Active Directory

Active Directoryのユーザーアカウント作成とは?【連載:ADについて学ぼう~導入編(1)~】

Reading Time: 2 minutesこの記事の所要時間: 約 6分 【目次】 連載:ADについて学ぼう Active Directoryの代表的なオブジェクトには、「ユーザーアカウント」「グループアカウント」「コンピューターアカウント」などがありますが、この記事ではまず初めに作成するであろう、「ユーザーアカウント」の代表的な作成方法を、3つご紹介していきたいと思います。 目次 1.Microsoftが提供している管理ツールを使用 2.コマンドラインを使用 3.弊社製品の「ADManager Plus」を使用   1.Microsoftが提供している管理ツールを使用 ユーザーアカウントを作成する際に、おそらく最も多くの方が使用している方法が、Microsoft提供の管理ツールなのではないでしょうか。なお、使用可能な管理ツールには、従来からある[ユーザーとコンピューター]と、Windows Server2012R2から追加された[管理センター]の2つがあります。 1-1. [ユーザーとコンピューター]を使用した場合 [コントロール パネル] -> [管理ツール] から、[Active Directory ユーザーとコンピューター]...

ADAudit Plus , ADManager Plus , ADSelfService Plus 2 min read

【なんか遅い!】なぜパスワードのリセットに時間がかかるのか?

Reading Time: 1 minutesこの記事の所要時間: 約 5分 急いでいる時、あるいは外出中に限ってパスワードの有効期限が切れてしまい、PCへのログインや VPN接続ができないといった経験はないでしょうか。 また、そんな急いでいる社員にせかされて、サーバーにログインしてリセット対応するといった経験は ないでしょうか。 本ブログでは、エンドユーザー(社員)から依頼のあるActive Directoryのパスワードリセット要求に対して なぜ対応に時間がかかってしまうのか問題点を確認した上で、ManageEngine ADSelfService Plus、ADManager Plusを使用した場合のパスワードリセットにかかる時間について紹介いたします。 Active Directoryのパスワードリセットは管理者権限やリセット権限が付与されたユーザーでのみ実行 できる処理です。一般のエンドユーザー(社員)権限では自己解決できないため、Eメール、電話、 紙ベースでの申請・問い合わせがおこなわれます。この問い合わせこそ、もっとも時間がかかります。 もちろん、リセット後にエンドユーザーに新しいパスワードをお伝えする必要がある点でも時間がかかる でしょう。 もう1点が、実際にリセットを実行するヘルプデスク担当者や管理者のおこなうリセット作業の時間です。 ドメインコントローラーにアクセスし、Active Directoryが提供するコンソールから実行する場合はそれなりに 時間がかかります。以下の実行手順の場合、2分弱の時間を要します。 【Active Directoryユーザーとコンピューター(ADUC)のコンソールの場合】...

ADManager Plus , ADSelfService Plus 1 min read

ADAudit Plusの新バージョンをリリース

Reading Time: 1 minutesこの記事の所要時間: 約 1分 Active Directoryの監査ツールである、ManageEngine ADAudit Plus(エーディーオーディット プラス)の新バージョンをリリースしました。 本ブログでは新しくなった点をご紹介します。 大きな変更ですが、これまでと同様の操作性を保ちつつUIを新しいデザインへ変更しました。 これまでとは違ってフラットなデザインへ変更していますが、変更した内容はデザインだけではなく、各レポートを遷移する際に最小のHTMLだけを更新することで、サーバーとクライアント間のトラフィック量を軽減しながら、画面表示速度を向上しています。(従来とくらべても2倍以上速くなっています!) 図:ホームダッシュボード画面 図:ログオン失敗レポート 続いて、ご紹介したい機能はアーカイブ検索機能です。 これまでのバージョンでは、過去のデーターを検索する際は、アーカイブ化したデーターを読み込み検索していました。 読み込む時間はスペックやデーターサイズに依存しますが、数分から数時間と読み込むだけの操作に多くの時間を費やしてしまっており、過去データーが検索しづらいという問題がありました。 本バージョンからは過去のデーターを全文検索システムへ保存することで、読み込み速度、検索速度を大幅に改善しました。 それによって、過去のデーターを検索することが容易になり、原因の追跡に掛ける時間を大幅に短縮できます。 図:アーカイブ検索 ご紹介した機能は、デザインとアーカイブ検索の2つですが、今後も機能向上や安定性向上を行なってまいります。もし、社内のActive Directoryでどのユーザーが認証失敗しているのか知りたいやユーザーやグループなどのオブジェクトの変更履歴を把握したいなど、監査ツールにご興味ありましたら、Active Directoryの監査ツール ADAudit Plusをご評価いただけましたら幸いです。 ☆30日間無料で評価可能な評価版ダウンロードURLはこちら ☆☆導入から設定までを解説したスタートアップガイドはこちら ☆☆☆製品概要ページ:https://www.manageengine.jp/products/ADAudit_Plus/

