ADManager Plus 6.5(ビルド: 6530)をリリースしました

Reading Time: 1 minutesこの記事の所要時間: 約 1分 10月26日にADManager Plus 6.5(ビルド: 6530)をリリースしました。 本ブログでは、NTFS/共有レポートの機能拡張について紹介します。 ADManager PlusのNTFS/共有レポートでは、ファイルサーバーの各フォルダーの アクセス権設定をコンソールから必要に応じてレポートとして確認することができます。 ファイルサーバー関連のレポートは「レポート」 → 「NTFS/共有レポート」からアクセスします。 ビルド6530では、「フォルダーへアクセスできるアカウント」レポートの検索対象のサーバー、フォルダーを選択する画面に次のオプションを追加しました。 1. 複数のサーバーを選択するオプション 2. 複数のホームフォルダーのアクセス権設定を取得するオプション これにより、複数のファイルサーバーのレポート結果をまとめることができるようになりました。 またユーザーのホームフォルダーの情報を取得できるようになったため、フォルダー アクセス権管理の幅が広がりました。 こちらは「フォルダーへアクセスできるアカウント」レポートの出力結果です。 より詳細な情報は「詳細」リンクより確認できます。 その他、追加した機能拡張については、リリースノートをご参照ください。...

ADManager Plus 1 min read

Active DirectoryのFSMOとは?[2]【連載:ADについて学ぼう~応用編(4)~】

Reading Time: 1 minutesこの記事の所要時間: 約 3分 【目次】 連載:ADについて学ぼう 前回の連載「FSMOの役割」ではFSMOの役割についてご紹介しましたが、今回はそれぞれのFSMOの確認方法、さらに強制移動の方法をご紹介したいと思います! ◆ 目次 1.スキーママスターの確認と転送 2.ドメイン名前付けマスターの確認と転送 3.RIDマスター/PDCエミュレーター/インフラストラクチャマスターの確認と転送 4.操作マスターの役割の強制移動   1. スキーママスターの確認と転送 1) [Active Directory スキーマ]を起動します。 2) 左側のウィンドウから[Active Directory スキーマ]を右クリックして、[操作マスター]をクリックします。 3) 表示されているサーバーが現在スキーママスタの役割を持つサーバーです。 4)...

ADAudit Plus , ADManager Plus , ADSelfService Plus 1 min read

Active DirectoryのFSMOとは?【連載:ADについて学ぼう~応用編(3)~】

Reading Time: 1 minutesこの記事の所要時間: 約 4分 【目次】 連載:ADについて学ぼう ドメインやフォレスト内には、いくつかの特別な役割を持ったドメインコントローラーが存在しており、このようなドメインコントローラーは、「FSMO」や「操作マスター」と呼ばれます。 *FSMO = Flexible Single Master Operation ではなぜそのようなドメインコントローラーが必要なのでしょうか? 例えば、複数のドメインコントローラーが存在するドメインで特定のユーザーのパスワードが変更された場合、全てのドメインコントローラーに変更情報が行きわたるまでに時間が掛かる場合があります。すると、変更情報がまだ届いていないドメインコントローラーからユーザーがログオンしようとした場合、パスワードが間違っていると判断され、ユーザーがログオンできないという状態になってしまいます。 このような状況を防ぐため、Active Directoryではパスワードが変更された際、まず特別な役割を持つドメインコントローラーに情報を伝えます。そして、ドメインコントローラーとユーザーの入力した認証情報が異なる場合、特別な役割をもつドメインコントローラーに問い合わせを行うことで、ユーザーがログインできる、という仕組みなのです。 ■ 操作マスターの種類と役割 では具体的に特別な役割をもつドメインコントローラーというのが何なのか、ご紹介していきます。 操作マスターには5つの種類があり、さらに以下の2つに分けられます。 1. フォレスト全体で1台必要なもの 2. ドメインごとに1台必要なもの <...

ADAudit Plus , ADManager Plus , ADSelfService Plus 1 min read

Active Directoryのダイナミックアクセス制御とは?【連載:ADについて学ぼう~応用編(2)~】

Reading Time: 1 minutesこの記事の所要時間: 約 7分 【目次】 連載:ADについて学ぼう 前回の連載ではではアクセス制御についてご紹介しましたが、今回はWindows Server2012から導入された「ダイナミックアクセス制御」についてご紹介していきたいと思います。 アクセス制御を設定するには、以下の手順が必要だったかと思います: ・セキュリティグループAを作成 ・セキュリティグループAにメンバーを追加 ・共有フォルダに対してセキュリティグループAのアクセス許可設定を設定 しかしここでさらに、複数部署の課長クラス以上のみにアクセス許可を与える場合はどうでしょう。新しくセキュリティグループを設定するという手段もありますが、毎回セキュリティグループを作成して設定を行っていては、管理が大変になってしまいます。 そこでWindows Server2012の新機能である「ダイナミックアクセス制御」を使用するにより、従来の制御方法に加えて属性によるアクセス制御の設定が可能になります。 ■ ダイナミックアクセス制御の設定 今回は例として、 部署:技術部 and 営業部 and 総務部 役職:課長 and 課長...

