読み取り専用のディレクトリ

2009 年 xx 月 xx 日
マイクロソフト株式会社
本資料に記載されている情報は、2009 年５月現在のものです。
製品情報、製品・機能内容、開発スケジュール、マーケティング施策などの全ての情報は予告無く変更されることがあります。あらかじめご了承ください。
Active Directory の強化
ブランチオフィスへの展開
読み取り専用ドメインコントローラ
セキュリティ強化
きめ細かなパスワードポリシー、ディレクトリ監査
管理性の向上
New
Active Directory Recycle Bin、Active Directory PowerShell etc…
まとめ
Active Directory の強化
基本アーキテクチャは変えずに機能強化
新しい利用形態の提供
管理性の向上
・管理性の大幅な向上
・コマンドライン管理機能の強化
・ブランチオフィスへの展開
・セキュリティ強化
・管理性の向上、管理コストの削減
2005 年
2000 年
2003 年
・Active Directory の実装
・LDAP, Kerberos, DNS,
PKI 等の標準技術の採用
・クライアント PC 管理
・セキュリティ・柔軟性の大幅な強化
・IT インフラとしての管理機能を強化
ポリシー管理 (GPMC)
パッチ管理 (WSUS)
権限管理 (RMS)
フェデレーション (ADFS ： WS 2003 R2 より)
Windows Server 2008 から ID & アクセス管理に関連した
各種サービスを「Active Directory サービス」として統合
統一されたアーキテクチャの下、各サービスの連携を強化
複雑性の低減、展開の簡略化、管理性の向上を実現し、新機能が
必要になった際、迅速に構成することが可能に
サーバーの役割として提供
Active Directory サービス
Active Directory
ドメインサービス
(AD DS)
Active Directory
証明書サービス
(AD CS)
Active Directory
フェデレーション
サービス
(AD FS)
Active Directory
Active Directory
ライトウェイト
Rights
ディレクトリサービス Management
(AD LDS)
サービス
(AD RMS)
本資料の範囲
Active Directory ドメインサービス (AD DS)
ドメインサービス
従来からの Active Directory
セキュリティと柔軟性を強化、管理性を向上
Active Directory 証明書サービス (AD CS)
電子証明書の発行と管理
証明書サービスの後継機能
エンタープライズ環境向けに機能強化
Active Directory フェデレーションサービス (AD FS)
組織を超えた異なる認証基盤の連携
WS-Federation 、WS-Security などに準拠した相互接続性
HTTP ベースのフェデレーション
IIS 7.0 に対応
Active Directory ライトウェイトディレクトリサービス
(AD LDS)
アプリケーション用の LDAP ディレクトリサービス
AD AM ( Active Directory Application Mode ) の機能を網羅
Active Directory Rights Management サービス(AD RMS)
アプリケーションと連携したデジタルコンテンツ保護
Windows Rights Managements Services (RMS) を
Active Directory サービスに統合
AD FS と連携し、組織を超えたコンテンツ保護を新たに実現
Windows Server 2003 までの基本アーキテクチャを踏襲しつつ、
ブランチオフィスでの展開、セキュリティ強化、管理性の向上を
目的とした実装 / 新機能を追加
読み取り専用ドメインコントローラー (RODC)
読み取り専用のディレクトリを保持する DC としての構成が可能に
きめ細かなパスワードポリシー
同一ドメイン内での複数のパスワードポリシーの実装
ディレクトリ監査機能の強化
より詳細な監査ログの記録が可能
Active Directory ドメインサービスの OS からの分離
(サービス化)
DC の再起動をより少なくする新しい実装
Active Directory のスナップショット表示
Active Directory のスナップショットをマウント、参照可能
Windows Server 2008 Active Directory ドメインサービスの
アーキテクチャを継承、主に管理性向上を目的とした機能強化および
新機能の追加
Active Directory Recycle Bin
Active Directory 上のオブジェクトの復旧が容易に
Active Directory PowerShell
Active Directory の管理のためのコマンドレットの提供
Active Directory 管理センター
PowerShell ベースの新しい管理ツールの提供
Best Practices Analyzer
誤った構成などを未然に防ぐための新機能の実装
Active Directory Web サービス
Active Directory への Web サービスインターフェースの追加
Authentication Mechanism Assurance
