Active Directoryについてまとめてみた

はじめに

業務でWindwos ServerのActiveDirectrｙを構築する機会があったので調べてみました。

参考

日経ITエンジニアスクール Active Directory 最強の指南書

Active Directoryとは

• Windowsサーバーが備えるITリソース管理機能。Windows 2000サーバーから導入された
• ユーザーに対してどの操作を許可するのかなどを定義してそのルールを各ユーザー、端末に適用する

Active Directoryはなぜ必要なのか

中心的な役割 ドメインコントローラ

クライアントパソコンやサーバー、ユーザー情報を登録したDBを持っている

グループポリシーで強制的なルールの適用

グループポリシーでコンピューターやそのユーザーの設定を細かく制御できる

ログイン時にドメインコントローラで一回認証すればあらかじめドメインコントローラに許可された範囲の複数のITリソースを利用可能になる

グループポリシー基本設定、グループポリシーオブジェクト

グループポリシーオブジェクト(GPO)

グループアカウント

複数のコンピュータ/ユーザアカウントを束ねたもの

グループポリシーの適用範囲

• ドメイン、サイト、OUなど
• OUはドメインよりも小さい管理単位

ドメイン、サイト、フォレスト

ADが管理のために作成される範囲

フォレスト

複数のドメインが所属できる範囲
新規にActive Directoryをインストールすると、フォレストが1つ構成されたことになり、1台目のドメイン・コントローラは“フォレスト・ルート・ドメイン”を構成する

ルートドメイン

ドメインの階層、すなわちドメインツリーは、インターネットにおけるDNSドメインと同様の命名・表記ルールを使用している。そのため、階層ごとにピリオドで区切るようになっており、階層が深くなるほど、ピリオドで区切られたパートが左側に向かって増えることになる。

ドメインツリーの最上階層に位置するドメインのことを「ルートドメイン」という。たとえば、ルートドメインの名前が「ad-domain.company.local」となっていた場合、この下にサブドメイン(子ドメイン)を追加して階層構造を構成できる。そして、サブドメインとして「tokyo.ad-domain.company.local」や「sapporo.ad-domain.company.local」といったものを設置できる。さらに階層を深くすると、「chiyoda.tokyo.ad-domain.company.local」といった具合になる。

NetBios名

Windowsネットワークもインターネット普及の流れに乗るためにTCP/IPを標準のプロトコルに採用します。時代の流れです。ですが、単純にTCP/IPに移行してしまうと今まで使っていたNETBIEUI+NETBIOSのAPIをつかったWindowsファイル共有やプリンタ共有が使えなくなってしまいますし、Windowsネットワークの特徴であった「とりあえず名前だけ決めておけば繋がる」という利点が失われてしまいます。

そこでマイクロソフトがとったのはTCP/IPの上でNETBIOSのAPIを使えるようにする、という戦略です。これをNETBIOS over TCP/IPといいます。TCP/IP上でNETBOISを使えるようにしたわけです。これにより、NETBIOSのアプリケーションそのままに、TCP/IPを使って複数セグメントに分かれた大規模なネットワークにも対応可能になりました。

このNETBIOS over TCP/IPの機能があるため、何も設定していない状態で「ping コンピューター名」に応答が返ってくるわけです。

サイト

ドメインコントローラの同期が即時に反映される範囲。通常はLANを一つのサイトに設定

ドメイン

できれば一つの組織(企業)一つ

##　コンピューターアカウントとユーザーアカウント
現実のコンピュータと人

ドメインコントローラはこのコンピュータ&ユーザーはどのドメインのどのITリソースににどんなアクセス権限があるかあるかの情報を管理します

グループポリシー

コンピュータやユーザーアカウントに対して管理者が定めたポリシーを強制的に適用する

グループポリシーの設定はドメインやOU（Organizational Unit：組織単位）に割り当てるため、ドメイン／OUに含めるユーザーやコンピューターを事前に整理しておくことも重要だ。
グループポリシーの設定で利用するのが、「グループポリシーの管理」ツール（Group Policy Management Console：GPMC）

グループポリシーの設定と適用

先ほど例に挙げた「支社のユーザーには［コントロールパネル］を利用させたくない」という設定は、GPOで「コントロールパネルを使わせない」という設定を行い、リンクでGPOと支社のユーザーOUを関連付けることになる。

ポリシー設定流れ

日経ITエンジニアスクール Active Directory 最強の指南書

ルール=ポリシー

GPOに入れるもの

GPP グループポリシー基本設定

• ルール集
• ポリシーより細かい設定する場合に利用する
• ポリシーはルールが決まっているがGPPはルールが決まっていない

セキュリティポリシーの

各グループポリシーのセキュリティの箇所

ローカルセキュリティポリシー
（＝ローカルグループポリシーオブジェクトのセキュリティ設定部分
　の[コンピュータの構成]-[Windowsの設定]-[セキュリティの設定]を抜き出したものが
　
ドメインセキュリティポリシー
(＝既定のドメインGPO（Default Domain Policy)-「コンピュータの構成」－「Windowsの設定」－「セキュリティの設定」の部分）

