Active Directory使い倒し術

Windows Server® 2008 R2

ＩＴライブラリーより （pdf １００冊）http://itlib1.sakura.ne.jp/

2

他の章は下記をクリックして

ＰＤＦ一覧からお入り下さい。

ＩＴライブラリー （pdf １００冊）http://itlib1.sakura.ne.jp/

目次番号 ２７０番 Windows Server Enterprise 2008 R2

完全解説 （再入門 ） 全２６冊

ファイル サーバーのユーザーを一ケ所で管理

課題: ファイル サーバーのユーザー管理が大変

解決策: Active Directory でユーザーの一元管理を実現

システム管理者

3

ユーザー数やファイル サーバーの増加により ID 管理は限界！！ID を一元管理し、適正なアクセス権を付与できないだろうか？

：編集可能：Yamazaki

：読み取り専用：Takadaファイルサーバー

ユーザー

Active Directoryユーザーの一元管理が行え、ファイル サーバーのフォルダなど様々な共有リソースに対し適正なアクセス管理を実現また、各リソースへの認証基盤として利用が可能

：参照不可：Sato

A サーバのユーザー

B サーバのユーザー

個々のファイル サーバーでそれぞれ ID が管理されている

：Takada

：Yamazaki

：Sato

認証

Active Directory に登録された ID でアクセス権を指定

実現！ クライアント PC の統制

課題: クライアント PC を一台一台管理するのが大変

解決策: グループ ポリシー / 基本設定の利用による一括設定

PC の設定がバラバラで皆、やりたい放題…

システム管理者

情報漏洩？？内部統制？？そんなこと、言われても…

グループ ポリシードメインのコンピューター、ユーザーに設定を一括適用 / 設定の強制

xx.bat

設定の一括適用！グループ ポリシーでパスワード ポリシーや壁紙などの設定も強制できる！

基本設定コンピューター、ユーザーに設定を一括適用！もう、面倒くさいバッチは不要！

グループ ポリシーに似ているが、設定は強制されず、変更可能！初期設定やこれまでバッチで実行していた処理の設定に便利！

4

パスワードの設定がバラバラだよ…

壁紙 / スクリーン セーバーがすごいことに…「○×を設定して」って

言ってるのに…

New

簡単！グループ ポリシー活用でコスト削減

課題: 情報漏えい対策や PC の電力に掛かるコスト、またそれに伴う展開コストを削減したい

解決策: USB デバイスのポリシーによる情報漏えい対策 / 電源管理ポリシーによる一括省電力設定

新たに製品導入はもちろん、各 PC にインストールや電源設定を行うと、予想以上にコストがかかってしまう。

USB デバイスのポリシーによる制御

USB デバイスの制御ポリシーUSB デバイスの使用に制限を設定できる！読み取りのみ許可するなど柔軟に管理可能！

5

一切使用不可 読み取りのみ許可書き込み NG！

A メーカー

B メーカー

特定デバイスのみ利用可能！

電源管理ポリシーによる一括省電力設定

電源管理ポリシー社内 PC の電力設定を統一し、消費電力を抑えることができる！

グループポリシー で一括展開

消費電力

情報漏洩対策ソフトの導入

この PC に設定ができてない PC 台数の増加で電力料金も気になる

各 PC への展開が大変

Windows XP は グループポリシー”基本設定”で対応

New

Active Directory のユーザー復元を容易に

課題: 誤って削除された Active Directory ユーザーの復元が大変

解決策: 削除されたオブジェクトも簡単復旧 / PowerShell を利用して管理を自動化

6

Active Directory のユーザーを誤って削除してしまった！

バックアップデータから ActiveDirectory の復元は大変・・・・復元手順は ？・復元するバックアップデータは ？・DC の再起動のタイミングは ？

バックアップデータ復元

削除されたオブジェクトも簡単復旧

ごみ箱から復元

Recycle Bin による削除オブジェクトの復元削除されたオブジェクトもPowerShell で簡単に復元できる！

PowerShell のコマンド「 Restore-ADObject 」を実行

バックアップデータからの復元は不要

GUI での操作は簡単だが、オペレーションミスが発生しやすい・・・

Active Directory 内

PowerShell Active Directory モジュールユーザー情報の編集など管理する上で発生する定型作業を簡単にスクリプト化でき、ミスなく作業ができ、さらに作業コストの削減ができる！