ユーザーのクレデンシャルに応じたセキュリティ基盤の提供
オフラインドメイン参加
コンピューターのドメイン参加がオフラインでも可能に
Managed Service Account
パスワード管理、SPN 管理の容易なサービスアカウントの実現
ブランチオフィス
ソリューション
セキュリティ強化
管理性向上
セキュリティ強化
管理性向上
書き込みのできない、読み取り専用のディレクトリを持つ
ドメインコントローラーのインストールオプション
特徴
ディレクトリへの書き込みは行わない
書き込みの必要な処理は通常のドメインコントローラー
に紹介
ドメインコントローラーの複製の方向は一方向のみ
通常のドメインコントローラーからの複製を受けるのみ
(インバウンドのみ)
RODC からの複製操作 (アウトバウンド) は行わない
重要なデータをディレクトリに保持させないことが可能
ローカルにストアするパスワードの制御
重要な情報の複製制御
•
•
•
•
•
読み取り専用のディレクトリ
一方向の複製
パスワードの複製
管理者役割の分離
読み取り専用 DNS
ディレクトリの変更は不可
誤った操作によって、ディレクトリ全体へ
ダメージが及ぶことを回避
アカウントのパスワードは限定的に保持
盗難リスクの回避
RODC
書き込み可能な DC → RODC の方向のみ
監視、設計負荷が軽減
属性セットのフィルタリング
機密性の高い属性に対して複製のフィルタリングが可能
(アプリケーション開発者向けの機能)
SchemaFlagsEx = 1 となっている属性
システムの重要な属性 (LSA等) はフィルタ不可
複製
書き込み可能な DC
RODC
複製対象とするユーザーを管理者が定義可能
既定では無効 (複製可能なユーザーが定義されていない)
パスワード複製ポリシーで明示的に定義
最初のログオン時に複製される (ユーザー単位)
パスワード変更後の最初のログオン時に複製される
パスワード複製ポリシーで複製ルールを定義
複製許可リスト
(RODC の msDS-Reveal-OnDemandGroup 属性)
複製拒否リスト
(RODC の msDS-NeverRevealGroup 属性)
履歴を保持
複製されたパスワードは一括でリセット可能
クリアはできない
18
複製しない (規定値)
• 最もセキュア
• 書き込み可能 DC との接続が不可能な場合には
ログオン不可能
全員を複製対象にする
• 最も簡単に構成可能だがセキュアでない
ブランチオフィスのユーザーのみ複製
• 最も効果的だが設定の手間がかかる
• msDS-AuthenticatedToAccountList 属性を監視して
ブランチオフィスの利用者を把握する必要がある
19
ドメイン管理権限を与えずに、一般ユーザーに
RODC の管理権限を委任
マシンの操作 : ローカル Administrator 権限
サーバーの保守作業が可能
ドメインの操作 : user 権限
ドメインに対する管理権限なし
他の DC に対する管理権限なし
RODC のインストール時に指定
(あとから変更も可能)
1 ユーザーまたは 1 グループのみ指定可能
支店の管理者
RODC に DNS サーバーを構成可能
クライアントは RODC に照会して名前解決を実行
Active Directory 統合ゾーンにおける
動的更新は行わない
更新要求に対しては更新可能な DNS を紹介
RODC の DNS では、バックグラウンドで更新を実行した
DNS サーバーから更新済みレコードの複製を行う
RODC
• ネットワーク障害を考慮する
• DNS を RODC にインストールすることを推奨
• グローバルカタログを RODC にインストールすることを推奨
書き込み可能 DC
RODC
DNS
GC
DNS
GC
• サーバーの設置
• 同一サイトに同一ドメインの RODC を設置しない
• サイトトポロジ上もっとも近い場所に 2008 / 2008R2 DC を設置
• フォレストとドメインの機能レベル
• Windows Server 2003 以上
22
Windows Server 2003 DC からはドメインパーティションの複製が
できないため、RODC の複製パートナーは 2008 以上でなければならない
スキーマ
ドメイン
構成
ドメイン
Windows Server 2008/R2
DC
ｱﾌﾟﾘｹｰｼｮﾝﾃﾞｨﾚｸﾄﾘ
（DNS Zone）
ｸﾞﾛｰﾊﾞﾙｶﾀﾛｸﾞ
ドメイン
RODC
23
Windows Server 2003
DC
• RODC に対して書き込みを要求する
アプリケーションの場合は注意
•
•
書き込み可能 DC への [紹介] を追跡できるように
実装されている必要がある
紹介先にアクセスできない場合についても考慮が必要
• 複製が必要であるため、書き込み直後の参照は
注意が必要
• ユーザー管理系のアプリケーションなど
24
インストールウィザード
•
•
•
•
Dcpromo.exe またはサーバーマネージャーから起動
[詳細モード] を有効にすると [パスワード複製ポリシー] の設定が可能
自動応答ファイルを作成することが可能
メディアからインストールすることも可能
２ステージインストール (委任インストール)
•
•
•
事前に RODC アカウントを作成しておき、ブランチオフィスの
管理者にインストールを委任することが可能
