ADSelfService Plus

ManageEngine ADSelfService Plusは、Windows Active Directory(AD)のアカウントロック解除やパスワードリセットの運用をユーザー自身で実行させる、セルフサービス化ソフトウェアです。 Visit:

第12回 オブジェクトの復元【MicrosoftのMVP解説!Active Directoryのハウツー読本】

Reading Time: 1 minutesこの記事の所要時間: 約 5分 ◆ 今回の記事のポイント ◆ ・ オブジェクトの復元方法について解説 前回までのコラムでは、オブジェクトの作成や管理について解説しました。オブジェクトの管理をおこなう中で、誤ってオブジェクトを削除してしまうことは、よくある話です。今回のコラムでは、そのようなケースでのオブジェクトの復元について解説します。 ■ オブジェクトのSIDとは 第7回のコラムでも少しだけ解説しましたが、ユーザーなどのオブジェクトは作成された時点で、作成の操作をおこなったドメインコントローラーからSIDと呼ばれる内部的な番号が割り当てられます。この番号はオブジェクト毎に固有であり、他のオブジェクトと重複することはありません。Active DirectoryおよびWindows OSでは、どのユーザーがサインインしたかのなどの識別だけでなく、アクセス許可や権限の設定にもSIDが使用されます。オブジェクトのSIDはシステムによって自動的に割り当てられる番号であるため、私たちが指定するものではありませんが、管理ツールから確認することは可能です。Active Directoryユーザーとコンピューターの管理ツールでオブジェクトのSIDを確認する場合は、[表示]メニューから[拡張機能]をオンにした上で、オブジェクトのプロパティを開き、[属性エディター]タブの[objectSid]という属性を参照します。 オブジェクトが存在し続ける限り、そのオブジェクトのSIDが変わることはありません。しかし、ユーザーなどのオブジェクトを削除し、誤った操作であることに気づいて慌てて同じユーザー名で再度作成したとしても、以前とは異なるSIDが割り当てられます。つまり、表面的な名前は同じでも、異なるユーザーとして扱われることになります。したがって、ユーザープロファイルも以前とは違うものとなり、アクセス許可や権限の設定も再度おこなう必要があります。 ■ オブジェクトの復元方法 オブジェクトを誤って削除してしまった場合における復元方法は、Active Directoryのごみ箱という機能を有効にしているかどうかによって大きく異なります。Active Directoryのごみ箱という機能は、その名の通り、「Windowsのデスクトップ画面にあるごみ箱」に相当するActive Directoryの機能です。 ・Active Directoryのごみ箱が無効な場合 → バックアップデータから復元後、Authoritative Restoreを実行...

ADAudit Plus , ADManager Plus , ADSelfService Plus , セキュリティ , 一般 1 min read

【目次】 連載:ADについて学ぼう

Reading Time: 1 minutesこの記事の所要時間: 約 0分 ADについて学ぼう~基礎編~ 基礎編(1) Active Directoryとは? 基礎編(2) Active Directoryの認証の仕組み 基礎編(3) Active Directoryの基本構成 基礎編(4) Active Directoryのサイトとは何か? 基礎編(5) Active DirectoryにおけるDNSの役割 基礎編(6) Active Directoryのグループポリシーとは? 基礎編(7) Active Directoryのアカウントポリシーとは? 基礎編(8) グループアカウントの種類と運用方法 基礎編(9) セキュリティ監査のためのグループポリシーの設定 ADについて学ぼう~導入編~ 導入編(1) 新しいユーザーアカウントの作成 ADについて学ぼう~応用編~ 応用編(1) Active Directoryの委任とは?権限委任で管理者の負担を軽減しよう!...

ADAudit Plus , ADManager Plus , ADSelfService Plus , 一般 1 min read

実は簡単!GPOのバックアップと復元方法【連載:ADについて学ぼう~応用編(6)~】

Reading Time: 1 minutesこの記事の所要時間: 約 3分 【目次】 連載:ADについて学ぼう ◆ 目次 ・ バックアップの取得方法 ・ バックアップの復元方法(バックアップ元と同じGPOに復元する場合) ・ バックアップの復元方法(バックアップ元と異なるGPOに復元する場合)   「GPOを変更したら、予期していなかったところで影響がでてしまった・・。」 「ドメインコントローラーが故障してしまい、作成したGPOがすべて失われてしまった・・。」 そのような万が一の事態に備えて、GPOのバックアップを取得しておくに越したことはありません。この記事では、グループポリシー管理エディアを使用したGPOのバックアップ・復元方法についてご紹介します。GPOのバックアップ自体はとても簡単にできますので、大きな変更を加える前、あるいは保全のための定期的な作業として、取得しておくことをおすすめします。   ■ バックアップの取得方法 ———————————————————————————– 1.ドメインコントローラーからコマンドプロンプトを起動後、以下のコマンドを実行してグループポリシー管理エディタを開きます: gpmc.msc 図1. コマンドプロンプトの実行結果...

