- 追加された行はこの色です。
- 削除された行はこの色です。
**ディレクトリ・サービス [#d26cd156]
***登録できるオブジェクト [#cb19b021]
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。
-種類
--組織単位(OU)
--コンピュータ
--グループ
--ユーザ
--連絡先
--プリンタ
--共有フォルダ
-[[戻る>Active Directory(機能一覧)]]
***アカウントの種類 [#hc77252f]
-ユーザ・アカウント
-グループ・アカウント
-コンピュータ・アカウント
* 目次 [#kd1172d7]
#contents
***グループ・アカウントの種類 [#oe462d49]
*[[概要>Active Directory(概要)]] [#t5be7ac2]
-[[Active Directory(概要)]]
-セキュリティ・グループ
--ユニバーサル・グループ
--グローバル・グループ(人事用グループ)
--ドメインローカル・グループ(リソース用グループ)
*基礎 [#l68bebba]
-[[Active Directory(用語)]]
-[[Active Directory(参考情報)]]
-配布グループ
*詳細 [#j4c6c431]
--グループのタイプとして、セキュリティ・グループのほかに「配布グループ」というものが使えるようになった。
**導入 [#z76fe93a]
-[[Active Directory(計画)]]
--セキュリティ・グループでは、Microsoft Exchange 5.5 Serverで使用する「配布リスト」の機能も持っている。
-[[Active Directory(操作マスタ・FSMO)]]
-[[Active Directory(機能レベル)]]
--配布リストでは、Exchangeのセキュリティ機能を持っているが、実際の運用においてはセキュリティ機能を持たせない配布リストを作りたいことがある。
**運用 [#ma0f2d9a]
-[[Active Directory(レプリケーション)]]
-[[Active Directory(バックアップ)]]
-[[Active Directory(正常性の確認)]]
--例えば、社外ユーザに一度に多量のDMを送信する場合など、社内ではログオンする必然性がないユーザをグループ化したいときに使えるのが「配布グループ」だ。
-[[Active Directory(移行)]]
--[[AD移行の注意点]]
***グローバル・カタログ [#z3c748af]
-グローバル カタログとは~
http://technet.microsoft.com/ja-jp/library/cc776756.aspx
--グローバル カタログの役割~
http://technet.microsoft.com/ja-jp/library/cc736934.aspx
--グローバル カタログのレプリケーション~
http://technet.microsoft.com/ja-jp/library/cc759007.aspx
-[[グループ・ポリシー]]
--[[グループポリシー設定リスト]]
-フォレスト内の全ドメインの全オブジェクトから、~
検索で、頻繁に利用される頻度が高い属性~
(デフォルトではユーザ名やログオン名など)~
のみを抽出し、ドメイン間でレプリケーション、保存されている。
**[[ディレクトリ サービス]] [#d26cd156]
***登録できるオブジェクト [#cb19b021]
--異なるドメインがある場合のみレプリケーションが発生する。
---ドメイン・コントローラ間のレプリケーションとは別である。
---他のドメインの頻繁に利用される頻度が高い属性のみレプリケーションされる。
---従って、シングルドメインの場合は、グローバル・カタログのレプリケーションは発生しない。
-組織単位(OU)
-コンピュータ
-グループ
-ユーザ
-連絡先
-プリンタ
-共有フォルダ
--異なるドメインのオブジェクトでも、ローカルで一括して検索できる。
--ログオン時の所属グループの確認や、オブジェクト検索に利用される。
***アカウントの種類 [#hc77252f]
-[[ドメイン アカウント]]
-グローバル・カタログ・サーバ
--グローバル・カタログは、フォレスト内のグローバル・カタログ・サーバが保持する。
--グローバル・カタログ・サーバは、ドメイン・コントローラの持つ役割の1つ。
***グループ・アカウントの種類 [#oe462d49]
-[[ドメインのグループ]]
**ドメイン・ネットワーク(ワークグループ・ネットワークを拡張) [#pa3026bd]
***[[グローバル カタログ>Active Directory(グローバル カタログ)]] [#z3c748af]
**ドメイン・ネットワーク [#pa3026bd]
ワークグループ・ネットワークを拡張
