Active Directory(計画)
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
]
開始行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-[[戻る>ドメイン サービス (AD DS)]]
* 目次 [#yc660707]
#contents
*設計のポイント [#r91e5dec]
**[[DNSサーバ]] [#cda39986]
-[[DNSサーバ]]は、UNIXやLinuxでおなじみのBINDなどが使える...
簡単に運用したいのであればドメイン・コントローラにWindows...
--DNSは標準規格であり、当然のことであるが、マイクロソフト...
---上位ドメインにBINDがあっても下位ドメインにBINDがあって...
---また、プライマリ・サーバーがBINDでセカンダリ・サーバー...
---しかし、マイクロソフトDNSは、比較的新しい規格を採用し...
--クライアントを変更する必要はない。~
Windows 9x、Windows NTクライアントは、[[Active Directory]...
***[[DNSサーバ]]要件 [#z8995cac]
***パターン [#e7bc805f]
**ドメイン論理構造 [#z70cc734]
-フォレスト、ドメインなどの名称と構造は後の変更が容易では...
-ドメイン構造の変更は極めて困難なので、なるべくなら単一ド...
***単一ドメイン [#a475392e]
-ドメイン構造の変更は極めて困難なので、なるべくなら単一ド...
-[[ドメイン サービス (AD DS)]]に登録された情報は、同一ド...
従って部門ごとに管理権限を委任したい場合などは、ドメイン...
可能な限り単一ドメイン内のOUとして構成するべきだ。
***複数ドメイン [#jf8d068e]
-観点
-例
--(1)日本とフランスにオフィスがあり、
---それぞれ管理者がいる。
---社員の出張は年に1・2度
---ネットワークリソース共有の必要性は少ない。
>>このような場合、両方のオフィスのオブジェクトの集中管理...
***単一フォレスト [#x197658d]
-[[Active Directory]]の操作範囲はフォレスト内に限られるた...
-例えばフォレストを分けて[[Active Directory]]を構成すると...
-後からフォレストを結合することもできないため、[[Active D...
***ドメイン・コントローラ [#if0f194d]
-1つのドメインには、1台以上のドメイン・コントローラが必...
-可用性向上のための[[冗長化>#k8179082]]のために、通常2台...
-2台のドメイン・コントローラはマルチマスタ・レプリケーシ...
-ストレージ関連
--以下のフォルダが存在する。
---NTDS
---SYSVOL
---ログ・ファイル
--各フォルダの容量見積もりは行うこと。
--セキュリティを考慮し、
---SYSVOLについては、NTFSでフォーマットする。
---通常は、全てのパーティションをNTFSでフォーマットする。
-ネットワーク関連
--DHCPクライアントを使用している状態でもサーバを~
ドメイン・コントローラに昇格させることはできる。
--ただし、DHCPサーバの障害時にクライアントがドメイン・コ...
特定できなくなる可能性があるので通常は、静的IPアドレスを...
***FQDNの設計方法 [#w75557bc]
**ネットワーク物理構造 [#z421d460]
***サイト、サイトリンク [#r1470121]
-WAN回線で結ばれた複数の拠点に分かれているようなネットワ...
それぞれの拠点ごとに別々のサイトになるように定義するとよ...
--複数の拠点を1つのサイトにしてしまうと、~
認証などに必要な拠点間でのネットワーク・トラフィックが非...
--複数のサイトに分けておくと、~
サイト間のトラフィックは自動的に最適化され、トラフィック...
-サイトを構成していない場合には、
--クライアントからのログオン認証が(ネットワーク的に)近...
--ドメイン・コントローラ間の複製データも圧縮されないため、...
--そのため、ほかの通信でWAN回線を利用するサービスの応答が...
-サイトの構成
--各「サイト」は、高速で安定した通信が可能な、1つの物理的...
一般的にはLAN環境(高速なLAN回線で相互に接続されているひ...
--サイトには、1つ以上のIPサブネットを割り当てる。
---つまり、同一サブネット内であれば、高速で安定した通信が...
(VPN技術などを使えば拠点をまたぐような同一サブネットを構...
そのようなことはせずに、拠点ごとに異なるサブネットにする...
---LANの内部で複数のサブネットを利用している場合は、~
1つのサイトに複数のIPサブネットを割り当てることもできる~
(複数のサブネットをすべてまとめて1つのサイトにすることも...
**ディレクトリ・サービス構造 [#rced99eb]
***[[グローバル カタログ>Active Directory(グローバル カ...
***組織単位(OU) [#f81522cc]
-管理を簡素化するためには、特に理由なくOUを階層化すべきで...
-なにも、会社の組織図どおりに設定する必要はないのだ。
-例えば、
--営業部の全員が同じ地域におり、
--同じアプリケーションを使い、
--同じポリシーを適用するのであれば、
-営業部OUの中に
--第一営業部OU、
--第二営業部OU
>といった階層を設けるのは、無意味なことが多い。
**セキュリティ・グループ [#ld5f7f90]
-ユニバーサル・グループ
--混在モードの場合~
後述の「配布グループ」としてメールのあて先に使用する。
--ネイティブ・モードの場合~
別ドメインのユーザやグループが登録できる、~
最も汎用性が高いグループとして使用できる
-グローバル・グループ(人事用グループ)
--混在モードの場合~
NTドメインのグローバル・グループと同様の機能となる
--ネイティブ・モードの場合~
同じドメインのグローバル・グループをネストできる。~
使い方は従来と同じく、ユーザを組織化する目的で使用する。
-ドメイン・ローカル・グループ(リソース用グループ)
--ドメイン全体で使えるローカル・グループ。
--リソースを公開したいコンピュータ上で使用。
--リソースに対してドメイン・ローカル・グループを割り当て...