アカウント作成時にウィザードを使用して必要情報を事前指定
ブランチオフィスでのインストールはほぼ自動的に完了
無人インストール
•
•
•
•
dcpromo.exe /unattend コマンドに自動応答ファイルを指定して起動
インストールから再起動まですべてを自動的に実施
サーバーコアへのインストールでも使用可能
アンインストールも無人で実施 25
ブランチオフィス
ソリューション
管理性向上
同一ドメイン内で複数のパスワードポリシーを
定義可能とする新実装
※従来はパスワードポリシーはドメイン単位でしか設定できなかった
異なるユーザーセット単位でポリシーを定義
例)
システム管理者グループ
厳格な設定 (パスワードの有効期間：14 日)
パワーユーザー
中間的な設定 (パスワードの有効期間：30日)
平均的なユーザー
一般的な設定 (パスワードの有効期間：90日)
適用できる単位
ユーザーオブジェクト (または inetOrgPerson)
グローバルセキュリティグループ
下記は不可
コンピュータオブジェクト
非ドメインユーザーアカウント
OU (組織単位)
新しいオブジェクトクラス
Password Settings Container
Password Settings オブジェクト (PSO)
パスワード設定に対する属性
パスワードの履歴を記録する
パスワードの有効期間
パスワードの変更禁止期間
最低限必要なパスワードの長さ
パスワードは、複雑さの要件を満たす必要がある
暗号化を元に戻せる状態でパスワードを保存する
アカウントロックアウト設定に対する属性
ロックアウト期間
アカウントロックアウトのしきい値
ロックアウトカウンタのリセット
ADSI Edit の場合
ADSI Edit で Password Settings オブジェクトを
追加 (ウィザード)
属性に適切な値を入力
パスワードポリシー
アカウントロックアウトポリシー
適用するグループまたはユーザーを入力
識別名 (DN) で指定
例) CN=yamano,OU=Sales,DC=microsoft, DC=com
複数指定可
Ldifde の場合
Ldif ファイルを作成 (pso.ldf 等)
Ldifde の実行
> ldifde -i -f pso.ldf
サンプルファイル (pso.ldf)
dn: CN=PSO1, CN=Password Settings
Container,CN=System,DC=dc1,DC=contoso,DC=com
changetype: add
objectClass: msDS-PasswordSettings
msDS-MaximumPasswordAge:-1728000000000
msDS-MinimumPasswordAge:-864000000000
msDS-MinimumPasswordLength:8
msDS-PasswordHistoryLength:24
msDS-PasswordComplexityEnabled:TRUE
msDS-PasswordReversibleEncryptionEnabled:FALSE
msDS-LockoutObservationWindow:-18000000000
msDS-LockoutDuration:-18000000000
msDS-LockoutThreshold:0
msDS-PasswordSettingsPrecedence:20
msDS-PSOAppliesTo:CN=user1,CN=Users,DC=dc1,DC=contoso,DC=com
New
Active Directory PowerShell の場合
Windows Server 2008 R2 では、
Active Directory PowerShell により設定可能
Cmdlet list:
New-ADFineGrainedPasswordPolicy
Set-ADFineGrainedPasswordPolicy
Get-ADFineGrainedPasswordPolicy
Remove-ADFineGrainedPasswordPolicy
Add-ADFineGrainedPasswordPolicySubject
Get-ADFineGrainedPasswordPolicySubject
Remove-ADFineGrainedPasswordPolicySubject
変更された属性の古い値と新しい値を記録
(削除と作成のログとして記録)
変更された属性名と変更前の値
変更された属性名と変更後の値
監査ポリシーにサブカテゴリを追加
ディレクトリサービスのアクセス
ディレクトリサービスの変更
ディレクトリサービスのレプリケーション
詳細なディレクトリサービスレプリケーション
設定方法
Windows Server 2008
サブカテゴリについては AuditPol コマンドで設定
Windows Server 2008 R2
サブカテゴリについてもグループポリシーエディタで設定可能
New
Windows Server 2008 R2 では、AuditPol.exe だけでなく、GUI から
設定可能に
グループポリシーエディタ
イベントログへ記録
変更前の値
変更後の値
グローバル監査ポリシー
グループポリシーで有効化 (サブカテゴリも有効になる)
アクセス制御リスト (SACL)
アクセスチェックを監査するかしないかをオブジェクトに
