Embed Size (px)
DESCRIPTION
.NETラボ 勉強会 2013年07月の資料です。 会社で使っているけどよくわかっていない、そもそも「なにそれおいしいの?」という初心者向けにActiveDirectoryの基本的な内容をお話しさせていただきました。 ※一部社内資料として使いやすいように削除いたしました。 こちらのサイトで元のPPTXファイルをダウンロードしていただけます。 http://sonic.blue/it/1
Citation preview
初心者でもわかるActiveDirectoryの基本(なにそれ?おいしいの?)
講師 .NETラボ 岡田 将
アジェンダ
企業内での認証の必要性
ワークグループとActiveDirectoryの違い
ActiveDirectoryの仕組み
ActiveDirectoryで出来ること
ActiveDirectoryの便利な使い方
Windows Server 2012での新機能
まとめ
OK
OK
OK
企業内での認証の必要性ネットワークを利用して便利になったけど、気をつけなければならないことがあります
社内のドキュメント共有(共有フォルダへのアクセス)
ファイルサーバーに誰でもアクセス出来ちゃまずいよね・・・
(人事や経理のファイルとか社外秘ファイルなどなど)
業務用アプリの起動
誰でも商品の原価や販売価格の設定ができたらまずいよね・・・
(データベースアクセスやクライアントアプリ、Webアプリなど)
不正アクセス(ライバル企業やハッカーなど)
顧客のデータや個人情報などが盗まれたらまずいよね・・・
(気がつかないと売り上げ低下や下手すると賠償問題に)
OK
OK
NG
ワークグループとActiveDirectoryの違いWindowsServerでできるユーザーIDとパスワード管理の方法にはこの2つの方法があります
ワークグループでの管理(個別管理)
基本的なユーザーIDとパスワードの管理機能で、おもに小規模ネットワークに利用される。
一つのサーバーごとにしかユーザーIDとパスワードの管理ができないため、サーバーが増えるごとに同じ分だけ登録しなければならないので大規模な管理はできない。
クライアントの設定も個人ごとに設定しなければならない。
※ファイル共有だけならNASサーバーやWindowsHomeServerなどでも可能。
ActiveDirectoryでの管理(統合管理)
ユーザーIDとパスワードなどの管理機能をもった統合管理サーバーを導入することで、全部のサーバーに同一のIDをユーザーIDとパスワードでログインすることができるようにする。
「ドメインネットワーク」とよばれ複数サーバーを導入している大規模なネットワークに利用される。
クライアントの設定も一括して可能になるが、ドメイン参加機能をもった企業向けOSに限られる。(Professional以上)
ActiveDirectoryの仕組みActiveDirectoryではドメイン認証サービスを利用した複数の機能が搭載されています
ActiveDirectoryサービスの機能
1. Active Directory ドメインサービス(統合認証)
Active Directoryは「ドメイン」という単位で管理する範囲を定義していて、ユーザーログオン、
統合認証、ディレクトリ検索などでユーザーとドメインとの間の信頼関係が管理されます。
2. Active Directory ライトウェイトディレクトリ サービス(簡易情報連携)
Active Directoryのディレクトリ検索機能のみをLDAP(Lightweight Directory Access Protocol)
を通じて他のアプリケーション利用に適した情報として利用できるようにするサービスです。
3. Active Directory Rights Management サービス(情報保護)
ファイル単位でAD認証のセキュリティ設定が可能になり情報漏えい対策を行うことができる。
(ファイル形式がADRMSに対応している必要がある)
4. Active Directory フェデレーション サービス(シングルサインオン)
企業間での安全な相互ログイン認証が可能になる。
5. Active Directory 証明書サービス(AD用認証局)
Webサービスなどで利用するSSLなどをAD認証下で利用して証明書の配布を容易に実現できる。
ActiveDirectoryの仕組みActiveDirectoryは「ドメイン」という単位で複数の機能を利用して実行されています
ActiveDirectoryドメインサービスに必要なもの
ドメイン名
(管理する領域?の名前を決めましょう。)
DNSサービス
(社内向けに各サーバーやPC間の名前解決が必要)
固定IP
(社内DNSサーバーと兼用になるので決めないと困る)
設定するユーザーID、パスワード、その他情報
(さすがに一人ではADは使わないよね)
設定するグループ、管理情報など
(営業グループとか経理グループとか人事グループとか)
ActiveDirectoryの仕組みActiveDirectoryでは簡単なユーザー情報を管理しています
スキーマ 説 明
localpany 会社名
department 部署
distinguishedName 識別名
displayName 表示名
givenName 名
mail メールアドレス
msDS-PhoneticDisplayName 表示名のふりがな
name 名前(相対識別名として機能する)
saMAccountName SAMアカウント名
sn 姓
te lephoneNumber 電話番号
title 役職
userPricipal ユーザプリンシパル名
ActiveDirectoryの仕組みドメインにユーザーとPCを参加させる必要があります
ActiveDirectoryの信頼関係の構成
ドメインコントローラー
ドメイン登録したサーバー
ドメイン登録したPC
ドメイン登録したユーザー
ActiveDirectoryの仕組み
ドメインコントローラー
ドメインへのログインPCが単体同士で許可していましたがドメインコントローラーへ問い合わせてログインします
ログイン許可
ユーザーがPCにログイン
ログイン認証
ActiveDirectoryの仕組み
ドメインコントローラー
共有フォルダへのアクセスサーバーアクセスもドメインコントローラーへ問い合わせてアクセス許可がおります
ログイン済み
共有フォルダアクセス
アクセス確認アクセス許可
グループでの管理
グループごとに管理が可能。
OU(Organizational Unit:組織単位)での管理
グループの垣根をこえた管理が可能。
ActiveDirectoryの仕組みActiveDirectoryではグループ(またはOU)の設定をすることで集中管理できます
ActiveDirectoryの仕組み
ドメインコントローラー
グループ設定での共有フォルダへのアクセスグループごとの設定が可能
営業グループはOK
営業グループ企画グループ
企画グループはOKだけど営業グループはNG
ActiveDirectoryの仕組み
ドメインコントローラー
OU(Organizational Unit:組織単位)での共有フォルダへのアクセス
グループを超えてOUでアクセス許可設定も可能(共用プリンタなども設定可能)
営業グループはOK
営業グループ企画グループ
プロジェクトチームフォルダはOK
プロジェクトチーム
ActiveDirectoryの連携構成
ドメイン単体 フォレスト(森)
ドメインツリー(木)
ActiveDirectoryの仕組みActiveDirectoryの認証は他のADと連携して信頼関係の領域を拡大することができます
Tokyo.