PowerShell を利用して管理を自動化

定型業務をスクリプト化し、バッチで実行

・有効期限が切れたユーザーの取得

・一定期間ログインされていないユーザーの取得

・ユーザーの一括登録・エクセルへグループ情報の

エクスポート など

Active Directory オブジェクトの管理 が自動化できる！また、ADSI より簡単！

オブジェクト情報の取得

New

Active Directory のログ取得

課題: Active Directory の操作を「誰が」「いつ」「どのように」行ったのかわからない…

解決策: Active Directory の監査ログの取得

いつのまにか、Active Directory のユーザーが削除されている

Active Directory の監査機能「誰が」、「いつ」、「どこから」、「何を」、「どのように」といったログの取得ができる！Windows Server 2008 R2 では、さらに変更前と変更後の情報が記録できる！

7

新しいイベント ビューア (強化された監査ログ)

Active Directory の監査ログなら・「誰が」・「いつ」・「どこから」・「何を」・「どのように」変更したのかを確認可能

グループポリシーから設定

New

Active Directory の構成確認と運用監視を簡単に

8

課題:ドメイン コントローラーが正しく構成されているか不安

解決策: ドメイン コントローラーの構成確認 / 監視

Active Directory ベストプラクティスアナライザードメインコントローラーの構成をチェックして、問題があれば対処方法が表示されるので、問題を迅速に解決できる！

リソースやネットワークの状態を表示

社内ネットワーク

ドメイン コントローラーの構成状態が簡単に確認できないだろうか？どう監視すればいいか分からない

Active Directory関連の情報を収集

System Center Operations Managerメーカー純正の運用監視ツールで Windows Server を一元管理！Active Directory 用の監視テンプレートが提供されているので、運用監視も簡単にできる！

ドメイン コントローラーがダウンすると大変

共有ファイルなどの社内リソースにアクセスできない

全体の構成からドリルダウンし、エラーの原因、対処策が確認できる

ユーザー

New

リモート接続を行いたいけど…・リモート アクセスの設定を行うのが大変・接続が切断されるたびに再接続が面倒

社外から社内ネットワークへ安全 / 簡単アクセス

9

課題: より安全でシンプルなリモートアクセス環境を提供したい

解決策: インターネットに接続するだけで社内ネットワークに安全 / 簡単アクセス

システム管理者

社外からのアクセスをより安全に、よりシンプルに提供したい社内ネットワーク

社内で承認された PC からのみ社内ネットワークの接続を許可

未承認の PC からの接続は拒否

自動接続

社内ネットワーク

DirectAccess と Forefront Unified Access Gateway (UAG) 連携Windows 7 + Windows Server 2008 R2 で実現する社外から社内ネットワークへ安全・簡単にアクセスできる！

スマートカード認証の強制も可能

DirectAccess サーバー

UAG を使うことで DirectAccess サーバーの冗長化とIP v4 の社内ネットワークへの接続が可能に

ユーザー

インターネット

通信は自動的に暗号化

New

Windows 標準機能でデジタル証明書、使い放題！

課題: デジタル証明書を使った機能を使いたいのだけれど、コストがかかる…

解決策: Windows 標準搭載の証明機関を活用！無料で証明書を使い放題！

Active Directory 証明書サービス (AD CS)・Windows Server 2008 R2 に標準で搭載されている証明機関・業界標準の x.509v3 準拠の証明書を発行可能・デジタル証明書を使った様々なセキュリティ (SSL、S/MIME、EAP-TLS、IC カードなど) 強化に利用できる！

10

OS 標準搭載の証明機関だから証明書をどれだけ発行しても無料！面倒な証明書の発行 / 更新もグループ ポリシーで自動化が可能！

Step2.Step1.

