【なんか遅い!】なぜパスワードのリセットに時間がかかるのか?

Reading Time: 1 minutesこの記事の所要時間: 約 5分 急いでいる時、あるいは外出中に限ってパスワードの有効期限が切れてしまい、PCへのログインや VPN接続ができないといった経験はないでしょうか。 また、そんな急いでいる社員にせかされて、サーバーにログインしてリセット対応するといった経験は ないでしょうか。 本ブログでは、エンドユーザー(社員)から依頼のあるActive Directoryのパスワードリセット要求に対して なぜ対応に時間がかかってしまうのか問題点を確認した上で、ManageEngine ADSelfService Plus、ADManager Plusを使用した場合のパスワードリセットにかかる時間について紹介いたします。 Active Directoryのパスワードリセットは管理者権限やリセット権限が付与されたユーザーでのみ実行 できる処理です。一般のエンドユーザー(社員)権限では自己解決できないため、Eメール、電話、 紙ベースでの申請・問い合わせがおこなわれます。この問い合わせこそ、もっとも時間がかかります。 もちろん、リセット後にエンドユーザーに新しいパスワードをお伝えする必要がある点でも時間がかかる でしょう。 もう1点が、実際にリセットを実行するヘルプデスク担当者や管理者のおこなうリセット作業の時間です。 ドメインコントローラーにアクセスし、Active Directoryが提供するコンソールから実行する場合はそれなりに 時間がかかります。以下の実行手順の場合、2分弱の時間を要します。 【Active Directoryユーザーとコンピューター(ADUC)のコンソールの場合】...

ADManager Plus , ADSelfService Plus 1 min read

Active DirectoryのFSMOとは?[2]【連載:ADについて学ぼう~応用編(4)~】

Reading Time: 1 minutesこの記事の所要時間: 約 3分 【目次】 連載:ADについて学ぼう 前回の連載「FSMOの役割」ではFSMOの役割についてご紹介しましたが、今回はそれぞれのFSMOの確認方法、さらに強制移動の方法をご紹介したいと思います! ◆ 目次 1.スキーママスターの確認と転送 2.ドメイン名前付けマスターの確認と転送 3.RIDマスター/PDCエミュレーター/インフラストラクチャマスターの確認と転送 4.操作マスターの役割の強制移動   1. スキーママスターの確認と転送 1) [Active Directory スキーマ]を起動します。 2) 左側のウィンドウから[Active Directory スキーマ]を右クリックして、[操作マスター]をクリックします。 3) 表示されているサーバーが現在スキーママスタの役割を持つサーバーです。 4)...

ADAudit Plus , ADManager Plus , ADSelfService Plus 1 min read

Active DirectoryのFSMOとは?【連載:ADについて学ぼう~応用編(3)~】

Reading Time: 1 minutesこの記事の所要時間: 約 4分 【目次】 連載:ADについて学ぼう ドメインやフォレスト内には、いくつかの特別な役割を持ったドメインコントローラーが存在しており、このようなドメインコントローラーは、「FSMO」や「操作マスター」と呼ばれます。 *FSMO = Flexible Single Master Operation ではなぜそのようなドメインコントローラーが必要なのでしょうか? 例えば、複数のドメインコントローラーが存在するドメインで特定のユーザーのパスワードが変更された場合、全てのドメインコントローラーに変更情報が行きわたるまでに時間が掛かる場合があります。すると、変更情報がまだ届いていないドメインコントローラーからユーザーがログオンしようとした場合、パスワードが間違っていると判断され、ユーザーがログオンできないという状態になってしまいます。 このような状況を防ぐため、Active Directoryではパスワードが変更された際、まず特別な役割を持つドメインコントローラーに情報を伝えます。そして、ドメインコントローラーとユーザーの入力した認証情報が異なる場合、特別な役割をもつドメインコントローラーに問い合わせを行うことで、ユーザーがログインできる、という仕組みなのです。 ■ 操作マスターの種類と役割 では具体的に特別な役割をもつドメインコントローラーというのが何なのか、ご紹介していきます。 操作マスターには5つの種類があり、さらに以下の2つに分けられます。 1. フォレスト全体で1台必要なもの 2. ドメインごとに1台必要なもの <...