要件があったら使えそうなグループポリシーかGPPを探す

ポリシーリンク対象

ドメイン　サイト　OU

ポリシー適用の優先順位

低 サイト->ドメインサイト->OU 高

競合するポリシーは上書きされ、競合しないポリシーは継承される

ドメインで設定したものは上書きできないようにしたい

強制にしたポリシーは上書きできない

継承のブロック
上位から継承されるリンクを下位に継承しない

フィルター
適用対象を絞る

セキュリティフィルターとWMIフィルター

WMIフィルターはスクリプトを書かないといけない

グループポリシー

• GPOを作成してOUなどにリンクして適用すること

GPO

• 大きく2つの箱に大別される　「コンピューターの構成」と「ユーザーの構成」から
• ルールが入った箱
  • 例 ローカルセキュリティポリシー

GPOの編集や新規作成

• GPOにルールの設定=GPOの新規作成と編集
  • 編集する場合 編集したいグループポリシーオブジェクト（GPO）を右クリックし、「編集」を選択することで起動
  • 新規の場合 グループポリシーオブジェクトで右クリック - 新規作成
    グループポリシー管理エディターで新規作成と編集ができる
    グループポリシー管理エディター開いていたら、既存/新規のGPOにルールを設定しているということ

GPOを作成できる,

• 作成したGPOはドメイン、OUなどにリンクして適用する

GPOにはこういったものが適用されている
https://www.atmarkit.co.jp/ait/articles/1503/25/news032.html

グループポリシーの適用

いつ適用されるか

• コンピューターの起動時やユーザーのログオン時の他、およそ90分間隔でドメインコントローラーが保持している最新の設定が割り当てられるようにな
• 「gpupdate /force」コマンドを実行

グループポリシーのログの確認

また、イベントビューアーの「アプリケーションとサービスログ」→「Microsoft」→「Windows」→「GroupPolicy」ログを参照すると、グループポリシーに関する詳細な内容を確認できる。

グループポリシーの一覧の確認

「gpresult /r」コマンドを実行することで、そのコンピューターまたはユーザーに割り当てられたGPOの一覧を確認できる。

コンピュータへの適用は電源入れたログオン前に適用される
ログオンしたらユーザーへの適用がされる

グループポリシーでできること、メリット

• 「グループポリシーオブジェクト（GPO）」を対象のドメインにリンクすれば、ドメインに参加している全てのユーザー／コンピューターにその設定が反映される。

• 社内にある複数のコンピューターに同じ設定をまとめて適用できること

• グループポリシーはActive Directoryドメインに参加しているユーザー／コンピューターに、さまざまな設定を一括で適用できる機能である。特に、複数の設定を一つにまとめた「グループポリシーオブジェクト（GPO）」を対象のドメインにリンクすれば、ドメインに参加している全てのユーザー／コンピューターにその設定が反映される。つまり、組織内（ドメイン内）の全ユーザー／コンピューターに漏れなく設定を強制することができるのだ。

ドメインコントローラはDomain Controllers OUに属している
つまり、既定では「Default Domain Policy」で定義されたアカウントポリシーだけが有効になる

ドメインコントローラーのGPOの種類

• ローカルセキュリティポリシー
• Default Domain Policy
• Default Domain Controllers Policy

ローカルセキュリティポリシー(LGPO)

コンピュータを直接操作できるユーザーを制限したり，そのマシンに登録してあるユーザー（ローカル・ユーザー）のアカウントの有効期限やパスワードの長さなどを指定したりできる。

secpol.msc

設定できるもの
アカウントポリシー
ローカルポリシー

ドメイン内のサーバー、コンピュータに適用されるセキュリティポリシー

• ローカルセキュリティポリシー(LGPO)

• ドメインセキュリティポリシー　競合した場合ドメインGPOが優先適用

• ドメインGPOで初期設定されているのは主に「アカウントポリシー（パスワードポリシー／アカウントロックアウトのポリシー／Kerberosポリシー）」である。

• ドメインに参加しているコンピュータでは、主にアカウントポリシー以外はローカルセキュリティポリシーで定義されている

ポリシーはドメイン又はOUのGPOで一括して定義 ・管理することが望ましい。

Default Domain Policy

ドメイン参加したコンピュータにはDefault Domain Policyは LGPOを上書きする

Default Domain Controllers Policy

ドメインセキュリティポリシーよりドメインコントローラセキュリティポリシーが優先適用

Default Domain PolicyやDefault Domain Controllers Policyに関して

ログオンなどの許可のルール

Windows Serverの既定の設定では、ローカルグループポリシーで「Administrators」「Backup Operators」「Users」のアカウントに対し、ログオンの許可が与えられている。つまり、一般ユーザーでもWindows Serverへのログオンが可能だ（なお、ドメインコントローラーへのログオンの許可は「Default Domain Controllers Policy」で定義されており、「Users」は許可されていない）。