でも、デジタル証明書の発行 / 管理 / 更新には高いコストが…

IC カード、WEB サーバー (SSL) 、メールの暗号化、無線 LAN…デジタル証明書を使った機能は魅力的…

証明機関

AD 証明書サービス (AD CS) ILM 2007 との連携ILM の証明書管理機能により IC カード発行ができる！

Windows 標準機能で LDAP サーバーを構築

課題: LDAP サーバーを利用したい

解決策: Active Directory ライトウェイト ディレクトリ サービスによる解決

システム管理者

11

AD LDSサーバー

アカウント情報の複製

Active Directory 以外の情報を拡張し、アプリケーションデータとして利用

管理されたユーザー情報

Active Directory ライトウェイトディレクトリ サービス (AD LDS)① OS 標準機能として提供されている LDAP

サービスで、低コストにて LDAPサーバーを構築

② ベースは Active Directory (AD) と同じなので AD との親和性が高く、AD の情報を拡張して様々な活用が可能

① LDAP 対応のアプリケーションを導入するために LDAP サーバーを構築したい

② ID 情報としては、 Active Directoryを利用したいが、アプリケーション用にスキーマ拡張はしたくない

LDAP サーバー

ActiveDirectory

その他のアプリケーション

IDを登録

LDAP 対応アプリケーション

LDAP 対応アプリケーション

複数システムの ID / パスワードを統一！

課題: システムごとの ID / パスワードがバラバラでどれがどれだか…

解決策: Identity Lifecycle Manager 2007 でシステム間の ID を自動同期

システムごとにID / パスワードが違うと不便…

セキュリティも不安でも、どうしたら…

ID : tanaka

PWD:1041

ID ：tana01

PWD: acse

ID : salesu21

PWD: 243kb

ID : man02

PWD: dB94どれがどれだっけ？？

AD Notes

ID 同期

Oracle

ID : tanaka

PWD:1041

ILM2007 の ID / パスワードの同期機能で

複数のシステムの ID / パスワードを統一！

Identity Lifecycle Manager 2007(ILM 2007)ILM 2007 で異種分散ディレクトリ環境の ID / パスワードの統合管理を実現！これでユーザーが覚えなくてはならないID / パスワードは一つに！

ILM 2007

12

どのシステムでも同じ ID / パスワード

で利用可能！ その他の業務システム

もう怖くない！人事異動！

課題: 複数システムのアカウント情報 (ID やパスワード) のメンテナンスが大変！

解決策: Identity Lifecycle Manager 2007 による ID 管理システムの構築

AD DS

Notes

人事マスタ

Oracle

人事異動の度に…

各 ID データベースで変更作業が発生…

変更情報

派遣社員の登録依頼

人事異動があるとID データベースのメンテナンスが

大変！

会社を退職した人のアカウントの消し忘れがないか

心配…

13

AD Notes

人事マスタ

その他の業務システムID 同期

Oracle

ILM 2007 の ID / パスワードの同期機能で複数システムの ID / パスワードを統一！

ILM 2007

Identity Lifecycle Manager 2007 (ILM 2007)複数システムの ID / パスワードの同期ができる！手作業による登録/変更/削除ではないので、入力漏れやミスの心配は無用！

Windows Server 2008 / R2 Active Directory の新機能

14

新機能 内容

ドメイン機能のサービス化ドメイン機能のサービス化により、更新プログラムの適用やオフライン最適化など、ドメイン コントローラの定期的な保守作業を、サーバーを再起動せずに実施できます。

読み取り専用ドメイン コントローラ

読み取り専用 ドメイン コントローラー (RODC) を使用すると、組織は、物理的なセキュリティを保証できない場所でもドメイン コントローラを簡単に展開できます。 RODC では、 Active Directory ドメイン サービス (AD DS) データベースの読み取り専用パーティションがホストされます。

ふりがな属性の追加ふりがな属性が追加され、ふりがなでソート、検索が可能になりました。ふりがな属性が追加された項目は以下の通りです。姓 / 名 / 表示名 / 会社名 / 部署

きめ細かなパスワード ポリシー細かい設定が可能なパスワード ポリシーを使用すると、1 つのドメイン内に複数のパスワード ポリシーを指定でき、ドメイン内のユーザー セットごとに、パスワードとアカウント ロックアウトのポリシーに指定した異なる制限を適用できます。