Labo.local
Nagoya.
Labo.local
Osaka.
Labo.local
Tokyo.
Labo.local
Nagoya.
Labo.local
Osaka.
Labo.local
Tokyo.
Labo.local
LasVegas.
UsLabo.localNY.
UsLabo.local
Los.
UsLabo.local
Roma.
EuLabo.localParis.
EuLabo.local
London.
EuLabo.local
ActiveDirectoryの便利機能ドメインで設定することでユーザーIDの管理以外にいろんなことが集中管理できます
ポリシーの管理
ユーザーポリシー、グループポリシーなどで、インストール制限やUSBメモリ制限などが
できる。パスワードポリシー設定で強固なパスワード(ゆるいのも可)にすることも可能。
もちろんWindowsストアアプリの制限も可。
セキュリティーの管理
ユーザーセキュリティー、グループセキュリティーなどの管理が可能。
ログイン履歴管理
ログイン、ログオフのログや認証失敗などのログを管理することで不正アクセスを発見することができる。
ActiveDirectoryの便利機能ちょっと上級者向け機能
ログイン(ログオフ)スクリプトの設定
ログイン時にADに設定されているスクリプトを自動的に実行することができる。
ネットワークドライブ設定やセキュリティソフトの更新を自動的に行ったりすることが可能。
Windows PowerShellの利用
Windows PowerShellでは管理用のコマンドが用意されているため、AD管理者が
使いこなせれば便利に使うことができる。
Linuxサーバーとの連携
SUA(Subsystem for Unix Application)やSambaなどを利用することで統合認証の連係が可能。しかしグループの連携を行う場合は設定が複雑になる。
ActiveDirectoryの便利機能ちょっと上級者向け機能(PowerShellでできること)もちろん.NET Frameworkを使ったPGで制御もできます
作業の概要
Active Directory モジュールを読み込む
利用できるコマンドレットを表示する
Active Directory ドメインを参照する
すべてのユーザー オブジェクトを表示する
Guest ユーザー オブジェクトを有効にする
Domain Admins グループに関する情報を表示する
ドメインに関する情報を表示する
ドメイン コントローラーに関する情報を表示する
ドメイン パスワード ポリシーに関する情報を表示する
新しい組織単位を作成する
新しい組織単位のプロパティを表示する
新しい組織単位を削除する
Windows Server 2012での新機能
BYOD(Windows 8.1またはiOSデバイス)の参加(2012R2)
Workplace Joinと呼ばれる機能で簡易ログオンすることでドメイン参加が可能になります。
ゴミ箱(2008R2以降)
デフォルトでゴミ箱が有効になりました。
Windows PowerShell3.0で管理機能が追加
いろいろ出来ることが追加になっています。
Windows Azureの新機能
Windows Azure Active Directory のサービスが提供されました。
Microsoft Office 365 や Windows Intune などのクラウド アプリケーションに対しての
機能ですが、内部のWindows Server Active Directory との統合も簡単に行うことが
可能です。
大規模なネットワークでは必須
企業間で相互認証が必要な場合は必須
サーバー管理者が楽をしたいから導入(おいしい)
ユーザーサポートを減らしたいから導入(おいしい)
中小企業でもWindows Server 2012 Essentialsで簡易的なAD環境が簡単に構築可能(25人規模まで)
コストもそれなりにかかるし初期設定も大変だけどおいしいところもあるので導入を考えてみてください
まとめ
ご清聴ありがとうございました
参考資料
Active Directoryとは何か?
http://www.atmarkit.co.jp/ait/articles/0209/12/news003.html
Windows Server 2012のActive Directory
http://www.atmarkit.co.jp/fwin2k/productreview/win812/win812_01.html
グループポリシー管理コンソール (GPMC)
http://www.microsoft.com/ja-jp/download/details.aspx?id=21895
Windowsストア・アプリをグループ・ポリシーで管理する
http://www.atmarkit.co.jp/ait/articles/1305/09/news104.html
Active DirectoryとLinuxの認証を統合しよう
http://gihyo.jp/admin/serial/01/ad-linux
