投稿元:
レビューを見る
1.ActiveDirectory
◆5つのサービス
・ドメインサービス(DS)
・証明書サービス
・ライトウェイトディレクトリサービス(LDS)
・フェデレーションサービス(FS)
・ライトマネージメントサービス(RMS)
◆役割と機能
・2008以降では、サーバマネージャから役割と機能を追加する。
・DSを役割としてインストールしたのがドメインコントローラ(DC)で、アカウントなど(オブジェクトという)のDBを持つ。
・ドメインにはOUというオブジェクトの入れ物を作成できる。
◆用語
・ドメインはオブジェクトの管理範囲。
・DCはサーバにDSの役割を追加したもの。DC間ではリプリケーションが行われる。
・サイトはネットワーク範囲で、トラフィック等を調整する。
・ドメインツリーは親子関係のあるドメインで、お互いのリソースを利用できる信頼関係にある。
・フォレストはADの最も大きな管理単位で、親子関係のドメインツリーも別の名のドメインツリーも含むことができる。
◆DCの構築
・サーバマネージャから役割と追加し、DCpromo.exeからインストールウィザードを開く。
・以下の追加オプションがある
①DNSサーバ
ドメインに参加するコンピュータがADにアクセスする際に、DCの情報をDNSサーバに問い合わせるため必要。
・グローバルカタログサーバ
フォレスト内の全ドメインのオブジェクトの利用頻度が高い情報が保存される。フォレストルートドメインがデフォルトでこれに設定される。
・読み取り専用DC
セキュリティ対策が十分でないところなどに設置する読み取り専用のDC。フォレスト内ではじめのDCには設定できない。
・設定を回答する応答ファイルをつくることでインストールを自動化できる。
・管理はADユーザとコンピュータ、またはAD管理センターから行う。
◆サイトの設定
・サイトの設定により特定のDCによる認証を行うことができる。
・サイト間のDCのリプリケーションはサイトリンクで行う。
・サイトは複数のドメインを含めることも、1つのドメインを分割することもできる。
◆グローバルカタログサーバ
・UPNによるログイン
・一度もログインしていないユーザは、グローバルカタログサーバが稼働していないとログインできない。それを避けるためログインするDCにユニバーサルメンバーシップをキャッシュする。
◆操作マスター
・特別な役割を持つDCのことを操作マスターという。
・種類は以下。
①スキーママスター
スキマーはオブジェクトの属性情報を定義する。
②ドメイン名前付けマスター
ドメインの追加・削除を行う。
③PDCエミュレータ
時刻同期やパスワード変更時の緊急認証を行う。
④RIDマスター
SIDを構成するのに必要なRID(相対ID)を保持しているDC。SID=ドメインSID+RID
⑤インフラストラクチャーマスター
ユーザやコンピュータのマッピング情報を持ち、他のDCに伝達する。
◆信頼関係
・フォレスト信頼、ショートカット信頼、外部信頼の3つがある。
��.DSのDNSの構成
◆DNSの役割
①ドメインに参加しているコンピュータの登録、名前解決(FQDNとIPアドレスのひも付)
②DCの検索
◆ゾーンの種類
・DNSは階層で構成されており、DNSサーバが管理する範囲のことをゾーンという。1つのゾーンが1つのドメインを管理することもあるし、1つのゾーンが複数のドメインを管理することもある、
①プライマリゾーン
書き込み可能。ADのDBに登録されるとAD統合ゾーンという。
②セカンダリゾーン
読み取り専用。ゾーン転送でレプリケーション。
③スタブゾーン
他のゾーンのDNSサーバを識別する情報を持つ。
④GlobalNamesゾーン
単一ラベル名を名前解決するためのゾーン
・標準ゾーンとAD統合ゾーン
標準はテキストファイルで、統合はADDBに保存。
◆AD統合ゾーン
・利点
①マルチマスター(誰でも更新が可能)
②ADのDBに登録されるので、暗号化されレプリケーションが行われる。
③安全な動的更新
④リソースレコードのアクセス制御
◆パーティション
・ADのDBは4つのパーティションからなる。
①スキーマ、
②構成
ドメイン階層、信頼関係、サイト構築
③ドメイン
オブジェクト情報
④アプリケーション
◆用語
フォワーダー
・別のDNSサーバに転送することにより名前解決を行う。
・DNSセキュリティ(DNSSEC)
DNSデータやキャッシュに対して送信元の認証など行う。
3.ADオブジェクトの作成
・オブジェクトとは以下のものを指す。
→OU、ユーザ・コンピュータ・グループアカウント、プリンタ、共有フォルダ、InetOrgPerson、MSMQエイリアス、連絡先
・ユーザ・コンピュータ・グループアカウントはセキュリティプリンシパルと呼ばれ、自動的にSIDがセットされ、それをもとにどこのリソースにアクセスできるか決まる。
◆OU
・OUにコンピュータ・ユーザアカウント配置する。OUの下にOUを配置することも可能。
・コンテナはAD作成時に自動生成され、管理者が追加することはしない。
・OUにはグループポリシーが適用されセキュリティ設定ができるが、コンテナはできない。
◆ユーザアカウント
・サービスと関連付けられるアカウントをサービスアカウントという。SQLサービスなど常にログインして稼動しないといけないものなど。
◆グループアカウント
・同じ権利やアクセスを与えたいコンピュータ・ユーザアカウントをまとめる。(セキュリティグループ)また、電子メールの送信先をまとめるのに使える(配布グループ)