--ドメイン・ローカル・グループにグローバル・グループ(人...
--これにより、リソースと人事上の変更を別々に管理できる。
***有効範囲と機能的な違い [#g4b7f8c7]
-ネイティブ・モード環境
|>|>|>|ネイティブ・モード環境|h
|グループ範囲名|使用目的|含むことのできるメンバー|有効範囲|
|ドメイン・ローカル・グループ|セキュリティ設定|フォレスト...
|~|~|フォレスト内の全ドメインのグローバル・グループ|~|
|~|~|フォレスト内の全ドメインのユニバーサル・グループ|~|
|~|~|同じドメイン内のドメイン・ローカル・グループ|~|
|グローバル・グループ|ドメイン内の組織化|同じドメイン内の...
|~|~|同じドメイン内のグローバル・グループ|~|
|ユニバーサル・グループ|ドメインをまたがる組織化|フォレス...
|~|~|フォレスト内の全ドメインのグローバル・グループ|~|
|~|~|フォレスト内の全ドメインのユニバーサル・グループ|~|
-混在モード環境
|>|>|>|混在モード環境|h
|グループ範囲名|使用目的|含むことのできるメンバー|有効範囲|
|ドメイン・ローカル・グループ|セキュリティ設定|フォレスト...
|~|~|フォレスト内の全ドメインのグローバル・グループ|~|
|グローバル・グループ|ドメイン内の組織化|同じドメイン内の...
|ユニバーサル・グループ|―|―|―|
-サマリ
--グループ・アカウントには、それぞれスコープがあり、~
利用範囲(そのグループ・アカウントを参照/検索できる範囲...
--下位のグループは、上位のグループを含むことができるが、...
(下位のグループは、上位のグループを知らないから追加でき...
***特徴 [#ddf39567]
-ユニバーサル・グループ
--使用制限がないため、簡便な方法。
---ユーザーを直接割り当て可能
---グループをネストが可能
---全ドメインのリソース オブジェクトの[[ACL・ACE]]に配置...
GC ([[グローバル カタログ>Active Directory(グローバル カ...
注:性能に影響する。
-グローバル・グループ
--グローバル・グループを他のグローバル・グループにネスト...
--同一ドメイン内にあるリソース オブジェクトの[[ACL・ACE]]...
GC (グローバル カタログ) に保管されるが、メンバの情報はレ...
-ドメイン・ローカル・グループ
--GC クエリに対して効力がないため、~
[[Active Directory]]オブジェクトへのアクセス許可の割り当...
--[[Active Directory]]オブジェクトでない~
特定のリソース (ファイル サーバーの共有やプリンタ キュー...
***用途 [#d5fae4f5]
-ユニバーサル・グループ~
高機能であるが、レプリケーションの性能に影響。
-グローバル・グループ(人事用グループ)
--複数のグループを1つにまとめて分かりやすい別名を付ける。
--OU (組織単位) をネストし、OU ツリー上の階層レベルに合わ...
-ドメイン・ローカル・グループ(リソース用グループ)
--実際に、[[ACL・ACE]]に配置する。
***ポリシー [#i2ae7bb4]
A-G-L-P(I-G-L-A)やA-G-DL-P(I-G-DL-A)などのポリシーが...
-ポリシーを構成する要素
--A:アカウント(I:アイデンティティ)
--G:グローバル・グループ
--U:ユニバーサル・グループ
--DL:ドメイン・ローカル・グループ
--L:ローカル・グループ
--P:パーミッション(A:アクセス([[ACL・ACE]]))
-ポリシーのコンセプト
--A-U-P(小規模向け)
---ユニバーサルグループを利用
---ユーザーではなくユニバーサルグループにアクセス権を付与...
---別の人が権限を引き継ぐ際や別の人にも同じ権限を付与する...
直接アクセス権をいじらずともメンバの変更だけで済む。
--A-G-L-P(基本的なポリシー、[[Active Directory]]管理者と...
---ローカル・グループを積極的に使うのが特徴
---アカウントをまとめるグループと権限を付与するグループ(...
ローカル・グループ:権利の割当(つまり資源管理)~
グローバル・グループ:ユーザーの分類。
---ローカル・グループはサーバー管理者権限が、~
[[Active Directory]]の権限がなくても勝手に作成、メンバ変...
---欠点:ローカル・グループはサーバー単位にしか存在しない...
複数サーバーで同じ事をやろうとするとサーバー毎に設定が必...
---欠点:ドメインをまたがる権限設定ができない。
--A-G-DL-P([[Active Directory]]管理者とサーバー管理者が同...
---コンセプトはAGLPと一緒、複数のサーバがある環境に適して...
---ドメイン・ローカル・グループは、同一ドメイン内の全サー...