Active Directory のスナップショット参照

Active Directory データベース マウント ツール (Dsamain.exe) により、組織の回復手順を強化できます。このツールを使用すると、別々の時間に取得したスナップショットやバックアップに存在するデータを比較できるので、データの損失があった場合にどのデータを復元するかをより適切に判断できます。そのため、Active Directory データを比較するときに、データを含む複数のバックアップを復元する必要がなくなります。

オフライン ドメイン参加(Windows Server 2008 R2 新機能)

オフライン ドメイン参加を使用するとオフライン状態からコンピューターをドメインに参加させることができます。コンピューターをドメインに参加させることができるのは、オペレーティング システムのインストール後にコンピューターを初めて起動するときです。また、コンピューターを再起動しなくても、ドメイン参加を完了させることができます。これにより、データセンターなどの場所でコンピューターの大規模展開を完了するのに必要な時間と手間を減らすことができます。

PowerShell 2.0 と Recycle Bin の対応(Windows Server 2008 R2 新機能)

Windows Server 2008 R2 では、Active Directory module を PowerShell 2.0 に組み込むと、Active Directory のオブジェクトやドメイン コントローラー、およびパスワード ポリシーを管理したり、これらを新しく作成でき、スクリプトベースでの管理が可能です。Windows Server 2008 R2 ネイティブ環境で、 Recycle Bin を有効化すると、削除されたオブジェクトをバックアップデータを利用する事なく、 PowerShell から簡単に復元ができます。

構成例と価格（ 1/2 ）

15

1,000 ユーザーを AD で管理した構成

• ハードウェア、SI 費用、Active Directory 構築費用は含まれておりません• 記載の価格は、2009 年 9 月の参考価格です

(参考価格は、Select の価格レベル A の新規ライセンス (L) + SA 3 年分で算出しております)•お客様の実際のお支払額は、お客様のご注文先である LAR 様、販売会社様との間で決定されます• 実環境に沿った設計、見積りが別途必要となります

ドメイン コントローラ

Windows Server 2008 R2Standard x64 × 2 台

利用ユーザー1,000 人

構成例 (冗長性を考慮した構成)

ILM 2007 で ID 同期を行う構成

クライアント PCx 1,000 台

ILM 2007 × 1台 、Windows Server 2008 Enterprise (x86) × 1 台SQL Server 2005 Standard × 1 台

Windows Server 2008 R2 Standard × 2,Windows Server CAL × 1,000

参考価格: ¥ 6,609,000-

Windows Server 2008 Enterprise × 1, ILM 2007 × 1,SQL Server 2005 Standard (1 プロセッサ) × 1

参考価格: ¥ 4,885,200-

構成例 (最小構成)

構成例と価格 (2/2)

16

1,000 ユーザー (同時接続数: 500 ユーザー) で DirectAccess を利用する構成

•ハードウェア、SI 費用、Active Directory 構築費用、Active Directory 用の Windows Server ライセンスは含まれておりません• Forefront Unified Access Gateway は 2009 年 10 月現在リリースされていない為、本構成の価格に含まれておりません• 記載の価格は、2009 年 10 月の参考価格です

(参考価格は、Select の価格レベル A の新規ライセンス (L) + SA 3 年分で算出しております)•お客様の実際のお支払額は、お客様のご注文先である LAR 様、販売会社様との間で決定されます• 実環境に沿った設計、見積りが別途必要となります

ドメイン コントローラーWindows Server 2008 R2 Standardクライアント PC

x 1,000 台

構成例 (DirectAccess を用いたリモート接続)