対して決定
スキーマ
監査対象の例外をスキーマに定義することが可能
各属性の searchFlags プロパティに設定
属性に変更が加えられても、変更イベントに記録しない
ブランチオフィス
ソリューション
セキュリティ強化
Active Directory ドメインサービスをサービスとして実装
※従来は OS と一体化
他のシステムサービスと同様、簡単に停止・再起動が可能
依存するサービスは、自動的にドメインサービスの再起動時に
再起動 (FRS, KDC, etc)
ドメインサービスのオフライン操作をより迅速に
Active Directory の DB (Ntds.dit) のメンテナンスがより容易に
サーバー再起動によるダウンタイムを削減
サービスの停止中はメンバーサーバーとして動作、他のサービスは
継続して提供
複数の Active Directory インスタンスをホスト可能に
Database Mounting Tool による Active Directory スナップショットの参照
Active Directory ドメインサービスの開始
ドメインサービスが開始されている状態
他の Windows 2000 Server または Windows Server 2003 を
実行する DC の場合と同じ
Active Directory ドメインサービスの停止
ドメインサービスが停止されている状態
ディレクトリサービス復元モードの DCと、ドメインに参加して
いるメンバサーバーの両方の特性を持つ
ディレクトリサービス復元モード
従来の Windows Server 2003 と同様
オンラインで Active Directory ドメインサービスの
スナップショットが参照可能に
削除されたデータの参照
(削除されたオブジェクトを実際に復元できるわけではない)
さまざまな時点のデータと比較し、リカバリ計画の決定が迅速に
手順
スナップショットを取得
Ntdsutil.exe を実行 (タスクでスケジュール)
スナップショットのボリュームを LDAP サーバー
として公開
Dsamain.exe (Database Mining Tool) を実行
LDAP ポートに接続し表示
Ldp.exe を実行
NTDSUTIL.EXE
VSS にてスナップ
ショットの取得
DSAMAIN.EXE
スナップショットを
LDAPとして公開
LDP.EXE
データの参照
(読み取り専用)
New
Active Directory (AD LDS) 上のオブジェクトに関する
ごみ箱機能の追加
オブジェクト復旧に要する Active Directory ドメイン
サービスのダウンタイム低減を実現可能
従来は…
誤操作などによる Active Directory オブジェクト削除への対応
-> バックアップからのリストアが必要
(ドメインコントローラーの再起動が必要)
Windows Server 2008 R2 では …
Active Directory Recycle Bin 機能による
削除済み Active Directory オブジェクトの復旧が可能
(ドメインコントローラーの再起動は不要)
Windows Server 2008 R2 Active Directory の新機能
Windows Server 2008 R2 機能レベルの追加による実装
利用するためには Windows Server 2008 R2 機能レベル
が必要
フォレスト内のすべてのドメインコントローラーが
Windows Server 2008 R2 である必要がある
既定では無効
一度有効とすると無効にはできない
新しい Active Directory オブジェクトステートの追加
“Logically deleted” , ”Recycled Object” ステートの追加
オブジェクト削除に関するプロセスの変更
(Active Directory のスキーマ拡張)
Recycle Bin 機能を利用しない場合には、Windows Server 2008 とほぼ同様
180 日
Live Object
Tombstone Object
オブジェクトの
ほとんどの属性情報の削除
Windows Server 2008
Windows Server 2008 R2
Live Object
Recycle Bin 有効
Deleted Object
オブジェクトの
属性情報を維持
※180 日間という期間は
“msDS-deletedObjectLifetime 属性
により定義される – 変更可能
ガベージコレクションの
実行による完全な削除
※180 日間という期間は
“TombstoneLifetime 属性
により定義される – 変更可能
Recycled Object
180 日
180 日
Garbage collection
Garbage collection
ガベージコレクションの
実行による完全な削除
オブジェクトの
ほとんどの属性情報の削除
※既定では振る舞いは
Tombstone Object と同様
Recycle Bin による復旧
バックアップからの復旧
Active Directory PowerShell による設定が必要
GUI ツールからは設定することができない
注意点
一度有効にしたら無効にできない
機能レベルとして Windows Server 2008 R2 が必要