複数のサーバから利用でき、A-G-L-Pの欠点であるサーバー毎の...
---ドメイン・ローカル・グループの作成にはドメイン管理者の...
[[Active Directory]]はオブジェクト作成の権限をほかのユー...
---適当な組織単位(OU)を作成し、プロジェクト管理者に対し...
そのOUにローカル・グループの作成を許可する権限を与える。
---欠点:ドメイン・ローカル・グループは[[ドメイン サービ...
[[Active Directory]]の管理者権限が必要となる。OUへの権限...
---欠点:ドメインをまたがる権限設定ができない。
--A-G-U-DL-P(マルチドメインの大規模環境に向け)
---コンセプトはA-G-L-P, A-G-DL-Pと一緒
---ユニバーサル・グループでグローバル・グループを~
まとめる事によってドメインをまたがる権限設定を行えるよう...
-ベスト・プラクティスは、A-G-(U)-DL-P。
--A-G-DL-Pという管理手法は、TCO削減やわかりやすさ、効率性...
するための一つの方法としてマイクロソフトが推奨している方...
--この戦略のポイントは、次の通り。
+++Gはあくまでもユーザーを束ねるだけに使用する。
+++リソースの権限を付与するのはDL。
+++DLに対してGを入れ込む。
**[[操作マスタ(FSMO)>Active Directory(操作マスタ・FSMO...
***フォレスト単位 [#u839ff7d]
各フォレスト毎に1台必要。
-スキーマ マスタ
--インストール後のスキーマ・マスタの変更は容易では無い。
-ドメイン名前付けマスタ
***ドメイン単位 [#dc06e165]
各ドメイン毎に1台必要。
-PDCエミュレータ
-RID(Relative ID)プール マスタ
-インフラ ストラクチャ マスタ
--マルチドメイン環境では、[[グローバル カタログ>Active Di...
--インフラ ストラクチャ マスタのオブジェクトの情報が最新...
[[グローバル カタログ>Active Directory(グローバル カタロ...
***転送と強制 [#yc32c326]
-大幅なネットワークインフラストラクチャノ変更を除き~
操作マスタ(FSMO)を他のDCに割り当てる(転送する)必要は...
-以下のケースで操作マスタ(FSMO)を他のDCに割り当てる(転...
--メンテナンスのため長期間オフラインにする。
--メンバサーバに降格する。
-また、以下のケースで操作マスタ(FSMO)を他のDCに割り当て...
--ハードウェア障害等で操作マスタ(FSMO)が存在しなくなっ...
--強制した場合、復旧した操作マスタ(FSMO)は
そのままオンラインにはできないので、降格後→再昇格する。
--参考:[[Active Directory(バックアップ)]]
**機能レベル [#pca75c42]
古いドメイン コントローラが混在する環境等で使用する。~
新しい機能は古いDCでは使用できないので機能レベルで制限し...
機能レベルには、以下の2種類がある。
-ドメインの機能レベル:ドメインの機能にだけ影響する。
--Windows 2000ネイティブ
---既定のドメインの機能レベル
---Windows 2000 Server、Windows Server 2003、Windows Serv...
---ユニバーサルセキュリティグループ、SIDヒストリの機能を...
--Windows 2003
---Windows Server 2003、Windows Server 2008のDCをサポート
---Windows Server 2003 [[Active Directory]]のすべての機能...
---例:DC名の変更、アカウントの既定の作成場所の変更
--Windows 2008
---Windows Server 2008のDCをサポート
---Windows Server 2008 [[Active Directory]]のすべての機能...
---例:DFSを使用してSYSVOLをレプリケート、特定ユーザに異...
-フォレストの機能レベル:フォレストの機能にだけ影響する。
--Windows 2000ネイティブ
---既定のフォレストの機能レベル、どのドメインの機能レベル...
--Windows 2003
---全てのドメインの機能レベルをWindows 2003にする。
---Windows Server 2003 [[Active Directory]]のすべての機能...
---例:DC名の変更、フォレスト間の信頼
--Windows 2008
---全てのドメインの機能レベルをWindows 2008にする。
---Windows Server 2008 [[Active Directory]]のすべての機能...
---例:・・・
-機能レベルは一度上げると下げられない。
**[[DCの冗長化]] [#k8179082]
**インストール要件 [#s3978d3a]
・・・
**その他 [#fcd2d703]
***草の根[[Active Directory]]ドメイン [#cdb833b0]
-ボトムアップ的に[[Active Directory]]ドメインを構築するこ...
-建前としてはできない。~
--しかし、以下のように設定すれば草の根的に[[Active Direct...
--「草の根的な[[Active Directory]]」とは、ネットワーク管...
ある部署内だけで独自に立ち上げている[[Active Directory]]...
++[[DNSサーバ]]を独自にインストールする(草の根[[DNSサー...
++草の根[[DNSサーバ]]に適当なドメインを作る(草の根ドメイ...
++[[DNSサーバ]]のプロパティにあるフォワーダ・フィールドに...
++草の根ドメインに[[Active Directory]]をインストールする
++草の根ドメインのクライアントは、草の根[[DNSサーバ]]へ照...
