Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
初心者でもわかるActiveDirectoryの基本 (なにそれ?おいしの?) 講師.NETラボ岡田将
アジェンダ  企業内での認証必要性  ワークグルプとActiveDirectoryの違い  ActiveDirectoryの仕組み  ActiveDirectoryで出来ること  ActiveDirectoryの便利な使い方  Wi...
OK 
OK 
OK 
企業内での認証の必要性 
ネットワークを利用して便利になったけど、気をつけなければならないことがあります 
 社内のドキュメント共有(共有フォルダへのアクセス) 
ファイルサーバーに誰でもアクセス出来ちゃまずいよね・・...
OK 
OK 
NG
ワークグルプとActiveDirectoryの違い WindowsServerでできるユーザIDとパスワード管理の方法にはこ2つの方法があります  ワークグルプでの管理(個別) 基本的なユーザIDとパスワードの管理機能で、おもに小規模ネットワ...
ActiveDirectoryの仕組み ActiveDirectoryではドメイン認証サービスを利用した複数の機能が搭載されています  ActiveDirectoryサービスの機能 1.Active Directory ドメインサービス(統合...
ActiveDirectoryの仕組み ActiveDirectoryは 「ドメイン」という単位で複数の機能を利用して実行されいます  ActiveDirectoryドメインサービスに必要なもの ドメイン名 (管理する領域?の名前を決めましょ...
ActiveDirectoryの仕組み ActiveDirectoryでは簡単なユーザ情報を管理しています 
スキーマ 
説 明 
localpany 
会社名 
department 
部署 
distinguishedName 
識別名 
...
ActiveDirectoryの仕組み 
ドメインにユーザーとPCを参加させる必要があります 
 ActiveDirectoryの信頼関係の構成 
ドメインコントローラー 
ドメイン登録したサーバー 
ドメイン登録したPC 
ドメイン登録した...
ActiveDirectoryの仕組み 
ドメインコントローラー 
 ドメインへのログイン 
PCが単体同士で許可していましたがドメインコントローラーへ問い合わせてログインします 
ログイン許可 
ユーザーがPCにログイン 
ログイン認証
ActiveDirectoryの仕組み 
ドメインコントローラー 
 共有フォルダへのアクセス 
サーバーアクセスもドメインコントローラーへ問い合わせてアクセス許可がおります 
ログイン済み 
共有フォルダアクセス 
アクセス確認 
アクセス...
 グループでの管理 グループごとに管理が可能。  OU(Organizational Unit:組織単位)での管理 グループの垣根をこえた管理が可能。 ActiveDirectoryの仕組み ActiveDirectoryではグループ(また...
ActiveDirectoryの仕組み 
ドメインコントローラー 
 グループ設定での共有フォルダへのアクセス 
グループごとの設定が可能 
営業グループはOK 
企画グループ営業グループ 
企画グループはOKだけど 
営業グループはNG
ActiveDirectoryの仕組み 
ドメインコントローラー 
 OU(Organizational Unit:組織単位)での共有フォルダへのアクセス 
グループを超えてOUでアクセス許可設定も可能(共用プリンタなども設定可能) 
営業グ...
 ActiveDirectoryの連携構成 ドメイン単体フォレスト(森) ドメインツリー(木) ActiveDirectoryの仕組み ActiveDirectoryの認証は他ADと連携して信頼関係の領域を拡大するこができまTokyo. La...
ActiveDirectoryの便利機能 ドメインで設定することユーザIDの管理以外にいろんなことが集中できます  ポリシーの管理 ユーザポリシ、グルプなどでインスト制限やUSBメモリ制限などが できる。パスワードポリシ設定強固な(ゆいのも可...
ActiveDirectoryの便利機能 ちょっと上級者向け機能  ログイン(オフ)スクリプトの設定 ログイン時にADに設定されているスクリプトを自動的実行すことができ。 ネットワークドライブ設定やセキュリティソフの更新を自動的に行ったりする...
ActiveDirectoryの便利機能 ちょっと上級者向け機能(PowerShellでできること)もちろん.NETFrameworkを使ったPGで制御もきます 
作業の概要 
Active Directory モジュールを読み込む 
利用でき...
WindowsServer 2012での新機能  BYOD(Windows 8.1またはiOSデバイス)の参加(2012R2) Workplace Joinと呼ばれる機能で簡易ログオンすこドメイ参加が可になりま。  ゴミ箱(2008R2以降...
 大規模なネットワークでは必須  企業間で相互認証が必要な場合は須  サーバ管理者が楽をしたいから導入(お)  ユーザサポトを減らしたいか導入(お)  中小企業でもWindows Server 2012 Essentialsで簡易的な...
参考資料  Active Directoryとは何か? http://www.atmarkit.co.jp/ait/articles/0209/12/news003.html  Windows Server 2012のActive Dire...
初心者でもわかるActive directoryの基本
Upcoming SlideShare
Loading in …5
×