-ユーザ認証(Kerberos認証)
-ユーザ、コンピュータ情報
-共有フォルダ、プリンタ
**セキュリティ [#bb37b8e8]
**[[レプリケーション>Active Directory(レプリケーション)]] [#z9654d87]
[[こちら>Active Directory(レプリケーション)]]
***セキュリティ・ポリシー [#n729577f]
**[[操作マスタ(FSMO)>Active Directory(操作マスタ・FSMO)]] [#t57a7e74]
[[こちら>Active Directory(操作マスタ・FSMO)]]
**[[AD DSの冗長化>DCの冗長化]] [#y12e17e7]
[[こちら>DCの冗長化]]
*セキュリティ [#bb37b8e8]
**セキュリティ・ポリシー [#n729577f]
ミラーアカウントからADのアカウントに移行することでIDの集中管理が可能
-Windowsログオン認証
--Kerberos、NTLM
--シングル・サインオン
--ワンタイムパスワード
--スマートカードログオン
---安全で簡単なログオン
---離席時の画面ロック
***Windowsログオン認証 [#s42adc7d]
-Kerberos、NTLM
-シングル・サインオン
-ワンタイムパスワード
-スマートカードログオン
--安全で簡単なログオン
--離席時の画面ロック
--ユーザ・グループを使用したアクセス許可の設定
-ユーザ・グループを使用したアクセス許可の設定
-さまざまなセキュリティ対策への取り組み。
***さまざまなセキュリティ対策への取り組み。 [#g103edb7]
--LAN接続認証
-LAN接続認証
--WSUS連携
---更新プログラム入手の完全管理
---ネットワーク内のPCに更新プログラムを配布
---GPOと連携
-WSUS連携
--更新プログラム入手の完全管理
--ネットワーク内のPCに更新プログラムを配布
--GPOと連携
--[[Rights Management Service>#k334f778]](RMS:情報漏えい対策)
---ドキュメントの暗号化、有効期限設定
---防止データ利用制限、操作ミス漏洩防止(印刷、転送)
-[[Rights Management Service>Rights Management Services (AD RMS)]](RMS:情報漏えい対策)
--ドキュメントの暗号化、有効期限設定
--防止データ利用制限、操作ミス漏洩防止(印刷、転送)
--[[Federation Service>#e670ebb3]](ADFS:インターネット・ユーザとの統合認証)
-[[Federation Service>フェデレーション サービス (AD FS)]](ADFS:インターネット・ユーザとの統合認証)
***グループ・ポリシー [#q3017b58]
**グループ・ポリシー [#q3017b58]
ローカル・ポリシーからグループ・ポリシーに移行することで~
ポリシー設定、クライアント環境の集中管理が可能
-[[グループ・ポリシー]]
-[[グループポリシー設定リスト]]
**レプリケーション [#z9654d87]
ディレクトリサービスに登録できる情報を「オブジェクト」と呼び、~
電話番号や住所、所属しているグループなどが格納できる。~
このようなオブジェクトが持つ情報を「属性」または「プロパティ」と呼ぶ。~
----
Tags: [[:Active Directory]], [[:認証基盤]], [[:ディレクトリ サービス]]
-NTドメインのPDCとBDC間の複製はオブジェクト単位で行われているのに対し、~
Active Directoryの各DCではプロパティ単位で複製される。~
-トラフィックの観点からすると、~
● オブジェクト単位よりは~
● プロパティ単位のほうが~
交信するデータ量は少なくなる。
-NTドメインの場合、ユーザ・アカウントは1024bytesであるが、~
Active Directoryでは3600bytesと倍以上に増えている。~
このようにサイズが増えた理由は、オブジェクトごとに~
住所や所属部署などのプロパティがより細かく入力できるようになったためである。
***マルチマスタ・レプリケーション [#k7114eb4]
-ドメイン内に複数存在するDCのうちのいずれかに接続して~
Active Directory情報を更新することができる。
--DCはアカウントが更新されると、5分後に同じドメインのDCにアナウンスメントを行う。
--マルチマスターにおける複製は複数のDC同士がアカウントを情報交換するため、~