フォレスト内のドメインコントローラーが全て Windows Server 2008
R2 である必要がある
サポートされる Windows Server 2008 R2 のエディション
Windows Server 2008 R2 Standard
Windows Server 2008 R2 Enterprise
Windows Server 2008 R2 Datacenter
以下のエディションではサポートされない
Windows Server 2008 R2 for Itanium-Based Systems
Windows Web Server 2008 R2
実行コマンド
Enable-ADOptionalFeature “Recycle Bin Feature” –Scope
Forest –Target “<Domain 名>”
Active Directory PowerShell による利用が必要
GUI ツールからは利用できない
実行コマンド
PowerShell Cmdlets の使用
Restore-ADObject
例) OU の復旧
Get-ADObject -Filter {Name -Like "*Sysplag*"} -SearchScope Subtree
-IncludeDeletedObjects | Restore-ADObject
New
Active Directory ドメインサービス (AD LDS) の管理性
を向上させるための PowerShell の実装
Active Directory ドメインサービス (AD LDS) の構成 / 管理が可能
85 以上の Cmdlet による管理
Web サービスプロトコル (WS-*) の利用によるリモート管理の実現
Get-Command -CommandType Cmdlet *-AD*
Add-ADComputerServiceAccount
Add-ADDomainControllerPasswordReplicationPolicy
Add-ADFineGrainedPasswordPolicySubject
Add-ADGroupMember
Add-ADPrincipalGroupMembership
Clear-ADAccountExpiration
Disable-ADAccount
Disable-ADOptionalFeature
Enable-ADAccount
Enable-ADOptionalFeature
Get-ADAccountAuthorizationGroup
Get-ADAccountResultantPasswordReplicationPolicy
Get-ADComputer
Get-ADComputerServiceAccount
Get-ADDefaultDomainPasswordPolicy
Get-ADDomain
Get-ADDomainController
Get-ADDomainControllerPasswordReplicationPolicy
Get-ADDomainControllerPasswordReplicationPolicyUsage
Get-ADFineGrainedPasswordPolicy
Get-ADFineGrainedPasswordPolicySubject
Get-ADForest
Get-ADGroup
Get-ADGroupMember
Get-ADObject
Get-ADOptionalFeature
Get-ADOrganizationalUnit
Get-ADPrincipalGroupMembership
Get-ADRootDSE
Get-ADServiceAccount
Get-ADUser
Get-ADUserResultantPasswordPolicy
Install-ADServiceAccount
Move-ADDirectoryServer
Move-ADDirectoryServerOperationMasterRole
Move-ADObject
New-ADComputer
New-ADFineGrainedPasswordPolicy
New-ADGroup
New-ADObject
New-ADOrganizationalUnit
New-ADServiceAccount
New-ADUser
Remove-ADComputer
Remove-ADComputerServiceAccount
Remove-ADDomainControllerPasswordReplicationPolicy
Remove-ADFineGrainedPasswordPolicy
Remove-ADFineGrainedPasswordPolicySubject
Remove-ADGroup
Remove-ADGroupMember
Remove-ADObject
Remove-ADOrganizationalUnit
Remove-ADPrincipalGroupMembership
Remove-ADServiceAccount
Remove-ADUser
Rename-ADObject
Reset-ADServiceAccountPassword
Restore-ADObject
Search-ADAccount
52
Set-ADAccountControl
Set-ADAccountExpiration
Set-ADAccountPassword