ADAudit Plus , ADManager Plus , ADSelfService Plus , 一般 1 min read

二要素認証とは?わかりやすい解説と簡単な設定方法

Reading Time: 1 minutesこの記事の所要時間: 約 3分 近年「二要素認証」や「多要素認証」といった言葉を耳にする場面が増えてきたと思います。「スマホを落としただけなのに」という映画&漫画でもなりすましの怖さがよくわかります。セキュリティ侵害は日に日に増加しており、ユーザー名とパスワードのみを利用してユーザーアカウントの安全性を保つことはできなくなりつつあります。 パスワードを強固にするだけでなく、より強力なソリューションによって、不正なユーザーを振るい落とすためにセキュリティを向上させる必要があります。今回の記事では「二要素認証 とは?」「なぜ二要素認証が必要なのか」「二要素認証を導入するための製品」についてお話していきます。 二要素認証 とは? なぜ二要素認証が必要なのか 二要素認証を導入するための製品 1.二要素認証 とは 「そもそも二要素認証ってなんだろう」「二要素認証 とは?」そんな疑問を持っている方も少なくないかと思います。 また別名「多要素認証」「2ファクタ認証」「two factor authentication」「tfa」など様々な呼び名がございます。 これらは全て2つまたはそれ以上の要素を使用して認証を行うことです。 身近なものだとATMやSMSなどのワンタイムパスワードもそこに含まれます。 また要素とは、以下の3つになります。 ・本人だけが知っていること (パスワードやIDなど) ・本人だけが所有しているもの (スマホやカードなど) ・本人自身の特性...

ADSelfService Plus 1 min read

第6回 Azure ADによるクラウドサービスの管理(1)【MicrosoftのMVP解説!Azure ADの虎の巻】

Reading Time: 1 minutesこの記事の所要時間: 約 6分 ◆ 今回の記事のポイント ◆ ・ SAMLプロトコルを使用したシングルサインオンの仕組みについて解説 ・ クラウドサービスをAzure ADに関連付けるための手順について解説 私はこの連載の最初に「Azure ADを利用する目的はクラウド上のアプリケーションへの認証・認可を一元化することにある」という趣旨の話をしました。現在、多くの企業で抱える課題に、企業で利用するクラウドサービスにアクセスするごとにユーザー名とパスワードを入力しなければならないというものがあります。Azure ADではこうした面倒をなくし、Azure ADで一度認証を行うだけで、それぞれのクラウドサービスにアクセスするときに毎度ユーザー名とパスワードを入力しなくてもよい、という解決策を提供してくれるという話でした。 では、現在お使いのクラウドサービスをAzure ADに関連付けるには、どうしたらよいでしょうか?IaaS, PaaS, SaaSの3種類のクラウドサービスのうち、どれを利用するかによって関連付けの方法は異なるのですが、ここではSaaSのケースを取り上げて具体的な関連付けの方法について解説します。 SaaSのクラウドサービスをAzure ADに関連付ける場合、シングルサインオン用のプロトコルであるSAMLと呼ばれるプロトコルが利用できます。SAMLプロトコルでは、ユーザー名とパスワードをクラウドサービスに提示する代わりにAzure ADが発行するトークンと呼ばれるデータを提示することでクラウドサービスへの認証・認可を済ませる、ということを行います。その結果、Azure ADに既にサインインしていれば、クラウドサービスへのサインインが要らなくなる、つまり「シングルサインオン」が実現するのです。 では、SAMLプロトコルを使ってAzure ADとクラウドサービスを関連付け、クラウドサービスへのシングルサインオンを実現するための手順を見てみたいと思います。設定方法はクラウドサービスによって多少異なりますが、ここでは例として「Dropbox...

ADSelfService Plus , セキュリティ , 一般 1 min read

第1回 AzureADを利用する意味【MicrosoftのMVP解説!Azure ADの虎の巻】

Reading Time: 1 minutesこの記事の所要時間: 約 5分 ◆ 今回の記事のポイント ◆ ・ オンプレミスとクラウドにおける認証・認可の仕組みについて解説 このたびZoho Japanさんからご依頼をいただき、Azure Active Directoryのコラムを提供させていただくことになった、国井と申します。普段はマイクロソフト製品やサービスを中心としたトレーニングサービスを提供していることもあり、今回のような機会をいただきました。Active Directoryのコラムと交互に提供していきますので、Active Directoryのコラムを提供する新井ともどもよろしくお願いいたします。 私自身、集合研修と言われるトレーニングを提供させていただくことが多いのですが、直接お客様とお会いする中で、最近「オンプレミスからクラウドへの移行を行いたい」とのご相談をよくいただきます。オンプレミスには業務アプリケーションをはじめ、様々なアプリケーションやデータ、そしてサーバーが存在します。これらのリソースをクラウドへ移行することになっても、オンプレミスのときと同じようにユーザー名・パスワードのような本人確認(認証)の仕組みを用意し、特定のユーザーだけが適切なリソースに対してのみアクセスできるような仕組み(認可)を提供しなければなりません。このような認証と認可の仕組みを利用する場合、次のようなパターンが考えられます。 認証・認可の仕組みをオンプレミスに用意し、 オンプレミスとクラウドのリソースにアクセスするときに認証・認可が実現できるようにする 認証・認可の仕組みをクラウドに用意し、 オンプレミスとクラウドのリソースにアクセスするときに認証・認可が実現できるようにする 認証・認可の仕組みをオンプレミスとクラウドの両方に用意し、 オンプレミスとクラウドのリソースにアクセスするときに認証・認可が実現できるようにする パターン1の認証・認可の仕組みをオンプレミスに用意する場合、多くの企業でActive Directoryを利用してきたと思います。Active Directoryは社内のサーバーにアクセスするときの認証・認可の仕組みとして役立ちましたが、Kerberos(ケルベロス)と呼ばれる、特殊なプロトコルを利用して通信するため、インターネット経由で通信を行うクラウドサービスの認証・認可は少し苦手です。 Microsoft...