ADAudit Plus , ADManager Plus , ADSelfService Plus 1 min read

Active Directoryのダイナミックアクセス制御とは?【連載:ADについて学ぼう~応用編(2)~】

Reading Time: 1 minutesこの記事の所要時間: 約 7分 【目次】 連載:ADについて学ぼう 前回の連載ではではアクセス制御についてご紹介しましたが、今回はWindows Server2012から導入された「ダイナミックアクセス制御」についてご紹介していきたいと思います。 アクセス制御を設定するには、以下の手順が必要だったかと思います: ・セキュリティグループAを作成 ・セキュリティグループAにメンバーを追加 ・共有フォルダに対してセキュリティグループAのアクセス許可設定を設定 しかしここでさらに、複数部署の課長クラス以上のみにアクセス許可を与える場合はどうでしょう。新しくセキュリティグループを設定するという手段もありますが、毎回セキュリティグループを作成して設定を行っていては、管理が大変になってしまいます。 そこでWindows Server2012の新機能である「ダイナミックアクセス制御」を使用するにより、従来の制御方法に加えて属性によるアクセス制御の設定が可能になります。 ■ ダイナミックアクセス制御の設定 今回は例として、 部署:技術部 and 営業部 and 総務部 役職:課長 and 課長...

ADAudit Plus , ADManager Plus , ADSelfService Plus 1 min read

Active Directoryのアクセス制御とは?【連載:ADについて学ぼう~応用編(5)~】

Reading Time: 1 minutesこの記事の所要時間: 約 3分 【目次】 連載:ADについて学ぼう 記念すべき第10回目の連載では、Active Directoryのアクセス制御機能についてご紹介します。 システム上には、さまざまな共通リソースが存在しているかと思います。そのようなWindowsの共通リソースに対して、誰でも好き勝手にアクセス出来てしまったら、社内セキュリティ上問題があります。 そこでActive Directoryでは「ACL (アクセス制御リスト)」機能を使用して、リソースに対するアクセスの有無をあらかじめ設定することにより、適切なユーザーやグループのみがリソースにアクセスできるように、管理を行うことが可能です。 ■ アクセス制御リストの関連用語 —————————————————————— アクセス制御リストの設定方法について記載する前に、まず、関連用語をご紹介していきたいと思います。 ・ ACL(Access Control List) システム上のセキュリティ向上を目的とした機能で、対象リソースに対するアクセス権利の有無を設定します。「DACL」と「SACL」の2種類があります。 ・ DACL(Discretionary Access Control List)...

ADAudit Plus , ADManager Plus , ADSelfService Plus 1 min read

グループアカウントの種類と運用方法【連載:ADについて学ぼう~基礎編(8)~】

Reading Time: 1 minutesこの記事の所要時間: 約 3分 【目次】 連載:ADについて学ぼう 今回はユーザーアカウントと並んで欠かすことのできない要素である、「グループアカウント」についてご紹介します。 ◆ Point ・ グループアカウントの種類についてご紹介 ・ Microsoft が推奨するグループスコープの運用方法についてご紹介   プリンターや共有フォルダといったリソースに対するアクセス許可を設定するとき、ユーザー一人ひとりに対して設定を行っていては大変時間がかかってしまいます。そこで登場するのが「グループアカウント」です。グループアカウントを活用することで、アクセス許可を効率よく設定することが出来ます。 グループアカウントには、以下の2種類があります。 ■ セキュリティグループ リソースに対するアクセス許可の設定が可能です。さらに、電子メールアドレス属性を設定することで、電子メールの宛先として利用することが出来ます。 ■ 配布グループ 電子メールの宛先としてのみ使用が可能です。(アクセス許可の設定で使用することは出来ません。) つまり、アクセス許可を設定する目的でグループアカウントを作成する場合は、 配布グループではなくセキュリティグループの方を作成する必要があります。 グループアカウントのスコープ...