ADAudit Plus 1 min read

Active DirectoryのFSMOとは?【連載:ADについて学ぼう~応用編(3)~】

Reading Time: 1 minutesこの記事の所要時間: 約 4分 【目次】 連載:ADについて学ぼう ドメインやフォレスト内には、いくつかの特別な役割を持ったドメインコントローラーが存在しており、このようなドメインコントローラーは、「FSMO」や「操作マスター」と呼ばれます。 *FSMO = Flexible Single Master Operation ではなぜそのようなドメインコントローラーが必要なのでしょうか? 例えば、複数のドメインコントローラーが存在するドメインで特定のユーザーのパスワードが変更された場合、全てのドメインコントローラーに変更情報が行きわたるまでに時間が掛かる場合があります。すると、変更情報がまだ届いていないドメインコントローラーからユーザーがログオンしようとした場合、パスワードが間違っていると判断され、ユーザーがログオンできないという状態になってしまいます。 このような状況を防ぐため、Active Directoryではパスワードが変更された際、まず特別な役割を持つドメインコントローラーに情報を伝えます。そして、ドメインコントローラーとユーザーの入力した認証情報が異なる場合、特別な役割をもつドメインコントローラーに問い合わせを行うことで、ユーザーがログインできる、という仕組みなのです。 ■ 操作マスターの種類と役割 では具体的に特別な役割をもつドメインコントローラーというのが何なのか、ご紹介していきます。 操作マスターには5つの種類があり、さらに以下の2つに分けられます。 1. フォレスト全体で1台必要なもの 2. ドメインごとに1台必要なもの <...

ADAudit Plus , ADManager Plus , ADSelfService Plus 1 min read

Active Directoryのダイナミックアクセス制御とは?【連載:ADについて学ぼう~応用編(2)~】

Reading Time: 1 minutesこの記事の所要時間: 約 7分 【目次】 連載:ADについて学ぼう 前回の連載ではではアクセス制御についてご紹介しましたが、今回はWindows Server2012から導入された「ダイナミックアクセス制御」についてご紹介していきたいと思います。 アクセス制御を設定するには、以下の手順が必要だったかと思います: ・セキュリティグループAを作成 ・セキュリティグループAにメンバーを追加 ・共有フォルダに対してセキュリティグループAのアクセス許可設定を設定 しかしここでさらに、複数部署の課長クラス以上のみにアクセス許可を与える場合はどうでしょう。新しくセキュリティグループを設定するという手段もありますが、毎回セキュリティグループを作成して設定を行っていては、管理が大変になってしまいます。 そこでWindows Server2012の新機能である「ダイナミックアクセス制御」を使用するにより、従来の制御方法に加えて属性によるアクセス制御の設定が可能になります。 ■ ダイナミックアクセス制御の設定 今回は例として、 部署:技術部 and 営業部 and 総務部 役職:課長 and 課長...