*[[Active Directory]]の導入計画 [#t008bb0a]
**Active Directoryの導入に必要なコストは? [#a7429964]
-ネットワーク・インフラ
--TCP/IPを標準とし、社内用の[[DNSサーバ]]を設定する必要が...
--社内用[[DNSサーバ]]は[[Active Directory]]ドメイン・コン...
-サーバPC~
拠点ごとに1台、全社で(1ドメインあたり)2台以上のサーバが...
--[[Active Directory]]のドメイン・コントローラ1台
--可用性向上のための1台以上の追加ドメイン・コントローラ)。
-ソフトウェア・ライセンス
--Windows Serverライセンスがサーバ数だけ必要
--ログオン・ユーザー数だけのクライアント・ライセンスが必要
-移行コスト
--移行する場合、移行コストを計上する必要がある。
--移行コストは、移行パターンによって大きく異なる。
-アプリケーション・コスト
使用中のアプリケーションが新しいプラットフォームに対応し...
対応するプラットフォームへ環境移行する必要がある。また、...
*参考 [#p3695329]
**ポリシー [#be39e348]
-グループ・アカウントの種類を知る - @IT~
http://www.atmarkit.co.jp/fwin2k/win2ktips/737groups/grou...
-管理者のためのActive Directory入門:第8回~
Active Directoryの導入後の作業 (3-3) - @IT~
http://www.atmarkit.co.jp/ait/articles/0303/28/news002_3....
-ASCII.jp:Windows Serverで学ぶサーバOS入門~
Active Directoryのアカウントとグループとは?~
ユーザーアカウントやグループ、グループ戦略~
「AGLP、AGDLP、AUP、AGUDLP」を知ろう~
--http://ascii.jp/elem/000/000/504/504463/
--http://ascii.jp/elem/000/000/504/504463/index-2.html
--http://ascii.jp/elem/000/000/504/504463/index-3.html
--http://ascii.jp/elem/000/000/504/504463/index-4.html
-ドメインローカルグループとグローバルグループの使い分けに...
http://social.technet.microsoft.com/Forums/windowsserver/...
-Windows Serverで学ぶサーバOS入門 ― 第8回~
小規模向けのAUPと大規模環境向けのAGUDLPについても学ぼう~
「機能レベル」でActive Directoryの互換性を確保しよう~
http://ascii.jp/elem/000/000/505/505060/
-AUUPで良いのでは? - ActiveDirectoryのグループ設計はどう...
(AGDLP, AGUDLP, AUP, AU(U)P) WindowsServer管理者への道~
http://ebi.dyndns.biz/windowsadmin/2013/02/02/auup%e3%81%...
**移行による導入 [#l6b0cc3d]
[[Active Directory(移行)]]
**technet.microsoft.com [#p061a080]
***計画と設計 [#b37d1ba0]
ソリューション アクセラレータ > インフラストラクチャの計...
-Planning and Design シリーズのアプローチ~
https://technet.microsoft.com/ja-jp/library/cc268215.aspx
-Active Directoryのプランニングとデザインについて~
https://technet.microsoft.com/ja-jp/library/cc268201.aspx
-マイクロソフトのIO(Infrastructure Optimization)におけ...
https://technet.microsoft.com/ja-jp/library/cc268198.aspx
-Active Directoryのデザイン プロセス~
https://technet.microsoft.com/ja-jp/library/cc300146.aspx
-Step
--1: フォレストの数を決定する~
https://technet.microsoft.com/ja-jp/library/cc268202.aspx
--2: ドメインの数を決定する~
https://technet.microsoft.com/ja-jp/library/cc268203.aspx
--3: ドメイン名を割り当てる~
https://technet.microsoft.com/ja-jp/library/cc268204.aspx
--4: フォレスト ルート ドメインの選択~
https://technet.microsoft.com/ja-jp/library/cc268205.aspx
--A
---1: OU の構造をデザインする~
https://technet.microsoft.com/ja-jp/library/cc268206.aspx
--B
---1: ドメイン コントローラの配置ついて決定する~
https://technet.microsoft.com/ja-jp/library/cc268207.aspx
---2: ドメイン コントローラの数を決める~
https://technet.microsoft.com/ja-jp/library/cc268208.aspx
---3: グローバル カタログの配置を決める~
https://technet.microsoft.com/ja-jp/library/cc268209.aspx
---4: 操作マスタ役割の配置を決定する~
https://technet.microsoft.com/ja-jp/library/cc268210.aspx
--C
---1: サイト デザインを実施する~
https://technet.microsoft.com/ja-jp/library/cc268211.aspx
---2: サイト リンクをデザインする~
https://technet.microsoft.com/ja-jp/library/cc268212.aspx
---3: サイト リンク ブリッジをデザインする~
https://technet.microsoft.com/ja-jp/library/cc268213.aspx
--D
---1: ドメイン コントローラのコンフィグレーションを決定す...
https://technet.microsoft.com/ja-jp/library/cc268214.aspx
-まとめ~
https://technet.microsoft.com/ja-jp/library/cc268200.aspx
-Appendix: 補足資料~
https://technet.microsoft.com/ja-jp/library/cc300145.aspx
-謝辞~
https://technet.microsoft.com/ja-jp/library/cc268197.aspx
----
Tags: [[:Active Directory]], [[:認証基盤]]
終了行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-[[戻る>ドメイン サービス (AD DS)]]
* 目次 [#yc660707]
#contents
*設計のポイント [#r91e5dec]
**[[DNSサーバ]] [#cda39986]
-[[DNSサーバ]]は、UNIXやLinuxでおなじみのBINDなどが使える...