Set-ADComputer
Set-ADDefaultDomainPasswordPolicy
Set-ADDomain
Set-ADDomainMode
Set-ADFineGrainedPasswordPolicy
Set-ADForest
Set-ADForestMode
Set-ADGroup
Set-ADObject
Set-ADOrganizationalUnit
Set-ADServiceAccount
Set-ADUser
Uninstall-ADServiceAccount
Unlock-ADAccount
Active Directory Module Provider の実装
PSDrive としての AD (ADLDS、ADSnapshot) 管理
ネットワーク経由での複数フォレストの管理
コマンドプロンプトでのファイル管理のようなイメージでの
AD 管理の実現
New
Active Directory ドメインサービス管理用の
新しいユーザーインターフェースを提供
以下の作成と編集
ユーザー
グループ
コンピューター
組織単位 (OU)
Active Directory 管理センター
ドメイン、DC ごとの
ディレクトリ管理
※ ADLDS の管理は不可
Active Directory
PowerShell による
実装
※ Active Directory
Web サービスの利用
# TCP 9389 の使用
55
最近の
参照先
<List / Tree View ペイン>
List View
Tree View
のビューの切り替えが可能
<Overview ペイン>
標準では以下のコンテンツ
の登録
・パスワードのリセット
・検索
・Getting Started
ドメインのオブジェクトに
ついて管理・検索が可能
タスクペインでは、
ドメイン、フォレストの
機能レベル管理が可能
ドメインのオブジェクトに
ついての条件を指定しての
検索が可能
検索条件として指定可能な項目
Users with disabled/enabled accounts
Users with nonexpiring/expiring
password
指定した期間内に最後のログオンした
ユーザー
有効 (ロック) アカウントのユーザー
有効なアカウントを持ち、指定した日数
の間ログオンしていないユーザー
指定した日数でパスワードの有効期限が
切れるユーザー
指定したドメインコントローラーの種類
として実行中のコンピューター
指定した期間の最終の変更
New
Active Directory ドメインサービスの構成に関する診断
およびベストプラクティスの提示
Active Directory ドメインサービスの構成について、
Issue、影響、解決方法、トピックなどの情報を提供
-> 誤った構成による障害の発生を未然に防ぐことが可能
サーバーマネージャーの
役割管理の機能として実装
Active Directory ドメインサービスの構成について診断
診断結果について以下の 4 種類のタブで表示
・Noncompliant
・除外
・準拠
・すべて
構成が意図的なものであるなど、設定の変更が必要ない場合には
レポートから除外することも可能
Beta 時点では主に DNS の構成に関する診断を実行
ダウンレベルのドメインコントローラーの構成に関して
も情報の収集、診断が可能
DS BPA の実装
対象
Windows
Windows
Windows
Windows
Server 2008 R2
Server 2008
Server 2003
2000 Server
PowerShell スクリプト
の実行による実装
1) PowerShell スクリプト
による情報の収集 (XML での保存)
2) XML Schema と収集
した情報の比較
3) 比較した結果を踏まえて
レポートの生成
New
Active Directory Web サービス (ADWS) の実装
Active Directory への Web サービスインターフェースの追加
Active Directory、ADLDS、AD Snapshot への接続が可能
Active Directory PowerShell のインターフェース
Active Directory Web サービスが停止していた場合、PowerShell を利用
した操作は実行できない (eg. Active Directory 管理センター)
Active Directory ドメインサービスを構成することで自動的に
インストールされる
Active Directory Web サービス (ADWS) の構成
%windir%\ADWS フォルダにインストール
Microsoft.ActiveDirectory.WebServices.exe.config ファイルで
パラメーターの変更が可能
パラメーターの詳細については以下の URL を参照
<Active Directory Web Services>
http://technet.microsoft.com/en-us/library/dd391908.aspx
認証方式としては以下の 2 種類をサポート
Kerberos
シンプル認証
New
オフラインドメイン参加機能の実装によるドメイン参加
プロセスの改善
従来)
クライアントがドメインに参加するためには必ずオンラインで
ドメインコントローラーと通信する必要あり