ADAudit Plus , ADManager Plus , ADSelfService Plus 1 min read

Active DirectoryにおけるDNSの役割【連載:ADについて学ぼう~基礎編(5)~】

Reading Time: 1 minutesこの記事の所要時間: 約 3分 【目次】 連載:ADについて学ぼう 今回はActive DirectoryにおけるDNSの役割についてご紹介していきます。 ◆ Point Active DirectoryにおけるDNSの役割として以下の2つをご紹介: ・ ドメインに参加しているコンピューターの登録と名前解決 ・ ドメインコントローラーの検索   1.ドメインに参加しているコンピューターの登録と名前解決 DNSとは、FQDNとIPアドレスの対応付けを行う、つまりIPアドレスをホスト名に変換する名前解決サービスです。コンピューターがTCP/IP通信を行う際、接続先コンピューターのIPアドレスで通信相手を特定しています。しかし数字の羅列であるIPアドレスは人間にとって覚えづらく、人間にとって親しみやすい文字や記号の並びを使用してアクセスできるようにする仕組みが必要になりました。その仕組みこそが「DNS(Domain Name System)」なのです! DNSにはFQDN(ホスト名+DNSドメイン名)が登録されています。例えば、test.localというDNSドメインに所属するdemo-adというコンピューターには、FQDNとして「demo.ad.test.local」が登録されています。DNSはそのFQDNをIPアドレスに変換、あるいはIPアドレスをFQDNに変換する役割をもちます。ユーザーが「demo.ad.test.local」と指定すると、コンピューターはDNSにそのFQDNのIPアドレスを問い合わせ、DNSサーバーはDNS内に登録されている情報から検索を行い、IPアドレスを返してくれます。この仕組みによりユーザーはIPアドレスをいちいち覚える必要がなく、FQDNを指定することで通信を行うことが可能となっています。 このDNSですが、Active Directory環境ではADのドメインサービスと統合されており、Active Directoryのドメイン階層は、そのままDNSドメインの階層として登録されます。 このようにドメインに参加しているコンピューターのIPアドレスとホスト名はDNSドメインに自動的に登録されるのです。...

ADAudit Plus , ADManager Plus , ADSelfService Plus 1 min read

Active Directoryのサイトとは何か?【連載:ADについて学ぼう~基礎編(4)~】

Reading Time: 1 minutesこの記事の所要時間: 約 3分 【目次】 連載:ADについて学ぼう 今回はActive Directoryの構成要素である「サイト」について説明してきます。 ◆ Point サイトを構成することのメリットとして、以下の2つをご紹介: ・ クライアントコンピューターとドメインコントローラー間の認証トラフィックの最適化 ・ ドメインコントローラー間のレプリケーショントラフィックの最適化   サイトの構成は、物理ネットワークに合わせた、Active Directoryの論理的な区別を可能とします。デフォルトでは、全てのドメインコントローラーが「Default-First-Site-Name」という名前のサイトに属しています。 では、どのような時にサイトの構成が必要なのか。それを説明するために、今回は東京本社と大阪支社を持つ会社を例に挙げていきます。この会社は、一つのActive Directoryで構成されていますが、物理的には本社と支社で分離されており、それぞれの拠点にドメインコントローラーを構築しているとします。 この場合、もしデフォルト設定のままで、二つのドメインコントローラーが両方「Default-First-Site-Name」に所属していたとすると、ドメインコントローラーが大阪や東京といった物理的な場所により区別されることはありません。そのため大阪のユーザーがログオンをする際、大阪のドメインコントローラーによりログオン認証を受けることもあれば、東京のドメインコントローラーにより認証を受けることもあり、ネットワークの状況によっては認証に時間がかかる可能性があります。 ここで登場するのが「サイト」です。 サイトを構成し、Active Directoryドメイン内のドメインコントローラーを物理ネットワークに合わせて論理的に分割を行うことで、大阪のユーザーは大阪のドメインコントローラーに、東京のユーザーは東京のドメインコントローラーに優先的に認証を行わせることが可能になります。 またドメインコントローラー間のレプリケーション制御においても同様です。 ドメインコントローラーが全て「Default-First-Site-Name」に属している場合、ドメインコントローラー間のレプリケーションはほぼリアルタイムに行われます。しかし、環境によっては、リアルタイムに同期を行うことでネットワークの帯域を圧迫する場合があります。その場合はサイトを構成後、サイト間を接続する「サイトリンク」を作成することで、ドメインコントローラー間のレプリケーション間隔を調整することが出来るのです。...