簡単に運用したいのであればドメイン・コントローラにWindows...
--DNSは標準規格であり、当然のことであるが、マイクロソフト...
---上位ドメインにBINDがあっても下位ドメインにBINDがあって...
---また、プライマリ・サーバーがBINDでセカンダリ・サーバー...
---しかし、マイクロソフトDNSは、比較的新しい規格を採用し...
--クライアントを変更する必要はない。~
Windows 9x、Windows NTクライアントは、[[Active Directory]...
***[[DNSサーバ]]要件 [#z8995cac]
***パターン [#e7bc805f]
**ドメイン論理構造 [#z70cc734]
-フォレスト、ドメインなどの名称と構造は後の変更が容易では...
-ドメイン構造の変更は極めて困難なので、なるべくなら単一ド...
***単一ドメイン [#a475392e]
-ドメイン構造の変更は極めて困難なので、なるべくなら単一ド...
-[[ドメイン サービス (AD DS)]]に登録された情報は、同一ド...
従って部門ごとに管理権限を委任したい場合などは、ドメイン...
可能な限り単一ドメイン内のOUとして構成するべきだ。
***複数ドメイン [#jf8d068e]
-観点
-例
--(1)日本とフランスにオフィスがあり、
---それぞれ管理者がいる。
---社員の出張は年に1・2度
---ネットワークリソース共有の必要性は少ない。
>>このような場合、両方のオフィスのオブジェクトの集中管理...
***単一フォレスト [#x197658d]
-[[Active Directory]]の操作範囲はフォレスト内に限られるた...
-例えばフォレストを分けて[[Active Directory]]を構成すると...
-後からフォレストを結合することもできないため、[[Active D...
***ドメイン・コントローラ [#if0f194d]
-1つのドメインには、1台以上のドメイン・コントローラが必...
-可用性向上のための[[冗長化>#k8179082]]のために、通常2台...
-2台のドメイン・コントローラはマルチマスタ・レプリケーシ...
-ストレージ関連
--以下のフォルダが存在する。
---NTDS
---SYSVOL
---ログ・ファイル
--各フォルダの容量見積もりは行うこと。
--セキュリティを考慮し、
---SYSVOLについては、NTFSでフォーマットする。
---通常は、全てのパーティションをNTFSでフォーマットする。
-ネットワーク関連
--DHCPクライアントを使用している状態でもサーバを~
ドメイン・コントローラに昇格させることはできる。
--ただし、DHCPサーバの障害時にクライアントがドメイン・コ...
特定できなくなる可能性があるので通常は、静的IPアドレスを...
***FQDNの設計方法 [#w75557bc]
**ネットワーク物理構造 [#z421d460]
***サイト、サイトリンク [#r1470121]
-WAN回線で結ばれた複数の拠点に分かれているようなネットワ...
それぞれの拠点ごとに別々のサイトになるように定義するとよ...
--複数の拠点を1つのサイトにしてしまうと、~
認証などに必要な拠点間でのネットワーク・トラフィックが非...
--複数のサイトに分けておくと、~
サイト間のトラフィックは自動的に最適化され、トラフィック...
-サイトを構成していない場合には、
--クライアントからのログオン認証が(ネットワーク的に)近...
--ドメイン・コントローラ間の複製データも圧縮されないため、...
--そのため、ほかの通信でWAN回線を利用するサービスの応答が...
-サイトの構成
--各「サイト」は、高速で安定した通信が可能な、1つの物理的...
一般的にはLAN環境(高速なLAN回線で相互に接続されているひ...
--サイトには、1つ以上のIPサブネットを割り当てる。
---つまり、同一サブネット内であれば、高速で安定した通信が...
(VPN技術などを使えば拠点をまたぐような同一サブネットを構...
そのようなことはせずに、拠点ごとに異なるサブネットにする...
---LANの内部で複数のサブネットを利用している場合は、~
1つのサイトに複数のIPサブネットを割り当てることもできる~
(複数のサブネットをすべてまとめて1つのサイトにすることも...
**ディレクトリ・サービス構造 [#rced99eb]
***[[グローバル カタログ>Active Directory(グローバル カ...
***組織単位(OU) [#f81522cc]
-管理を簡素化するためには、特に理由なくOUを階層化すべきで...
-なにも、会社の組織図どおりに設定する必要はないのだ。
-例えば、
--営業部の全員が同じ地域におり、
--同じアプリケーションを使い、
--同じポリシーを適用するのであれば、
-営業部OUの中に
--第一営業部OU、
--第二営業部OU
>といった階層を設けるのは、無意味なことが多い。
**セキュリティ・グループ [#ld5f7f90]
-ユニバーサル・グループ
--混在モードの場合~
後述の「配布グループ」としてメールのあて先に使用する。
--ネイティブ・モードの場合~
別ドメインのユーザやグループが登録できる、~
最も汎用性が高いグループとして使用できる
-グローバル・グループ(人事用グループ)
--混在モードの場合~
NTドメインのグローバル・グループと同様の機能となる
--ネイティブ・モードの場合~
同じドメインのグローバル・グループをネストできる。~
使い方は従来と同じく、ユーザを組織化する目的で使用する。
-ドメイン・ローカル・グループ(リソース用グループ)
--ドメイン全体で使えるローカル・グループ。
--リソースを公開したいコンピュータ上で使用。
--リソースに対してドメイン・ローカル・グループを割り当て...