ADAudit Plus , ADManager Plus , ADSelfService Plus 1 min read

Active Directoryの委任とは?権限委任で管理者の負担を軽減しよう!【連載:ADについて学ぼう~応用編(1)~】

Reading Time: 1 minutesこの記事の所要時間: 約 4分 【目次】 連載:ADについて学ぼう ドメイン内には多くのOUが存在しており、さらに各OUには多くのユーザーやグループといったオブジェクトが存在しています。そんなOUに対する管理変更(パスワードリセットやユーザー作成や削除など)を、ドメイン管理者が全て行っている場合、ドメイン管理者の負担は大変大きくなりがちです。 そこで、Active Directoryの機能の一つである「制御の委任」を行うことにより、OU単位で、特定の管理作業だけを任せることができるようになります。これにより、Active Directory内の管理作業を分担することが出来るため、ドメイン管理者の負担を軽減することが可能です。 今回はセキュリティ管理者にとって、特に負担が大きくなりがちな「パスワードリセット」の権限委任を例に、委任の設定方法をご紹介していきたいと思います。 1.「Active Directoryユーザーとコンピュータ」を起動します。 2.制御の委任を行うOUを右クリックして、「制御の委任」を選択します。 3.「オブジェクト制御の委任ウィザード」が起動します。 4.[追加]ボタンをクリックして、権限委任を行うユーザーまたはグループを選択します。 5.委任するタスクの種類を以下の2つから選択します: (今回は[委任するカスタムタスクを作成する]を選択します。) [次の共通タスクを委任する] 制御を委任できる共通タスクは次の通りです。 ・ ユーザー アカウントの作成、削除、および管理 ・ ユーザーのパスワードをリセットして次回ログオン時にパスワードの変更を要求する ・...

ADAudit Plus , ADManager Plus , ADSelfService Plus 1 min read

グループアカウントの種類と運用方法【連載:ADについて学ぼう~基礎編(7)~】

Reading Time: 1 minutesこの記事の所要時間: 約 2分 【目次】 連載:ADについて学ぼう 今回はグループポリシーで設定できるポリシーの中でも、特にセキュリティに深く関係している「アカウントポリシー」について説明していきます。 ◆ Point ・ アカウントポリシーの設定方法についてご紹介 ・ アカウントロックアウトポリシーとパスワードポリシーの詳細な内容についてご紹介   アカウントポリシーとは? セキュリティ設定の一つで、パスワードとアカウントロックアウトに関するポリシーを指します。例えばパスワードの有効期間や、アカウントロックアウトの回数などを設定できます。 アカウントポリシーの設定方法 [コンピューターの構成]->[ポリシー]->[Windowsの設定]->[セキュリティの設定]->[アカウントポリシー]から設定します。 この「パスワードポリシー」と「アカウントロックアウトのポリシー」を社内ルールに基づき正しく構成することにより、ドメイン内のセキュリティ設定を強化することができます。 ご注意! ・ アカウントポリシーはドメインに対してのみ適用されます。 ・ アカウントポリシーを定義したGPOを作成し、サイトやOUにリンクしたとしてもドメインユーザーには適用されません。   以下ではアカウントポリシーの構成について詳しく解説していきます。...

