューターパスワードは片方だけで変更されると認証できなくなる

長期間ドメインにサインインしていないコンピューター

仮想マシンをスナップショットで以前の状態に戻したとき

ところで…ドメインに参加する設定はなぜ必要?

Copyright 2013 Sophia Network Ltd.21

Page 22: 仕組みがわかるActive Directory

必要に応じてコンピューターパスワードは変更しないように設定すること

グループポリシーから設定可能 (グループポリシーについては後述)

ところで…ドメインに参加する設定はなぜ必要?

Copyright 2013 Sophia Network Ltd.22

Page 23: 仕組みがわかるActive Directory

ディレクトリサービスとしてのActive Directory

Copyright 2013 Sophia Network Ltd.23

Page 24: 仕組みがわかるActive Directory

ディレクトリサービスとは?会社の様々な情報をまとめて記憶し、いつでも参照できるようにするための仕組み

オブジェクトとプロパティという関係で情報が保存される

Copyright 2013 Sophia Network Ltd.24

Page 25: 仕組みがわかるActive Directory

Active Directoryに登録できるオブジェクトとプロパティ

Copyright 2013 Sophia Network Ltd.25

Page 26: 仕組みがわかるActive Directory

【参考】プロパティに表示される名前は属性名と一致しない

Copyright 2013 Sophia Network Ltd.26

Page 27: 仕組みがわかるActive Directory

一般のプロパティには表示されない属性もある

Copyright 2013 Sophia Network Ltd.27

Get-ADUser -Filter * -Properties logonCount | ft name,logoncount

Page 28: 仕組みがわかるActive Directory

ディレクトリサービスとしてActive Directoryを有効活用Active Directoryは単純にユーザー名・パスワードを登録するだけではもったいない!

情報を登録しておけば、登録された情報をもとにアクセス制御ができる

Copyright 2013 Sophia Network Ltd.28

Page 29: 仕組みがわかるActive Directory

【参考】ダイナミックアクセス制御Windows Server 2012から利用可能なアクセス制御方法

ユーザーの属性とフォルダーの属性をそれぞれ設定し、条件に一致する場合だけ、アクセス許可を与える

コンピューターの属性を条件にアクセス許可を設定することも可能 (Win8のみ)

Copyright 2013 Sophia Network Ltd.29

Page 30: 仕組みがわかるActive Directory

トークンベースのアクセス制御Active Directoryフェデレーションサービス(ADFS)の活用

Copyright 2013 Sophia Network Ltd.30

Page 31: 仕組みがわかるActive Directory

Active Directoryではユーザー情報をもとに承認を行うのに対して、ADFSではサーバーが必要とする情報をもとに承認(認可)を行う→ 必ずしもユーザー情報は必要でないので、個人情報を晒すことなくサーバーにアクセスできる

トークンベースのアクセス制御

Copyright 2013 Sophia Network Ltd.31

Page 32: 仕組みがわかるActive Directory

一元管理を実現する仕組みとしてのActive Directory

Copyright 2013 Sophia Network Ltd.32

Page 33: 仕組みがわかるActive Directory

会社で管理すること、それは「制限」することであるActive Directoryに登録された情報(ユーザー/コンピューター)が会社にとって良くないことをしないように制限したい

Copyright 2013 Sophia Network Ltd.33

Page 34: 仕組みがわかるActive Directory

グループポリシーを利用して制限グループポリシーとはActive Directoryに付属する機能で、ドメインに参加するコンピューターやユーザーに対して、様々な制限を行う機能

Copyright 2013 Sophia Network Ltd.34

Page 35: 仕組みがわかるActive Directory

グループポリシーを使う[サーバーマネージャー]から[表示]-[グループポリシーの管理]で管理ツールにアクセス

Copyright 2013 Sophia Network Ltd.35

Page 36: 仕組みがわかるActive Directory

複数のGPOを割り当てられる。だけどシンプルが基本。

Copyright 2013 Sophia Network Ltd.36

Page 37: 仕組みがわかるActive Directory

グループポリシーの特徴を踏まえてOUを設計GPOはドメインまたはOUに割り当てられる

OUはドメインのユーザーやコンピューターなどを「まとめる」役割がある

Copyright 2013 Sophia Network Ltd.37

Page 38: 仕組みがわかるActive Directory

GPOの設定

Copyright 2013 Sophia Network Ltd.38

Page 39: 仕組みがわかるActive Directory

グループポリシーで、よく「使われる」設定/よく「使いたい」設定アプリケーション実行の制限

[コンピューターの構成]-[ポリシー]-[Windowsの設定]-[セキュリティの設定]-[アプリケーション制限ポリシー]-[AppLocker]