--ドメイン・ローカル・グループにグローバル・グループ(人...
--これにより、リソースと人事上の変更を別々に管理できる。
***有効範囲と機能的な違い [#g4b7f8c7]
-ネイティブ・モード環境
|>|>|>|ネイティブ・モード環境|h
|グループ範囲名|使用目的|含むことのできるメンバー|有効範囲|
|ドメイン・ローカル・グループ|セキュリティ設定|フォレスト...
|~|~|フォレスト内の全ドメインのグローバル・グループ|~|
|~|~|フォレスト内の全ドメインのユニバーサル・グループ|~|
|~|~|同じドメイン内のドメイン・ローカル・グループ|~|
|グローバル・グループ|ドメイン内の組織化|同じドメイン内の...
|~|~|同じドメイン内のグローバル・グループ|~|
|ユニバーサル・グループ|ドメインをまたがる組織化|フォレス...
|~|~|フォレスト内の全ドメインのグローバル・グループ|~|
|~|~|フォレスト内の全ドメインのユニバーサル・グループ|~|
-混在モード環境
|>|>|>|混在モード環境|h
|グループ範囲名|使用目的|含むことのできるメンバー|有効範囲|
|ドメイン・ローカル・グループ|セキュリティ設定|フォレスト...
|~|~|フォレスト内の全ドメインのグローバル・グループ|~|
|グローバル・グループ|ドメイン内の組織化|同じドメイン内の...
|ユニバーサル・グループ|―|―|―|
-サマリ
--グループ・アカウントには、それぞれスコープがあり、~
利用範囲(そのグループ・アカウントを参照/検索できる範囲...
--下位のグループは、上位のグループを含むことができるが、...
(下位のグループは、上位のグループを知らないから追加でき...
***特徴 [#ddf39567]
-ユニバーサル・グループ
--使用制限がないため、簡便な方法。
---ユーザーを直接割り当て可能
---グループをネストが可能
---全ドメインのリソース オブジェクトの[[ACL・ACE]]に配置...
GC ([[グローバル カタログ>Active Directory(グローバル カ...
注:性能に影響する。
-グローバル・グループ
--グローバル・グループを他のグローバル・グループにネスト...
--同一ドメイン内にあるリソース オブジェクトの[[ACL・ACE]]...
GC (グローバル カタログ) に保管されるが、メンバの情報はレ...
-ドメイン・ローカル・グループ
--GC クエリに対して効力がないため、~
[[Active Directory]]オブジェクトへのアクセス許可の割り当...
--[[Active Directory]]オブジェクトでない~
特定のリソース (ファイル サーバーの共有やプリンタ キュー...
***用途 [#d5fae4f5]
-ユニバーサル・グループ~
高機能であるが、レプリケーションの性能に影響。
-グローバル・グループ(人事用グループ)
--複数のグループを1つにまとめて分かりやすい別名を付ける。
--OU (組織単位) をネストし、OU ツリー上の階層レベルに合わ...
-ドメイン・ローカル・グループ(リソース用グループ)
--実際に、[[ACL・ACE]]に配置する。
***ポリシー [#i2ae7bb4]
A-G-L-P(I-G-L-A)やA-G-DL-P(I-G-DL-A)などのポリシーが...
-ポリシーを構成する要素
--A:アカウント(I:アイデンティティ)
--G:グローバル・グループ
--U:ユニバーサル・グループ
--DL:ドメイン・ローカル・グループ
--L:ローカル・グループ
--P:パーミッション(A:アクセス([[ACL・ACE]]))
-ポリシーのコンセプト
--A-U-P(小規模向け)
---ユニバーサルグループを利用
---ユーザーではなくユニバーサルグループにアクセス権を付与...
---別の人が権限を引き継ぐ際や別の人にも同じ権限を付与する...
直接アクセス権をいじらずともメンバの変更だけで済む。
--A-G-L-P(基本的なポリシー、[[Active Directory]]管理者と...
---ローカル・グループを積極的に使うのが特徴
---アカウントをまとめるグループと権限を付与するグループ(...
ローカル・グループ:権利の割当(つまり資源管理)~
グローバル・グループ:ユーザーの分類。
---ローカル・グループはサーバー管理者権限が、~
[[Active Directory]]の権限がなくても勝手に作成、メンバ変...
---欠点:ローカル・グループはサーバー単位にしか存在しない...
複数サーバーで同じ事をやろうとするとサーバー毎に設定が必...
---欠点:ドメインをまたがる権限設定ができない。
--A-G-DL-P([[Active Directory]]管理者とサーバー管理者が同...
---コンセプトはAGLPと一緒、複数のサーバがある環境に適して...
---ドメイン・ローカル・グループは、同一ドメイン内の全サー...