ADAudit Plus , ADManager Plus , ADSelfService Plus 1 min read

Active Directoryのグループポリシーとは?【連載:ADについて学ぼう~基礎編(6)~】

Reading Time: 1 minutesこの記事の所要時間: 約 3分 【目次】 連載:ADについて学ぼう 今回はActive Directoryのグループポリシーについて説明してきます。 ◆ Point ・ グループポリシーのメリットについてご紹介 ・ GPOの適用順位をご紹介   「グループポリシー」とは、Active Directoryが提供している機能の一つであり、ドメインに所属するコンピューターの使用環境を制限することが可能となっています。 近年、大企業の顧客情報流出など、セキュリティ関係の事件が増加しています。情報が流出する経路や要因は様々あり、ネットワークを介して流出するケース、あるいは盗難や紛失による物理的な要因などが挙げられます。ネットワークから流出するケースとしては、例えば特定の社員に対してコンピューターウイルスを添付したメールを送信する「標的型サイバー攻撃」や、辞書などに掲載されている単語を組み合わせて、パスワードなどを推測する「辞書攻撃」などがあります。それらの攻撃は、企業の規模の大小に関係なく、常に攻撃の標的となる危険があるのです。 万が一、そのような攻撃にあり情報流出などの事件が起きた場合、企業は社会的な信頼を著しく失うことになり、最悪倒産につながります。そのような惨事を未然に防ぐため、多くの企業は、何かしらの対策を打っているのではないかと思います。Active Directoryにおける対策の一つとして、用意されている機能が「グループポリシー」です。 グループポリシーを設定するメリット グループポリシーを使用するメリットは2つあります。 1つ目は、上で述べたように、使用環境を制限することによるセキュリティ面の強化です。 そして2つ目は、コンピューターを、より便利に、より効率よく使用するための環境が設定可能という点です。例えば、プリンタの場合、通常はパソコンを起動し、ログオンした時点ではプリンタの設定は行われていないので、ユーザーが各自でプリンタを追加する必要があります。しかし、管理者が予め使用して欲しいプリンタをグループポリシーで定義することにより、ドメインに所属するユーザーはログオン後、すぐにプリンタを使用することが可能になるのです。このようにユーザー一人ひとりがプリンタを追加する必要がないというのは、作業の効率化にもつながりますね。 GPOの適用と適用順位 グループポリシーを使用することで様々なルールや制限を定義することが出来ますが、一つ一つのルールや制限のことを「ポリシー」といい、さらにポリシーの集合体を「グループポリシーオブジェクト(GPO)」と呼びます。なお、GPOは作成しただけではユーザーやコンピューターにルールや制限が適用されません。作成したGPOを適用対象に「リンク」させることにより、初めてグループポリシーが対象に適用されるのです。ここでいう「リンク」とは、グループポリシーの適用対象に対するGPOの関連付けをいいます。...

ADAudit Plus , ADManager Plus , ADSelfService Plus 1 min read

Active DirectoryにおけるDNSの役割【連載:ADについて学ぼう~基礎編(5)~】

Reading Time: 1 minutesこの記事の所要時間: 約 3分 【目次】 連載:ADについて学ぼう 今回はActive DirectoryにおけるDNSの役割についてご紹介していきます。 ◆ Point Active DirectoryにおけるDNSの役割として以下の2つをご紹介: ・ ドメインに参加しているコンピューターの登録と名前解決 ・ ドメインコントローラーの検索   1.ドメインに参加しているコンピューターの登録と名前解決 DNSとは、FQDNとIPアドレスの対応付けを行う、つまりIPアドレスをホスト名に変換する名前解決サービスです。コンピューターがTCP/IP通信を行う際、接続先コンピューターのIPアドレスで通信相手を特定しています。しかし数字の羅列であるIPアドレスは人間にとって覚えづらく、人間にとって親しみやすい文字や記号の並びを使用してアクセスできるようにする仕組みが必要になりました。その仕組みこそが「DNS(Domain Name System)」なのです! DNSにはFQDN(ホスト名+DNSドメイン名)が登録されています。例えば、test.localというDNSドメインに所属するdemo-adというコンピューターには、FQDNとして「demo.ad.test.local」が登録されています。DNSはそのFQDNをIPアドレスに変換、あるいはIPアドレスをFQDNに変換する役割をもちます。ユーザーが「demo.ad.test.local」と指定すると、コンピューターはDNSにそのFQDNのIPアドレスを問い合わせ、DNSサーバーはDNS内に登録されている情報から検索を行い、IPアドレスを返してくれます。この仕組みによりユーザーはIPアドレスをいちいち覚える必要がなく、FQDNを指定することで通信を行うことが可能となっています。 このDNSですが、Active Directory環境ではADのドメインサービスと統合されており、Active Directoryのドメイン階層は、そのままDNSドメインの階層として登録されます。 このようにドメインに参加しているコンピューターのIPアドレスとホスト名はDNSドメインに自動的に登録されるのです。...

ADAudit Plus , ADManager Plus , ADSelfService Plus 1 min read