コントロールパネル利用の制限[ユーザーの構成]-[ポリシー]-[管理用テンプレート]-[コントロールパネル]-[コントロールパネルとPC設定へのアクセスを禁止する]

ゲーム利用の制限[ユーザーの構成]-[ポリシー]-[管理用テンプレート]-[タスクバーと[スタート]メニュー]-[[スタート]メニューから[ゲーム]アイコンを削除する]

指定したWi-Fi接続のみ許可[コンピューターの構成]-[ポリシー]-[Windowsの設定]-[セキュリティの設定]-[ワイヤレスネットワークポリシー]

Copyright 2013 Sophia Network Ltd.39

Page 40: 仕組みがわかるActive Directory

グループポリシーで、よく「使われる」設定/よく「使いたい」設定ドライブ文字の割り当て

[ユーザーの構成]-[基本設定]-[Windowsの設定]-[ドライブマップ]

Copyright 2013 Sophia Network Ltd.40

Page 41: 仕組みがわかるActive Directory

グループポリシーで、よく「使われる」設定/よく「使いたい」設定アクセス監査の設定

[コンピューターの構成]-[ポリシー]-[Windowsの設定]-[セキュリティの設定]-[監査ポリシーの詳細な構成]-[監査ポリシー]

監査結果はイベントビューアのセキュリティログより確認可能

Copyright 2013 Sophia Network Ltd.41

Page 42: 仕組みがわかるActive Directory

グループポリシーの項目数は3438!でもどうやって調べる?グループポリシーの設定項目がたくさんあっても、存在を知らなければ宝の持ち腐れ。そこで、調べ方を覚えておきましょう。

方法1:GPOの検索

Copyright 2013 Sophia Network Ltd.42

Page 43: 仕組みがわかるActive Directory

グループポリシーの項目数は3438!でもどうやって調べる?方法2:Excelシートで一覧の確認Group Policy Settings Reference for Windows and Windows Server http://www.microsoft.com/en-us/download/details.aspx?displaylang=en&id=25250

Copyright 2013 Sophia Network Ltd.43

Page 44: 仕組みがわかるActive Directory

まとめActive Directoryは単純にユーザーを登録するデータベースではない!

認証/承認システムとして、認証・承認を集中管理できるだけでなく、拡張が可能

ディレクトリサービスとして、様々な属性を登録することで、後から参照したり、アクセス制御の仕組みとして流用できる

一元管理を実現する仕組みとして、グループポリシーによるドメイン参加のPCに対する制限・制御ができる

Copyright 2013 Sophia Network Ltd.44

Page 45: 仕組みがわかるActive Directory

Microsoft Confidential45

We don’t even have to try,It’s always a good time.

from “good time” by owl city & carly rae jepsen


Active Directory

Active Directory

dit.urfu.ru · Web viewКаталог объектов Microsoft Active Directory. Включает в себя домен Active Directory «at.urfu.ru», лес Active Directory

dit.urfu.ru · Web viewКаталог объектов Microsoft Active Directory. Включает в себя домен Active Directory «at.urfu.ru», лес Active Directory

Active-Directory-Zertifikatdienste (PKI) Installieren ... · 2 Active-Directory-Zertifikatdienste (PKI) Installieren & konfigurieren Active Directory-Zertifikatdienst Installieren

Active-Directory-Zertifikatdienste (PKI) Installieren ... · 2 Active-Directory-Zertifikatdienste (PKI) Installieren & konfigurieren Active Directory-Zertifikatdienst Installieren

Manage Engine Active Directory Auditing Sunumu(Active Directory Denetimi)

Manage Engine Active Directory Auditing Sunumu(Active Directory Denetimi)

Eindwerk: Linux Active Directory Emulatie 1users.telenet.be/lade/Linux Active Directory thesis.pdfEindwerk: Linux Active Directory Emulatie 5 2. Wat is Active Directory Als men het

Eindwerk: Linux Active Directory Emulatie 1users.telenet.be/lade/Linux Active Directory thesis.pdfEindwerk: Linux Active Directory Emulatie 5 2. Wat is Active Directory Als men het

Active Directory Directory Searcher

Active Directory Directory Searcher