GPO

実は簡単!GPOのバックアップと復元方法【連載:ADについて学ぼう~応用編(6)~】

Reading Time: 1 minutesこの記事の所要時間: 約 3分 【目次】 連載:ADについて学ぼう ◆ 目次 ・ バックアップの取得方法 ・ バックアップの復元方法(バックアップ元と同じGPOに復元する場合) ・ バックアップの復元方法(バックアップ元と異なるGPOに復元する場合)   「GPOを変更したら、予期していなかったところで影響がでてしまった・・。」 「ドメインコントローラーが故障してしまい、作成したGPOがすべて失われてしまった・・。」 そのような万が一の事態に備えて、GPOのバックアップを取得しておくに越したことはありません。この記事では、グループポリシー管理エディアを使用したGPOのバックアップ・復元方法についてご紹介します。GPOのバックアップ自体はとても簡単にできますので、大きな変更を加える前、あるいは保全のための定期的な作業として、取得しておくことをおすすめします。   ■ バックアップの取得方法 ———————————————————————————– 1.ドメインコントローラーからコマンドプロンプトを起動後、以下のコマンドを実行してグループポリシー管理エディタを開きます: gpmc.msc 図1. コマンドプロンプトの実行結果...

ADAudit Plus , ADManager Plus , ADSelfService Plus , 一般 1 min read

Active Directoryのグループポリシーとは?【連載:ADについて学ぼう~基礎編(6)~】

Reading Time: 1 minutesこの記事の所要時間: 約 3分 【目次】 連載:ADについて学ぼう 今回はActive Directoryのグループポリシーについて説明してきます。 ◆ Point ・ グループポリシーのメリットについてご紹介 ・ GPOの適用順位をご紹介   「グループポリシー」とは、Active Directoryが提供している機能の一つであり、ドメインに所属するコンピューターの使用環境を制限することが可能となっています。 近年、大企業の顧客情報流出など、セキュリティ関係の事件が増加しています。情報が流出する経路や要因は様々あり、ネットワークを介して流出するケース、あるいは盗難や紛失による物理的な要因などが挙げられます。ネットワークから流出するケースとしては、例えば特定の社員に対してコンピューターウイルスを添付したメールを送信する「標的型サイバー攻撃」や、辞書などに掲載されている単語を組み合わせて、パスワードなどを推測する「辞書攻撃」などがあります。それらの攻撃は、企業の規模の大小に関係なく、常に攻撃の標的となる危険があるのです。 万が一、そのような攻撃にあり情報流出などの事件が起きた場合、企業は社会的な信頼を著しく失うことになり、最悪倒産につながります。そのような惨事を未然に防ぐため、多くの企業は、何かしらの対策を打っているのではないかと思います。Active Directoryにおける対策の一つとして、用意されている機能が「グループポリシー」です。 グループポリシーを設定するメリット グループポリシーを使用するメリットは2つあります。 1つ目は、上で述べたように、使用環境を制限することによるセキュリティ面の強化です。 そして2つ目は、コンピューターを、より便利に、より効率よく使用するための環境が設定可能という点です。例えば、プリンタの場合、通常はパソコンを起動し、ログオンした時点ではプリンタの設定は行われていないので、ユーザーが各自でプリンタを追加する必要があります。しかし、管理者が予め使用して欲しいプリンタをグループポリシーで定義することにより、ドメインに所属するユーザーはログオン後、すぐにプリンタを使用することが可能になるのです。このようにユーザー一人ひとりがプリンタを追加する必要がないというのは、作業の効率化にもつながりますね。 GPOの適用と適用順位 グループポリシーを使用することで様々なルールや制限を定義することが出来ますが、一つ一つのルールや制限のことを「ポリシー」といい、さらにポリシーの集合体を「グループポリシーオブジェクト(GPO)」と呼びます。なお、GPOは作成しただけではユーザーやコンピューターにルールや制限が適用されません。作成したGPOを適用対象に「リンク」させることにより、初めてグループポリシーが対象に適用されるのです。ここでいう「リンク」とは、グループポリシーの適用対象に対するGPOの関連付けをいいます。...

ADAudit Plus , ADManager Plus , ADSelfService Plus 1 min read

AD監査の負荷をツールで大幅軽減!【7】 パスワードポリシーの変更を簡単可視化

Reading Time: 1 minutesこの記事の所要時間: 約 2分 本ブログでは、Active Directory監査レポートツールADAudit Plusを利用したパスワードポリシーの監視方法について紹介します。 強固で一貫性のあるグループポリシーは、どの会社においても効果的です。パスワードポリシーを適切に設定していなければ、攻撃者はネットワーク内のリソースへアクセスするチャンスをより多く得ることになります。そこでActive Directoryでは、ドメインユーザーに対して強固なパスワードの設定を強いることができる「パスワードポリシー」という設定を提供しています。 パスワードポリシーは「Default Domain Policy」で設定することができ、これはActive Directoryをインストールした際に自動構成される2つの「Default Domain Policyオブジェクト」のうち1つです。なお、パスワードポリシーは各GPOで構成することが出来るため、設定状況によっては必ずしも「Default Domain Policy」が有効なGPOとはいえない点について注意が必要です。どのGPOがパスワードポリシーの設定として反映されているかは、グループポリシー管理コンソールにある「グループポリシーの結果ウィザード」から確認可能です。図1が問い合わせ結果の画面です。 図1 グループポリシーの検索ウィザードを利用したパスワードポリシーの結果 どのGPOが有効であるかを把握後は、そのポリシーの設定が運用ルールに則った適切なものであるかを確認します。しかし、適切なものであったからといって、油断は禁物です。その後、意図せずパスワードポリシーが変更されていないということを保証するために、ポリシーの変更状況を追跡する必要があります。ところが、それをWindows ServerやActive Directoryに付属しているMicrosoft標準ツールから行う場合、イベントログを一つ一つ確認するという大変手間のかかる作業が発生します。 そこで、当社製品の「ADAudit Plus」を使用することで、ポリシー監査にかかる工数を大幅に削減することが可能です。 ADAudit Plusには、パスワードポリシーに対する変更を可視化するレポートがデフォルトで用意されています。図2をご確認ください。...

ADAudit Plus 1 min read

GPOの変更履歴ってどのように管理していますか?

Reading Time: 1 minutesこの記事の所要時間: 約 0分 Active Directoryで管理しているPCには、GPO(グループ ポリシー オブジェクト)によって、様々な制限を行なうことができますが、何時どのポリシーを変更したか記録できていますか? Active Directoryの監査ツールである、ADAudit Plusを使用すると、ドメインコントローラーのログから何時どのポリシーに変更があったかレポート表示することができます。 また、レポートで表示できる内容は、詳細にドリルダウンすることができ、何時変更したかではなく、変更したポリシー内の項目まで表示することができますので、GPOの履歴管理として管理することが可能です。 図:ADAudit Plusグループポリシーの設定の履歴レポート もし、少しでもご興味を持っていただけましたら、 「30日間の無料トライアル(評価版)」を是非お試しください。 評価期間中は、技術サポートもご利用可能です。 ManageEngine ADAudit Plusのダウンロードページはこちらです。

ADAudit Plus 1 min read