複数のサーバから利用でき、A-G-L-Pの欠点であるサーバー毎の...
---ドメイン・ローカル・グループの作成にはドメイン管理者の...
[[Active Directory]]はオブジェクト作成の権限をほかのユー...
---適当な組織単位(OU)を作成し、プロジェクト管理者に対し...
そのOUにローカル・グループの作成を許可する権限を与える。
---欠点:ドメイン・ローカル・グループは[[ドメイン サービ...
[[Active Directory]]の管理者権限が必要となる。OUへの権限...
---欠点:ドメインをまたがる権限設定ができない。
--A-G-U-DL-P(マルチドメインの大規模環境に向け)
---コンセプトはA-G-L-P, A-G-DL-Pと一緒
---ユニバーサル・グループでグローバル・グループを~
まとめる事によってドメインをまたがる権限設定を行えるよう...
-ベスト・プラクティスは、A-G-(U)-DL-P。
--A-G-DL-Pという管理手法は、TCO削減やわかりやすさ、効率性...
するための一つの方法としてマイクロソフトが推奨している方...
--この戦略のポイントは、次の通り。
+++Gはあくまでもユーザーを束ねるだけに使用する。
+++リソースの権限を付与するのはDL。
+++DLに対してGを入れ込む。
**[[操作マスタ(FSMO)>Active Directory(操作マスタ・FSMO...
***フォレスト単位 [#u839ff7d]
各フォレスト毎に1台必要。
-スキーマ マスタ
--インストール後のスキーマ・マスタの変更は容易では無い。
-ドメイン名前付けマスタ
***ドメイン単位 [#dc06e165]
各ドメイン毎に1台必要。
-PDCエミュレータ
-RID(Relative ID)プール マスタ
-インフラ ストラクチャ マスタ
--マルチドメイン環境では、[[グローバル カタログ>Active Di...
--インフラ ストラクチャ マスタのオブジェクトの情報が最新...
[[グローバル カタログ>Active Directory(グローバル カタロ...
***転送と強制 [#yc32c326]
-大幅なネットワークインフラストラクチャノ変更を除き~
操作マスタ(FSMO)を他のDCに割り当てる(転送する)必要は...
-以下のケースで操作マスタ(FSMO)を他のDCに割り当てる(転...
--メンテナンスのため長期間オフラインにする。
--メンバサーバに降格する。
-また、以下のケースで操作マスタ(FSMO)を他のDCに割り当て...
--ハードウェア障害等で操作マスタ(FSMO)が存在しなくなっ...
--強制した場合、復旧した操作マスタ(FSMO)は
そのままオンラインにはできないので、降格後→再昇格する。
--参考:[[Active Directory(バックアップ)]]
**機能レベル [#pca75c42]
古いドメイン コントローラが混在する環境等で使用する。~
新しい機能は古いDCでは使用できないので機能レベルで制限し...
機能レベルには、以下の2種類がある。
-ドメインの機能レベル:ドメインの機能にだけ影響する。
--Windows 2000ネイティブ
---既定のドメインの機能レベル
---Windows 2000 Server、Windows Server 2003、Windows Serv...
---ユニバーサルセキュリティグループ、SIDヒストリの機能を...
--Windows 2003
---Windows Server 2003、Windows Server 2008のDCをサポート
---Windows Server 2003 [[Active Directory]]のすべての機能...
---例:DC名の変更、アカウントの既定の作成場所の変更
--Windows 2008
---Windows Server 2008のDCをサポート
---Windows Server 2008 [[Active Directory]]のすべての機能...
---例:DFSを使用してSYSVOLをレプリケート、特定ユーザに異...
-フォレストの機能レベル:フォレストの機能にだけ影響する。
--Windows 2000ネイティブ
---既定のフォレストの機能レベル、どのドメインの機能レベル...
--Windows 2003
---全てのドメインの機能レベルをWindows 2003にする。
---Windows Server 2003 [[Active Directory]]のすべての機能...
---例:DC名の変更、フォレスト間の信頼
--Windows 2008
---全てのドメインの機能レベルをWindows 2008にする。
---Windows Server 2008 [[Active Directory]]のすべての機能...
---例:・・・
-機能レベルは一度上げると下げられない。
**[[DCの冗長化]] [#k8179082]
**インストール要件 [#s3978d3a]
・・・
**その他 [#fcd2d703]
***草の根[[Active Directory]]ドメイン [#cdb833b0]
-ボトムアップ的に[[Active Directory]]ドメインを構築するこ...
-建前としてはできない。~
--しかし、以下のように設定すれば草の根的に[[Active Direct...
--「草の根的な[[Active Directory]]」とは、ネットワーク管...
ある部署内だけで独自に立ち上げている[[Active Directory]]...
++[[DNSサーバ]]を独自にインストールする(草の根[[DNSサー...
++草の根[[DNSサーバ]]に適当なドメインを作る(草の根ドメイ...
++[[DNSサーバ]]のプロパティにあるフォワーダ・フィールドに...
++草の根ドメインに[[Active Directory]]をインストールする
++草の根ドメインのクライアントは、草の根[[DNSサーバ]]へ照...