・セキュリティグループは電子メールの宛先とできるが、配布グループにはアクセス権の設定はできない。
・スコープにはローカルドメイングループ(ドメイン内アクセス)、グローバルグループ(フォレスト内アクセス)、ユニバーサルグループ(フォレスト内アクセス)がある。
・グローバルグループは同一ドメイン内のアカウント、ユニバーサルグループはフォレスト内のアカウント・グループを含むことができる。
・AGDLPはシングルドメインでアカウントを運用する最適な方法。A(Account、アカウント��とめる)→G(グローバルグループ)、DL(ドメインローカルグループ)→P(Permission、アクセス許可)
◆コンピュータアカウント
・ドメインユーザがログインするためにはドメインに参加するコンピュータでログインする必要がある。
・2008R2ではオフラインドメイン参加が可能。これまではDCと通信できないとダメだったが、ファイルで情報を受け渡すことで可能。
◆ADオブジェクトの保守
・60日間DCと通信できないとログインできなくなる。
・給食などの場合は、セキュリティのためアカウントを無効化する。
・OUに特定の作業のみ委任することができる。
4.グループポリシー
◆GPとは
・特定のコンピュータの設定をしたい場合は、ADの範囲外のローカルポリシーを設定する。
・GPO(GPオブジェクト)とはポリシーの集合体。
・GPOをサイト・ドメイン・OUのいずれかとリンクする。
・ポリシーの優先度はローカル→サイト→ドメイン→OU
◆GPの設定
・起動時にGP clientがDCにGPを要求、新しいGPがあればDLする。
・クライアント側拡張機能(CSE)がユーザ・コンピュータにGPを適用
・管理コンソールからGPのモデル作成をクリックし、シミュレーションが可能。
・GPOの適応はコンピュータは起動時、ユーザはログイン時
・先のポリシーの「強制」、先のポリシーの「継承のブロック」も設定可能
◆フィルター処理
・フィルター処理とはポリシーを適用するユーザとしないユーザで分けること。
・セキュリティフィルタの設定
→アクセス権の設定
→認証のユーザグループを削除し、GPを適用したいグループを追加する。
・WMIフィルタ処理
→OSのバージョンやサービスパック、ハードウェア・ソフトウェア校生に基づいてフィルター処理する。
◆テンプレート
・ポリシーのテンプレートを作成し、処理することも可能。
・管理用テンプレートとセキュリティテンプレートがある。
◆監査ポリシー
・ログオンやオブジェクトアクセス、ポリシーの変更など9つの項目の監査をする。
◆ソフトウェアの展開
・ソフトウェアをきょうゆうフォルダに置き、展開用のGPOを作成することで実現できる。
◆ソフトウェアの制限
実行できるソフトウェアの制限を行う。
◆GPOの構成
・GPコンテナーとGPテンプレートに分かれ、レプリケーションのタイミングが異なる。
6.ADCS(証明書サービス)
・PKI(公開キー基盤)とは公開キー暗号化技術に基づいて、暗号化やデジタル署名を実現する。
・証明機関は証明書を発行し、それを管理する組織やコンピュータ。サーバマネージャからADCSの役割を追加することで、サーバを証明機関にできる。
・ADCSはスタンドアローンCA(ADDSと連携せず、手動で証明書を発行)、エンタープライズCA(ADDSと連携して証明書を自動発行)
・登録はフォレスト内での自動登録も可能。
・ネットワークデバイスへの証明書の登録は、NEDS(ネットワークデイバイス代行サービス)をインストールした他のコンピュータがCAに要求する。
・OSCP(オンライン証明書状態プロトコル)が���働するコンピュータに問い合わせをすることで、個々のコンピュータはCRL(証明書失効リスト)をもたなくてよくなる。
・秘密キーのアーカイブとは、証明書発行の際に秘密鍵をCAのDBに保存する事。リスクは高まるが、秘密キーの回復が可能。
7.その他ADサービス
◆AD LDS
・特定のアプリケーションに対し、ディレクトリサービスとデータストアを提供する。
・ADドメイン環境から独立しているため、DCやDNSサーバは必要ない。
・使用例としては、①ADドメインに影響を与えずアプリケーション固有のスキーマを拡張したい、②ADドメインに影響を与えずディレクトリ対応APを開発したい、③外部顧客の情報をLDSで保持し、ADDSへの外部からのアクセスを制御したい、などである。
◆AD RMS
・NTFSアクセス許可との違いは、NTFSが保存場所に依存するのに対し、ADRMSはファイルやメールに直接組み込まれるため外部に持ち出されても大丈夫。
・対象はOfficeとIE。
・クライアントとADRMSサーバがHTTP通信をし、ADRMSサーバから発行ライセンスをうけとり、ファイルとともに保存する。
・印刷、保存、切り取り・コピーなどの制御が可能。
・権利保護が設定されているファイルへアクセスする場合は、RMSサーバにアクセスし、RMS→DCに認証をかけ、クライアントに使用ライセンスとRMSアカウント証明書を発行する。
・ADRMSには、ADDS・IIS・SQLサーバ(DB格納)に必要。
◆ADFS
・別の企業のユーザを自社登録することなく、承認情報を連携し、相手企業のリソースへアクセスできる、IDアクセスSL.
・WEBベースのAPを提供する側をリソースパートナー、ユーザアカウントを管理する側をアカウントパートナーという