アカウントの複製が完了するまでは、まったく同じ情報をもつことはない。
--DCの複製は同一ドメイン内でだいたい15分程度で完了する。
-参考:[ThinkIT] 第4回:レプリケーションの比較 (1-4)~
http://thinkit.co.jp/free/article/0603/10/4/
***サイト、サイトリンク [#z0123839]
-認証トラフィック・複製トラフィックを軽減するため、~
回線の帯域が狭い遠隔地との複製を円滑に行うために、「サイト」という概念も採用されている。
-サイト組織内の物理的なネットワーク接続を示すためのオブジェクトである。
-サイト同士は、「サイトリンク」と呼ぶ仮想のコネクタで接続する。
-具体的には、ディレクトリ・データベース
--複製トラフィックと、
--認証トラフィックを
>最適化(複製間隔を制御したり、複製データを圧縮したりできる)するために導入された。
-制御対象のトラフィック
--認証トラフィック~
ログオン認証時に、同一サイト内のドメイン・コントローラを優先して使用する。
--複製トラフィック~
サイト間でのディレクトリ・データベースを複製するためのトラフィックを
---スケジューリング(複製を行う時間帯を限定)し、~
他のネットワーク・トラフィックへの影響を抑える。~
また、通信料金が安くトラフィックが少ない~
時間帯に複製を行うように設定することもできる。
---圧縮する(限られたネットワーク帯域を有効的に利用する)。
-DCの複製の時間は、
--サイトリンクのデフォルト値の3時間に
--ドメイン内のDC間の複製時間をプラスするので、
>約3時間半程度で複製が完了する。~
-デフォルトの複製間隔
--ドメイン内:15分
--サイトリンク間:3時間
***対象 [#d440807e]
-ディレクトリ・データベース
-DNS(Active Directory統合ゾーン)
-グローバル・カタログ
**操作マスタ(FSMO) [#t57a7e74]
フォレスト、ドメイン内で特定の役割をするDC
以下、FSMOの各役割は、
-フォレスト、ドメインに最初に導入したDCが担当しているが、
-ADの管理ツールを使って、ほかのDCに移すこともできる。
Insider's Computer Dictionary [FSMO] - @IT~
http://www.atmarkit.co.jp/icd/root/95/97784195.html
>>特定の機能や操作については、複数のDCからのアップデートの競合による矛盾などを避けるために、あらかじめ決められた1台のDCだけが処理を担当することになっていて、その他のDCが肩代わりすることはない。この特定の機能(役割)のことを操作マスタ(FSMO)役割と呼び、以下の5つのものがある。
***フォレスト単位 [#h9ef3446]
各フォレストごとに1台必要
-スキーマ マスタ
--ADに格納されているディレクトリ・データベースのスキーマの変更を担当するマスタ。
--ADDBのスキーマはすべてのDCから参照されるが、これを変更できるのはスキーマ マスタだけ。
-ドメイン名前付けマスタ
--フォレストへのドメインの追加や削除を担当するマスタ。
***ドメイン単位 [#a30fbde9]
各ドメインごとに1台必要。
-PDCエミュレータ
--NTドメインのPDCのエミュレーションを担当する。
--ADクライアントを導入していないWindows 9x/NTなどのクライアントに対して~
PDCの役目を果たしたり、ディレクトリの変更情報をBDCに伝達したりする。
-RID(Relative ID)プール マスタ
--SID(各ユーザやグループなどを区別するための、内部的な、ユニークな番号)~
を作るために使われるRID(Relative ID)のプールの作成を担当するマスタ。
--SIDは、ドメインごとに固定した値を持つ部分(ドメインSID)と、~
各ドメイン内でユニークな値を持つ部分(RID)の、2つの部分から構成されている。
--RIDプール マスタは、ドメインのDCが使用するRIDの範囲を管理し重複を防いでいる。
-インフラ ストラクチャ マスタ
--ドメインAのグループに属するドメインBのユーザの情報(名前など)の変更結果を、~
ドメイン間(ドメインA-ドメインB間)を跨いで通知、複製する役割を担当する。
**読み取り専用ドメイン・コントローラ(RODC) [#rdab48a8]
管理者のいない小規模拠点用(2008から)
-セキュリティの脅威に脅かされることが無い。
--オブジェクトの削除ができない。
--特定の資格情報の実をキャッシュする。
---RODCで認証要求を処理できる。~
---DCを盗んで、パスワードを解析するといったことができない。
-一方向のレプリケーション(負荷軽減)
-読み取り専用のDNS(動的更新要求には他のDNSを紹介)