ドメイン参加プロセスには OS の再起動が必要
今後)
Windows 7 および Windows Server 2008 R2 に関しては
オフラインでドメインへの参加が可能に
ダウンレベルの OS については利用不可
ドメイン参加プロセスにおいて OS の再起動は不要
データセンターのサーバー、遠隔地へのサーバーの配置、
クライアントの一斉展開をより効率的に実行可能に
Djoin.exe によるドメイン参加プロセスの実行
Djoin.exe は Windows 7、Windows Server 2008 R2 標準搭載
Djoin.exe の実行環境:
Windows 7、Windows Server 2008 R2 (それ以外は NG)
オフラインドメイン参加の可能な OS
Windows 7、Windows Server 2008 R2 (それ以外は NG)
ドメインコントローラー
既定では Djoin.exe の接続先となるドメインコントローラーは
Windows Server 2008 R2
/downlevel オプションを使用することで Windows Server 2008 R2 以前の
ドメインコントローラーでも利用可能
1) Djoin.exe による AD へのコンピューターオブジェクト
の登録およびファイルの作成
Djoin /provision /domain <参加先のドメイン名> /machine <参加するコンピューター名>
/savefile <ファイル名.txt>
2) Djoin.exe /provision の操作で作成されたファイルをド
メインに参加するコンピューターにコピー
3) Djoin.exe によるオフラインドメイン参加の設定の実行
Djoin /requestODJ /loadfile <ファイル名.txt> /windowspath %SystemRoot%
※ 上記の手順以外にも Unattend.xml による構成も可能
• ポリシー項目を大幅に追加
•
Windows Server 2008
•
•
•
Windows Vista のポリシーに完全対応
Windows Server 2008 管理項目を追加
Windows Server 2008 R2
•
•
Windows 7 のポリシーに完全対応
Windows Server 2008 管理項目を追加
• ADMX テンプレートに対応
•
•
•
XML 化
拡張性、保守性の向上
言語依存部と非依存部を分割
• グループポリシーオブジェクト (GPO) に
コピーされない構造
•
作成される各 GPO の容量を削減
•
DC 間の複製トラフィックを軽減
New
ポリシーの設定項目、説明、コメント内の
キーワードによるフィルタ表示
構成されたポリシーのみフィルタ表示など
フィルター設定後
• ふりがなでソート、検索が可能に
• ふりがな属性の追加項目
• 姓
• 名
• 表示名
• 会社名
• 部署
Active Directory ユーザーとコンピュータ
• 属性エディタ
• ADSI Edit と同等の UI を実装
• DC 属性の表示
• DC の種類、サイト情報等を表示
• パスワードレプリケーションポリシータブ
• RODC 上での認証情報など確認可能
• オブジェクト削除の防止
• 誤操作によるオブジェクト削除を防止
Active Directory はアーキテクチャを
保ちつつさらに進化
環境に応じたサーバー展開が可能に
セキュアなサーバー構成の実現
運用をもっと容易に
本書に記載した情報は、本書各項目に関する発行日現在の Microsoft の見解を表明するものです。Microsoftは絶えず変
化する市場に対応しなければならないため、ここに記載した情報に対していかなる責務を負うものではなく、提示され
た情報の信憑性については保証できません。本書は情報提供のみを目的としています。 Microsoft は、明示的または暗
示的を問わず、本書にいかなる保証も与えるものではありません。すべての当該著作権法を遵守することはお客様の責
務です。Microsoftの書面による明確な許可なく、本書の如何なる部分についても、転載や検索システムへの格納または
挿入を行うことは、どのような形式または手段（電子的、機械的、複写、レコーディング、その他）、および目的で
あっても禁じられています。これらは著作権保護された権利を制限するものではありません。Microsoftは、本書の内容
を保護する特許、特許出願書、商標、著作権、またはその他の知的財産権を保有する場合があります。Microsoftから書
面によるライセンス契約が明確に供給される場合を除いて、本書の提供はこれらの特許、商標、著作権、またはその他
の知的財産へのライセンスを与えるものではありません。
© 2009 Microsoft Corporation. All rights reserved.
Microsoft, Windows は、Microsoft Corporation の米国およびその他の国における登録商標または商標です。その他、
記載されている会社名および製品名は、一般に各社の商標です。
本資料に記載されている情報は、2009 年 2 月現在のものです。
製品情報、製品・機能内容、開発スケジュール、マーケティング施策などの全ての情報は予告無く変更されることがあります。あらかじめご了承ください。

Download Report