初心者でもわかるActive directoryの基本

.NETラボ 勉強会 2013年07月の資料です。
会社で使っているけどよくわかっていない、そもそも「なにそれおいしいの?」という初心者向けにActiveDirectoryの基本的な内容をお話しさせていただきました。

※一部社内資料として使いやすいように削除いたしました。
こちらのサイトで元のPPTXファイルをダウンロードしていただけます。
http://sonic.blue/it/1

  • Login to see the comments

初心者でもわかるActive directoryの基本

  1. 1. 初心者でもわかるActiveDirectoryの基本 (なにそれ?おいしの?) 講師.NETラボ岡田将
  2. 2. アジェンダ  企業内での認証必要性  ワークグルプとActiveDirectoryの違い  ActiveDirectoryの仕組み  ActiveDirectoryで出来ること  ActiveDirectoryの便利な使い方  WindowsServer 2012での新機能  まとめ
  3. 3. OK OK OK 企業内での認証の必要性 ネットワークを利用して便利になったけど、気をつけなければならないことがあります  社内のドキュメント共有(共有フォルダへのアクセス) ファイルサーバーに誰でもアクセス出来ちゃまずいよね・・・ (人事や経理のファイルとか社外秘ファイルなどなど)  業務用アプリの起動 誰でも商品の原価や販売価格の設定ができたらまずいよね・・・ (データベースアクセスやクライアントアプリ、Webアプリなど)  不正アクセス(ライバル企業やハッカーなど) 顧客のデータや個人情報などが盗まれたらまずいよね・・・ (気がつかないと売り上げ低下や下手すると賠償問題に)
  4. 4. OK OK NG
  5. 5. ワークグルプとActiveDirectoryの違い WindowsServerでできるユーザIDとパスワード管理の方法にはこ2つの方法があります  ワークグルプでの管理(個別) 基本的なユーザIDとパスワードの管理機能で、おもに小規模ネットワーク利用される。 一つのサーバごとにしかユザIDとパスワードの管理ができないため、サバ増 えるごとに同じ分だけ登録しなればらいので大規模管理はき。 クライアントの設定も個人ごとにしなければらい。 ※ファイル共有だけならNASサーバやWindowsHomeServerなどでも可能。  ActiveDirectoryでの管理(統合) ユーザIDとパスワードなどの管理機能をもった統合サーバ導入することで、全部 のサーバに同一IDをユーザIDとパスワードでログインすることがきように。 「ドメインネットワーク」とよばれ複数サバを導入している大規模なに利用さ れる。 クライアントの設定も一括して可能になるが、ドメ参加機をった企業向けOSに限ら れる。(Professional以上)
  6. 6. ActiveDirectoryの仕組み ActiveDirectoryではドメイン認証サービスを利用した複数の機能が搭載されています  ActiveDirectoryサービスの機能 1.Active Directory ドメインサービス(統合認証) Active Directoryは「ドメイン」という単位で管理する範囲を定義して、ユーザログオン、 統合認証、ディレクトリ検索などでユーザとドメインの間信頼関係が管理されます。 2.Active Directory ライトウェディレクトリサービス(簡易情報連携) Active Directoryのディレクトリ検索機能のみをLDAP(Lightweight Directory Access Protocol) を通じて他のアプリケーション利用に適した情報とできるようすサビス。 3.Active Directory Rights Management サービス(情報保護) ファイル単位でAD認証のセキュリティ設定が可能になり情報漏えい対策を行うことができる。 (ファイル形式がADRMSに対応している必要があ) 4.Active Directory フェデレーションサービス(シングルサインオ) 企業間での安全な相互ログイン認証が可能にる。 5.Active Directory 証明書サービス(AD用認証局) Webサービスなどで利用するSSLなどをAD認証下で利用して証明書の配布を容易に実現できる。