*[[Active Directory]]の導入計画 [#t008bb0a]
**Active Directoryの導入に必要なコストは? [#a7429964]
-ネットワーク・インフラ
--TCP/IPを標準とし、社内用の[[DNSサーバ]]を設定する必要が...
--社内用[[DNSサーバ]]は[[Active Directory]]ドメイン・コン...
-サーバPC~
拠点ごとに1台、全社で(1ドメインあたり)2台以上のサーバが...
--[[Active Directory]]のドメイン・コントローラ1台
--可用性向上のための1台以上の追加ドメイン・コントローラ)。
-ソフトウェア・ライセンス
--Windows Serverライセンスがサーバ数だけ必要
--ログオン・ユーザー数だけのクライアント・ライセンスが必要
-移行コスト
--移行する場合、移行コストを計上する必要がある。
--移行コストは、移行パターンによって大きく異なる。
-アプリケーション・コスト
使用中のアプリケーションが新しいプラットフォームに対応し...
対応するプラットフォームへ環境移行する必要がある。また、...
*参考 [#p3695329]
**ポリシー [#be39e348]
-グループ・アカウントの種類を知る - @IT~
http://www.atmarkit.co.jp/fwin2k/win2ktips/737groups/grou...
-管理者のためのActive Directory入門:第8回~
Active Directoryの導入後の作業 (3-3) - @IT~
http://www.atmarkit.co.jp/ait/articles/0303/28/news002_3....
-ASCII.jp:Windows Serverで学ぶサーバOS入門~
Active Directoryのアカウントとグループとは?~
ユーザーアカウントやグループ、グループ戦略~
「AGLP、AGDLP、AUP、AGUDLP」を知ろう~
--http://ascii.jp/elem/000/000/504/504463/
--http://ascii.jp/elem/000/000/504/504463/index-2.html
--http://ascii.jp/elem/000/000/504/504463/index-3.html
--http://ascii.jp/elem/000/000/504/504463/index-4.html
-ドメインローカルグループとグローバルグループの使い分けに...
http://social.technet.microsoft.com/Forums/windowsserver/...
-Windows Serverで学ぶサーバOS入門 ― 第8回~
小規模向けのAUPと大規模環境向けのAGUDLPについても学ぼう~
「機能レベル」でActive Directoryの互換性を確保しよう~
http://ascii.jp/elem/000/000/505/505060/
-AUUPで良いのでは? - ActiveDirectoryのグループ設計はどう...
(AGDLP, AGUDLP, AUP, AU(U)P) WindowsServer管理者への道~
http://ebi.dyndns.biz/windowsadmin/2013/02/02/auup%e3%81%...
**移行による導入 [#l6b0cc3d]
[[Active Directory(移行)]]
**technet.microsoft.com [#p061a080]
***計画と設計 [#b37d1ba0]
ソリューション アクセラレータ > インフラストラクチャの計...
-Planning and Design シリーズのアプローチ~
https://technet.microsoft.com/ja-jp/library/cc268215.aspx
-Active Directoryのプランニングとデザインについて~
https://technet.microsoft.com/ja-jp/library/cc268201.aspx
-マイクロソフトのIO(Infrastructure Optimization)におけ...
https://technet.microsoft.com/ja-jp/library/cc268198.aspx
-Active Directoryのデザイン プロセス~
https://technet.microsoft.com/ja-jp/library/cc300146.aspx
-Step
--1: フォレストの数を決定する~
https://technet.microsoft.com/ja-jp/library/cc268202.aspx
--2: ドメインの数を決定する~
https://technet.microsoft.com/ja-jp/library/cc268203.aspx
--3: ドメイン名を割り当てる~
https://technet.microsoft.com/ja-jp/library/cc268204.aspx
--4: フォレスト ルート ドメインの選択~
https://technet.microsoft.com/ja-jp/library/cc268205.aspx
--A
---1: OU の構造をデザインする~
https://technet.microsoft.com/ja-jp/library/cc268206.aspx
--B
---1: ドメイン コントローラの配置ついて決定する~
https://technet.microsoft.com/ja-jp/library/cc268207.aspx
---2: ドメイン コントローラの数を決める~
https://technet.microsoft.com/ja-jp/library/cc268208.aspx
---3: グローバル カタログの配置を決める~
https://technet.microsoft.com/ja-jp/library/cc268209.aspx
---4: 操作マスタ役割の配置を決定する~
https://technet.microsoft.com/ja-jp/library/cc268210.aspx
--C
---1: サイト デザインを実施する~
https://technet.microsoft.com/ja-jp/library/cc268211.aspx
---2: サイト リンクをデザインする~
https://technet.microsoft.com/ja-jp/library/cc268212.aspx
---3: サイト リンク ブリッジをデザインする~
https://technet.microsoft.com/ja-jp/library/cc268213.aspx
--D
---1: ドメイン コントローラのコンフィグレーションを決定す...
https://technet.microsoft.com/ja-jp/library/cc268214.aspx
-まとめ~
https://technet.microsoft.com/ja-jp/library/cc268200.aspx
-Appendix: 補足資料~
https://technet.microsoft.com/ja-jp/library/cc300145.aspx
-謝辞~
https://technet.microsoft.com/ja-jp/library/cc268197.aspx
----
Tags: [[:Active Directory]], [[:認証基盤]]
ページ名:
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