ADSelfService Plus 1 min read

解説!アカウントロックアウトポリシー/ロック解除法(Active Directory管理Tips)

Reading Time: 1 minutesこの記事の所要時間: 約 3分 パスワードクラックとして、昔から使用される手法の一例として「辞書攻撃」や「総当たり攻撃」が挙げられます。これは、コンピューターを使用して、考えられるパスワードを次々と試し、正解を探し出すという攻撃方法です。 近年では、顔認証、ICカード認証、指紋認証、携帯ベースのPhoneFactorなどの二要素認証がパスワードクラックへの対策とされています。これらの技術は、システム全体への変更が必要であるため導入の敷居が高かったり、設備への投資が必要となりますが、簡単で短期間でできる対策の1つとして、同一アカウントを使用して複数回ログオンに失敗した場合、一定期間ログオンができなくなる「アカウント ロックアウト」の設定が有効です。アカウント ロックアウトの設定は、グループポリシーの「アカウント ポリシー」から設定することが可能です。 < アカウント ロックアウトポリシーの設定手順 > [ コンピューターの構成 ] – [ Windowsの設定 ] – [ セキュリティの設定 ] – [...

ADSelfService Plus 1 min read

Active Directoryのユーザーアカウント作成とは?【連載:ADについて学ぼう~導入編(1)~】

Reading Time: 2 minutesこの記事の所要時間: 約 6分 【目次】 連載:ADについて学ぼう Active Directoryの代表的なオブジェクトには、「ユーザーアカウント」「グループアカウント」「コンピューターアカウント」などがありますが、この記事ではまず初めに作成するであろう、「ユーザーアカウント」の代表的な作成方法を、3つご紹介していきたいと思います。 目次 1.Microsoftが提供している管理ツールを使用 2.コマンドラインを使用 3.弊社製品の「ADManager Plus」を使用   1.Microsoftが提供している管理ツールを使用 ユーザーアカウントを作成する際に、おそらく最も多くの方が使用している方法が、Microsoft提供の管理ツールなのではないでしょうか。なお、使用可能な管理ツールには、従来からある[ユーザーとコンピューター]と、Windows Server2012R2から追加された[管理センター]の2つがあります。 1-1. [ユーザーとコンピューター]を使用した場合 [コントロール パネル] -> [管理ツール] から、[Active Directory ユーザーとコンピューター]...

ADAudit Plus , ADManager Plus , ADSelfService Plus 2 min read

【なんか遅い!】なぜパスワードのリセットに時間がかかるのか?

Reading Time: 1 minutesこの記事の所要時間: 約 5分 急いでいる時、あるいは外出中に限ってパスワードの有効期限が切れてしまい、PCへのログインや VPN接続ができないといった経験はないでしょうか。 また、そんな急いでいる社員にせかされて、サーバーにログインしてリセット対応するといった経験は ないでしょうか。 本ブログでは、エンドユーザー(社員)から依頼のあるActive Directoryのパスワードリセット要求に対して なぜ対応に時間がかかってしまうのか問題点を確認した上で、ManageEngine ADSelfService Plus、ADManager Plusを使用した場合のパスワードリセットにかかる時間について紹介いたします。 Active Directoryのパスワードリセットは管理者権限やリセット権限が付与されたユーザーでのみ実行 できる処理です。一般のエンドユーザー(社員)権限では自己解決できないため、Eメール、電話、 紙ベースでの申請・問い合わせがおこなわれます。この問い合わせこそ、もっとも時間がかかります。 もちろん、リセット後にエンドユーザーに新しいパスワードをお伝えする必要がある点でも時間がかかる でしょう。 もう1点が、実際にリセットを実行するヘルプデスク担当者や管理者のおこなうリセット作業の時間です。 ドメインコントローラーにアクセスし、Active Directoryが提供するコンソールから実行する場合はそれなりに 時間がかかります。以下の実行手順の場合、2分弱の時間を要します。 【Active Directoryユーザーとコンピューター(ADUC)のコンソールの場合】...

ADManager Plus , ADSelfService Plus 1 min read