  7. 7. ActiveDirectoryの仕組み ActiveDirectoryは 「ドメイン」という単位で複数の機能を利用して実行されいます  ActiveDirectoryドメインサービスに必要なもの ドメイン名 (管理する領域?の名前を決めましょう。) DNSサービス (社内向けに各サーバやPC間の名前解決が必要) 固定IP(社内DNSサーバと兼用になるので決めい困) 設定するユーザID、パスワード、その他情報 (さすがに一人ではADは使わないよね) 設定するグループ、管理情報など (営業グループとか経理人事)
  8. 8. ActiveDirectoryの仕組み ActiveDirectoryでは簡単なユーザ情報を管理しています スキーマ 説 明 localpany 会社名 department 部署 distinguishedName 識別名 displayName 表示名 givenName 名 mail メールアドレス msDS-PhoneticDisplayName 表示名のふりがな name 名前(相対識別名として機能する) saMAccountName SAMアカウント名 sn 姓 telephoneNumber 電話番号 title 役職 userPricipal ユーザプリンシパル名
  9. 9. ActiveDirectoryの仕組み ドメインにユーザーとPCを参加させる必要があります  ActiveDirectoryの信頼関係の構成 ドメインコントローラー ドメイン登録したサーバー ドメイン登録したPC ドメイン登録したユーザー
  10. 10. ActiveDirectoryの仕組み ドメインコントローラー  ドメインへのログイン PCが単体同士で許可していましたがドメインコントローラーへ問い合わせてログインします ログイン許可 ユーザーがPCにログイン ログイン認証
  11. 11. ActiveDirectoryの仕組み ドメインコントローラー  共有フォルダへのアクセス サーバーアクセスもドメインコントローラーへ問い合わせてアクセス許可がおります ログイン済み 共有フォルダアクセス アクセス確認 アクセス許可
  12. 12.  グループでの管理 グループごとに管理が可能。  OU(Organizational Unit:組織単位)での管理 グループの垣根をこえた管理が可能。 ActiveDirectoryの仕組み ActiveDirectoryではグループ(またOU)の設定をすることで集中管理きま
  13. 13. ActiveDirectoryの仕組み ドメインコントローラー  グループ設定での共有フォルダへのアクセス グループごとの設定が可能 営業グループはOK 企画グループ営業グループ 企画グループはOKだけど 営業グループはNG
  14. 14. ActiveDirectoryの仕組み ドメインコントローラー  OU(Organizational Unit:組織単位)での共有フォルダへのアクセス グループを超えてOUでアクセス許可設定も可能(共用プリンタなども設定可能) 営業グループはOK 企画グループ営業グループ プロジェクトチーム フォルダはOK プロジェクト チーム
  15. 15.  ActiveDirectoryの連携構成 ドメイン単体フォレスト(森) ドメインツリー(木) ActiveDirectoryの仕組み ActiveDirectoryの認証は他ADと連携して信頼関係の領域を拡大するこができまTokyo. Labo.localNagoya. Labo.localOsaka. Labo.localTokyo. Labo.localNagoya. Labo.localOsaka. Labo.localTokyo. Labo.localLasVegas. UsLabo.localNY. UsLabo.localLos. UsLabo.localRoma. EuLabo.localParis. EuLabo.localLondon. EuLabo.local