ADAudit Plus , ADManager Plus , ADSelfService Plus 1 min read

Active Directoryの基本構成【連載:ADについて学ぼう~基礎編(3)~】

Reading Time: 1 minutesこの記事の所要時間: 約 3分 【目次】 連載:ADについて学ぼう 今回はActive Directoryを構成する「要素」ついて説明していきたいと思います。 ◆ Point Active Directoryを構成する4つの要素をご紹介: ・ ドメイン ・ OU(組織単位) ・ ドメインツリー ・ フォレスト   ■ ドメイン Active Directoryの基本単位を「ドメイン」といいます。ドメインとは、Active Directoryデータベースを共有する範囲のことをいい、ドメインを作成することで、組織のユーザー・グループ・コンピューターを集中して管理することが可能になります。...

ADAudit Plus , ADManager Plus , ADSelfService Plus 1 min read

AD監査の負荷をツールで大幅軽減!【7】 パスワードポリシーの変更を簡単可視化

Reading Time: 1 minutesこの記事の所要時間: 約 2分 本ブログでは、Active Directory監査レポートツールADAudit Plusを利用したパスワードポリシーの監視方法について紹介します。 強固で一貫性のあるグループポリシーは、どの会社においても効果的です。パスワードポリシーを適切に設定していなければ、攻撃者はネットワーク内のリソースへアクセスするチャンスをより多く得ることになります。そこでActive Directoryでは、ドメインユーザーに対して強固なパスワードの設定を強いることができる「パスワードポリシー」という設定を提供しています。 パスワードポリシーは「Default Domain Policy」で設定することができ、これはActive Directoryをインストールした際に自動構成される2つの「Default Domain Policyオブジェクト」のうち1つです。なお、パスワードポリシーは各GPOで構成することが出来るため、設定状況によっては必ずしも「Default Domain Policy」が有効なGPOとはいえない点について注意が必要です。どのGPOがパスワードポリシーの設定として反映されているかは、グループポリシー管理コンソールにある「グループポリシーの結果ウィザード」から確認可能です。図1が問い合わせ結果の画面です。 図1 グループポリシーの検索ウィザードを利用したパスワードポリシーの結果 どのGPOが有効であるかを把握後は、そのポリシーの設定が運用ルールに則った適切なものであるかを確認します。しかし、適切なものであったからといって、油断は禁物です。その後、意図せずパスワードポリシーが変更されていないということを保証するために、ポリシーの変更状況を追跡する必要があります。ところが、それをWindows ServerやActive Directoryに付属しているMicrosoft標準ツールから行う場合、イベントログを一つ一つ確認するという大変手間のかかる作業が発生します。 そこで、当社製品の「ADAudit Plus」を使用することで、ポリシー監査にかかる工数を大幅に削減することが可能です。 ADAudit Plusには、パスワードポリシーに対する変更を可視化するレポートがデフォルトで用意されています。図2をご確認ください。...

ADAudit Plus 1 min read

アカウントロックの解除対応はもう不要?【新リリース】

Reading Time: 1 minutesこの記事の所要時間: 約 1分 ドメインパスワードの管理はどのように運用されていますか? 一般的に、企業のヘルプデスクに寄せられるリクエストの「30-50%」が、 「アカウントロックの解除」や「パスワードのリセット」への対応依頼だと言われています。 さらに、1件あたりの対応には「平均 20分」をも要すると言われています。 組織のセキュリティ強化が求められる昨今、 ストロングパスワードの利用強制により、 ユーザーのパスワード忘れが頻発しがちです。 ヘルプデスクは、ユーザーの非稼働時間を最小限に抑えるために、 これらの依頼に最優先で対応するため、対応負荷が過大になっています。 さて、あなたの組織はいかがでしょうか?   本日、ManageEngine シリーズより、このヘルプデスクの過大な負荷を大幅に軽減するツールをリリースしました! Windows Active Directory(AD)上のアカウントロックの解除やパスワードのリセット の運用を効率化する、Active Directory アカウント管理セルフサービスツール 「ManageEngine ADSelfService...

ADSelfService Plus 1 min read