ADAudit Plus , ADManager Plus , ADSelfService Plus 1 min read

Active Directoryのアクセス制御とは?【連載:ADについて学ぼう~応用編(5)~】

Reading Time: 1 minutesこの記事の所要時間: 約 3分 【目次】 連載:ADについて学ぼう 記念すべき第10回目の連載では、Active Directoryのアクセス制御機能についてご紹介します。 システム上には、さまざまな共通リソースが存在しているかと思います。そのようなWindowsの共通リソースに対して、誰でも好き勝手にアクセス出来てしまったら、社内セキュリティ上問題があります。 そこでActive Directoryでは「ACL (アクセス制御リスト)」機能を使用して、リソースに対するアクセスの有無をあらかじめ設定することにより、適切なユーザーやグループのみがリソースにアクセスできるように、管理を行うことが可能です。 ■ アクセス制御リストの関連用語 —————————————————————— アクセス制御リストの設定方法について記載する前に、まず、関連用語をご紹介していきたいと思います。 ・ ACL(Access Control List) システム上のセキュリティ向上を目的とした機能で、対象リソースに対するアクセス権利の有無を設定します。「DACL」と「SACL」の2種類があります。 ・ DACL(Discretionary Access Control List)...

ADAudit Plus , ADManager Plus , ADSelfService Plus 1 min read

グループアカウントの種類と運用方法【連載:ADについて学ぼう~基礎編(8)~】

Reading Time: 1 minutesこの記事の所要時間: 約 3分 【目次】 連載:ADについて学ぼう 今回はユーザーアカウントと並んで欠かすことのできない要素である、「グループアカウント」についてご紹介します。 ◆ Point ・ グループアカウントの種類についてご紹介 ・ Microsoft が推奨するグループスコープの運用方法についてご紹介   プリンターや共有フォルダといったリソースに対するアクセス許可を設定するとき、ユーザー一人ひとりに対して設定を行っていては大変時間がかかってしまいます。そこで登場するのが「グループアカウント」です。グループアカウントを活用することで、アクセス許可を効率よく設定することが出来ます。 グループアカウントには、以下の2種類があります。 ■ セキュリティグループ リソースに対するアクセス許可の設定が可能です。さらに、電子メールアドレス属性を設定することで、電子メールの宛先として利用することが出来ます。 ■ 配布グループ 電子メールの宛先としてのみ使用が可能です。(アクセス許可の設定で使用することは出来ません。) つまり、アクセス許可を設定する目的でグループアカウントを作成する場合は、 配布グループではなくセキュリティグループの方を作成する必要があります。 グループアカウントのスコープ...

ADAudit Plus , ADManager Plus , ADSelfService Plus 1 min read

Active Directoryの委任とは?権限委任で管理者の負担を軽減しよう!【連載:ADについて学ぼう~応用編(1)~】

Reading Time: 1 minutesこの記事の所要時間: 約 4分 【目次】 連載:ADについて学ぼう ドメイン内には多くのOUが存在しており、さらに各OUには多くのユーザーやグループといったオブジェクトが存在しています。そんなOUに対する管理変更(パスワードリセットやユーザー作成や削除など)を、ドメイン管理者が全て行っている場合、ドメイン管理者の負担は大変大きくなりがちです。 そこで、Active Directoryの機能の一つである「制御の委任」を行うことにより、OU単位で、特定の管理作業だけを任せることができるようになります。これにより、Active Directory内の管理作業を分担することが出来るため、ドメイン管理者の負担を軽減することが可能です。 今回はセキュリティ管理者にとって、特に負担が大きくなりがちな「パスワードリセット」の権限委任を例に、委任の設定方法をご紹介していきたいと思います。 1.「Active Directoryユーザーとコンピュータ」を起動します。 2.制御の委任を行うOUを右クリックして、「制御の委任」を選択します。 3.「オブジェクト制御の委任ウィザード」が起動します。 4.[追加]ボタンをクリックして、権限委任を行うユーザーまたはグループを選択します。 5.委任するタスクの種類を以下の2つから選択します: (今回は[委任するカスタムタスクを作成する]を選択します。) [次の共通タスクを委任する] 制御を委任できる共通タスクは次の通りです。 ・ ユーザー アカウントの作成、削除、および管理 ・ ユーザーのパスワードをリセットして次回ログオン時にパスワードの変更を要求する ・...