ダイレクト アクセス サーバーWindows Server 2008 R2 Standard × 2

Windows Server 2008 R2 Standard × 2, Windows Server CAL × 1,000

参考価格: ¥ 6,609,000-

導入事例 (Active Directory)◼ 部門サーバーの運用コスト削減を目指し、Active Directory を導入

(製造業 A 社)➢ それぞれの部門毎に個別管理されていた約 6,000 台のファイルサーバーを

Active Directory に統合

➢ 各管理者の運用コストを集約する事により、 1 億 8,000 万円の隠れたコストを削減

➢ RODC (読み取り専用ドメインコントローラー) を活用し、資産の有効活用と拠点管理者の

管理コスト削減 (年間 500 万円) をさらに目指す

◼ ユーザー管理に関する課題解決、システム管理工数の削減 (金融業 B 社)➢ 権限に応じた複数のパスワードポリシーを利用する事で、セキュリティの確保と利便性

向上の両立を実現

➢ WDS (Windows 展開サービス) を利用し 108 支店の PC を一括展開、管理工数の削減

➢ NAP (ネットワーク アクセス保護) により、約 2,000 台の PC に対して更新プログラムや

最新ウィルス定義ファイルの適用状況のチェックを行い管理工数を削減

17

Windows Server 2008 導入事例はこちらからアクセスhttp://www.microsoft.com/japan/windowsserver2008/casestudies/default.mspx

2014 年2013 年2010 年 2011 年 2012 年 2015 年 2016 年 2017 年2009 年

•マイクロソフトのWeb サイトでの製品情報提供

Windows Server のサポート ライフサイクルは以下のとおりです。Windows 2000 Server はまもなく延長サポート終了です。新バージョン移行へのご計画を早期にお願いいたします。

サポート ライフサイクルマイクロソフトは、ビジネス製品および開発用製品について、最短でも 10 年間 (メインストリームサポート フェーズ 5 年間、および延長サポート フェーズ 5 年間) サポートを提供します。

• 上記はビジネス製品および開発用製品についての情報です。• コンシューマ製品、 ハードウェア製品、マルチメディア製品、および Microsoft Dynamics 製品については、最短でも 5 年間のメインストリームサポートを提供します。

• 詳細については、マイクロソフトのサポートライフサイクルのWeb サイトをご覧ください。http://support.microsoft.com/lifecycle/

1 年 2 年 4 年3 年 5 年 6 年 7 年 9 年8 年 10 年

メインストリーム サポート 延長サポート

•製品の仕様変更、機能追加

•セキュリティ更新プログラム提供

•セキュリティ以外の更新プログラムのリクエスト

•無償サポート

•有償サポート

メインストリームサポート

•セキュリティ更新プログラム提供

•セキュリティ以外の更新プログラムのリクエスト(別途契約が必要)

•有償サポート

延長サポート

メインストリーム サポート

メインストリームサポート

18

オンライン セルフヘルプ サポート

オンライン セルフ ヘルプ サポート

延長サポート

延長サポート

延長サポート

2010 年 7 月終了

Windows Server 2008 R2 をお勧めします

2015 年 7 月終了

+

関連リソース

19

ステップバイ ステップ ガイド・ Windows Server 2008 の Active Directory ドメイン サービスのインストールおよび削除・ 読み取り専用ドメイン コントローラ など

技術情報

「Windows Server 2008 TechCenter」で検索

Windows Server 2008 TechCenter本 Web サイトには、Windows Server 2008 の評価・導入に役立つ技術情報が掲載されています。機能説明、ステップバイ ステップ ガイドなど、Windows Server 2008 / Windows Server 2008 R2 の評価・導入にお役立てください。http://technet.microsoft.com/ja-jp/library/cc770946(WS.10).aspx

Webcast

デモンストレーションでよくわかる Windows Server 2008 R2 Webcast 「Active Directory ドメイン サービス / ファイル サーバーの強化点」

Windows Server 2008 R2 で強化された Active Directory ドメインサービス (AD DS) とファイル サーバー関連の新機能を紹介をさせていただきます。ご都合のよい時間に視聴下さい。

http://www.microsoft.com/japan/windowsserver2008/r2/webcast/default.mspx

Web Cast

Windows Server 2008 Webcast Active Directory ドメイン サービス 新機能と機能強化

本 Webcast では、Windows Server 2008 の Active Directory の新機能・強化点をデモンストレーションを交えながらおよそ30分程度でご紹介します。ご都合のよい時間に視聴下さい。

http://www.microsoft.com/japan/windowsserver2008/webcast/default.mspx

20

他の章は下記をクリックして

ＰＤＦ一覧からお入り下さい。

ＩＴライブラリー （pdf １００冊）http://itlib1.sakura.ne.jp/

目次番号 ２７０番 Windows Server Enterprise 2008 R2

完全解説 （再入門 ） 全２６冊