  16. 16. ActiveDirectoryの便利機能 ドメインで設定することユーザIDの管理以外にいろんなことが集中できます  ポリシーの管理 ユーザポリシ、グルプなどでインスト制限やUSBメモリ制限などが できる。パスワードポリシ設定強固な(ゆいのも可)にすこと能もちろんWindowsストアプリの制限も可。  セキュリティーの管理 ユーザセキュリティ、グルプなどの管理が可能。  ログイン履歴管理 ログイン、オフのや認証失敗などを管理することで不正アクセス発見ことができる。
  17. 17. ActiveDirectoryの便利機能 ちょっと上級者向け機能  ログイン(オフ)スクリプトの設定 ログイン時にADに設定されているスクリプトを自動的実行すことができ。 ネットワークドライブ設定やセキュリティソフの更新を自動的に行ったりすることが可能。  Windows PowerShellの利用 Windows PowerShellでは管理用のコマンドが意されているため、AD管理者が 使いこなせれば便利にうとができる。  Linuxサーバとの連携 SUA(Subsystem for Unix Application)やSambaなどを利用することで統合認証の連係が 可能。しかグループの連携を行う場合は設定が複雑になる
  18. 18. ActiveDirectoryの便利機能 ちょっと上級者向け機能(PowerShellでできること)もちろん.NETFrameworkを使ったPGで制御もきます 作業の概要 Active Directory モジュールを読み込む 利用できる コマンドレットを表示すActive Directory ドメインを参照する すべてのユーザオブジェクトを表示する Guest ユーザオブジェクトを有効にする Domain Admins グループに関する 情報を表示ドメインに関する 情報を表示ドメインコントローラに関する 情報を表示ドメインパスワードポリシーに関する 情報を表示新しい組織単位を作成する 新しい組織単位のプロパティを表示する 新しい組織単位を削除する
  19. 19. WindowsServer 2012での新機能  BYOD(Windows 8.1またはiOSデバイス)の参加(2012R2) Workplace Joinと呼ばれる機能で簡易ログオンすこドメイ参加が可になりま。  ゴミ箱(2008R2以降) デフォルトでゴミ箱が有効になりました。  Windows PowerShell3.0で管理機能が追加 いろ出来ることが追加になってます。  Windows Azureの新機能 Windows Azure Active Directory のサービスが提供されました。 Microsoft Office 365 や Windows Intuneなどのクラウドアプリケーションに対しての 機能ですが、内部のWindows Server Active Directory との統合も簡単に行うこが 可能です。
  20. 20.  大規模なネットワークでは必須  企業間で相互認証が必要な場合は須  サーバ管理者が楽をしたいから導入(お)  ユーザサポトを減らしたいか導入(お)  中小企業でもWindows Server 2012 Essentialsで簡易的なAD環 境が簡単に構築可能(25人規模まで)  コストもそれなりにかるし初期設定大変だけどおいと ころもあるので導入を考えてみください まとめ ご清聴ありがとうざいました
  21. 21. 参考資料  Active Directoryとは何か? http://www.atmarkit.co.jp/ait/articles/0209/12/news003.html  Windows Server 2012のActive Directoryhttp://www.atmarkit.co.jp/fwin2k/productreview/win812/win812_01.html  グループポリシー管理コンソル(GPMC) http://www.microsoft.com/ja-jp/download/details.aspx?id=21895  Windowsストア・プリをグルーポシで管理する http://www.atmarkit.co.jp/ait/articles/1305/09/news104.html  Active DirectoryとLinuxの認証を統合しよう http://gihyo.jp/admin/serial/01/ad-linux

×