ADAudit Plus , ADManager Plus , ADSelfService Plus 1 min read

「ADManager Plus」と「ADAudit Plus」でActive Directory監査レポートを比較

Reading Time: 1 minutesこの記事の所要時間: 約 1分 「ADMPを使って、Euro2016 フランス代表選手をインポートしてみた」では、デシャン監督が、23選手の登録(ADへユーザー作成)を行いましたが、その際の監査データーをADManager PlusとADAudit Plusではどのように見えるのかをご紹介したいと思います。 まずは、ADMP 監査レポートを見るには、[オペレーター]タブ > サイドメニューにある「監査レポート」をクリックすることで、ADMPを介した操作で「誰が」「何時」「何をした」のか記録されており内容を確認することができます。 ADAudit Plusでは、どのように見えるのか? レポートを見るには、[レポート]タブ> サイドメニューより「ユーザー管理」 > 「最近のユーザー作成」より確認できます。スクリーンショットを見ていただければお分かりかと思いますが、実行ユーザー名が「Administrator」となっています。 これは、ADMPを介しActive Directory内を操作するアカウントが、「Administrator」で行なうようにとADMPへ登録しているため、デシャン監督が行った操作も「Administrator」が行ったとイベントログに記録されています。 ですので、本当は誰が行ったかを見るには、この場合はADManager Plusを見る方がベターですね。 じゃ、ADMPだけでいい! という風に思われるかと思いますが、ただ、ADMPを介さない操作が行われてしまうということも可能性として0(ゼロ)ではないので、Windowsイベントログを証跡データーとして記録しておくことも大切です。 以上簡単ですが、監査レポートの見え方比較紹介でした。 本ブログで紹介した製品:...

ADAudit Plus , ADManager Plus 1 min read

「ADManager Plus」を使って、Euro2016 フランス代表選手をActive Directoryにインポートしてみた

Reading Time: 1 minutesこの記事の所要時間: 約 2分 現在、Euro 2016では、強豪国同士の熱い闘いが繰り広げられています。今回の開催国はフランス! フランスと言えば、1998年のFIFAワールドカップで日本代表が始めてW杯に出場した思い出のある地でもあります。初戦のアルゼンチン戦では、0-1と敗れはしましたが、「これってもしかしたら勝てるんじゃね?」 と一人テレビの前で興奮していました! 話は代わって、今回はActive Directoryの管理ツールであるADManager Plusを使って、Euro2016の開催国であるフランス代表選手のインポートしてみたを紹介したいと思います。 1.まず、管理者アカウントでADMPへログオン後、OUを作成します FIFA -> UEFA -> FRA(FIFA Codeとしています)の順に作成します。 2.次にフランス代表監督のアカウントを作成し、アカウント作成権限を委任します。 監督はもちろんこの方 Didier Deschamps(ディディエ・デシャン)監督です。 3.監督には選手作成用にオペレーター権限を付与(委任)します。ここでは、OUを選択していますが、OU FRAのみ選手を追加したり削除したり変更したりする権限を与えており、フランス代表の全権を握っています。 ADManager Plusでは、Active DirectoryとADManager...

ADManager Plus 1 min read

グループアカウントの種類と運用方法【連載:ADについて学ぼう~基礎編(7)~】

Reading Time: 1 minutesこの記事の所要時間: 約 2分 【目次】 連載:ADについて学ぼう 今回はグループポリシーで設定できるポリシーの中でも、特にセキュリティに深く関係している「アカウントポリシー」について説明していきます。 ◆ Point ・ アカウントポリシーの設定方法についてご紹介 ・ アカウントロックアウトポリシーとパスワードポリシーの詳細な内容についてご紹介   アカウントポリシーとは? セキュリティ設定の一つで、パスワードとアカウントロックアウトに関するポリシーを指します。例えばパスワードの有効期間や、アカウントロックアウトの回数などを設定できます。 アカウントポリシーの設定方法 [コンピューターの構成]->[ポリシー]->[Windowsの設定]->[セキュリティの設定]->[アカウントポリシー]から設定します。 この「パスワードポリシー」と「アカウントロックアウトのポリシー」を社内ルールに基づき正しく構成することにより、ドメイン内のセキュリティ設定を強化することができます。 ご注意! ・ アカウントポリシーはドメインに対してのみ適用されます。 ・ アカウントポリシーを定義したGPOを作成し、サイトやOUにリンクしたとしてもドメインユーザーには適用されません。   以下ではアカウントポリシーの構成について詳しく解説していきます。...

ADAudit Plus , ADManager Plus , ADSelfService Plus 1 min read