5. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
機能制限・自動設定: グループポリシー
グループポリシー
コンピューターの構成の自動化(強制)
ユーザーの構成の自動化(強制)
Active Directory必須
OU
OU
ドメイン GPO
グループポリシー
オブジェクト
GPO
GPO
GPO
サイト
5
6. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
機能制限・自動設定: グループポリシーの利用
グループポリシーオブジェクト
関連するポリシーの集合体
例: [スクリーンセーバーの強制]と[パスワード保護]
ポリシー数
コンピューターの構成: 約2,000
ユーザーの構成: 約1,500
グループポリシーの[基本設定]
Windows Server 2008からの新機能
従来のグループポリシーでできなかったことが簡単に
- 例: デスクトップにファイルを配布
自動設定したいことがあれば、
まずグループポリシーを探す
6
7. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
更新プログラムの自動構成: グループポリシーで自動化
Windows Update
WSUS (Windows Server Update Services)
7
Microsoft Update
Microsoft Update
必要なものだけ承認
8. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
更新プログラムの自動構成: 注意点
インターネット接続…WSUSにのみ必要
ネットワーク回線…BITSを使うので効率が良い
Background Intelligent Transfer Services
ディスク容量…配布したいものだけをダウンロード
承認作業…条件を指定した自動承認可能
注意
8
何らかの不具合があり、マイクロソフトが取り下げても
それがWSUSに反映されるまではインストールが可能
9. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
WiFiアクセスポイント: グループポリシーで自動化
透過的でセキュアな無線 LAN 環境を構築
ユーザーは一切の設定が不要
暗号化通信を強制 (暗号鍵の自動更新)
Windows認証または電子証明書による強固な認証
9
認証情報の転送
認証
証明書 暗号化通信
グループ ポリシー
・接続先 SSID
・暗号化方式
・認証方式
・証明書の自動発行/更新
証明機関
Active Directory
RADIUS
(NPS)
WAP
10. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
アクセス許可の拡張
集約型アクセス制御
Windows Server 2012 ファイルサーバー
Windows Server 2012 Active Directory
ファイル分類管理 (FCI)
リソースプロパティの自動構成
10
要求の種類
リソース
プロパティ
集約型
アクセス規則
集約型
アクセス
ポリシー
集約型
アクセス規則
集約型
アクセス規則
11. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
デモ: 集約型アクセス制御
管理者: Active Directory管理センター
要求の種類の確認
リソースプロパティの確認
集約型アクセス規則の作成
集約型アクセスポリシーの作成
管理者: グループポリシー
集約型アクセスポリシーの展開
利用者
アクセス許可の指定
11
12. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
アクセス許可の拡張: 集約型アクセス制御の利点と課題
従来のアクセス許可の課題
利用者はビジネスを知っているがACLは分からない
集約型アクセス制御の利点
管理者がアクセス許可ポリシーを集中管理
利用者はアクセス許可ポリシーを1つ選ぶだけ
12
集約型アクセス制御の課題
設定階層が深い
従来のNTFSは無効にならない(累積する)
Windows Server 2012/Windows 8以降のみ利用可能
22. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
システム管理者のパスワードポリシー強化
従来のパスワードポリシー
ドメイン単位
きめ細かなパスワードポリシー
Windows Server 2008以降
セキュリティグループまたはユーザー単位のポリシー
Windows Server 2012からGUI設定可
22
23. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
ブランチオフィスのドメインコントローラー管理: 課題
ブランチオフィス(地方拠点)の問題点
低速WAN回線
少ないサーバーリソース
比較的低い物理セキュリティ
専任のシステム管理者不在
ブランチオフィスの現状
ドメインコントローラー兼ファイルサーバー
パートタイムシステム管理者
23
DC盗難によるディレクトリ情報流出
不慣れなファイルサーバー管理者がドメインを破壊
24. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
ブランチオフィスのドメインコントローラー管理: 解決策
読み取り専用ドメインコントローラー (RODC)
パスワードを原則保存しない
ブランチ勤務の一般ユーザーのみ保存するように構成
ブランチ勤務の管理者のパスワードを保存する場合は
パスワードポリシーを強化すること
サーバー管理者とドメイン管理者を分離
24
DC盗難によるディレクトリ情報流出が最小限
不慣れなファイルサーバー管理者からドメインを保護
25. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
ファイルサーバーの障害対策
操作ミスによる削除からの回復
ディスク障害対策
サーバー障害対策
25
26. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
ファイルサーバーの障害対策: 操作ミスからの回復
以前のバージョン = 定期的なスナップショット
実際の変更分のみディスク消費
26
サーバー設定 クライアント操作
27. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
ファイルサーバーの障害対策: ディスク障害対策
記憶域プールと仮想ディスク
ミラー (2方向 & 3方向)
パリティ (RAID 5 & RAID 6)
物理ディスク
仮想ディスク
3方向ミラーRAID-6
記憶域プール
27