【Windows】Windowsエクスペリエンスインデックスを計測

WindowsエクスペリエンスインデックスはPCの性能を10点満点スコア表示してくれる便利機能。
CPU、メモリ、ストレージなどを総合して評価してくれる。

PowerShellを管理者権限で起動

https://webmarks.info/ja/で見やすくというか、Windows7で表示されていた感じにできる。

【Active Directory】複数のUPNサフィックス構成

Active Directory環境においてユーザーの表記形式には次のようなものがあり、どちらの方法でもドメインへのログインができる。

・ドメイン名\ユーザー名(chase\administrator)
・ユーザー名@ドメイン名(administrator@chase.local)

このうち、ユーザー名@ドメイン名の記述方法をUPN(User Principal Name)といい、@より後ろの部分をUPNサフィックスという。
たとえばドメイン名が長かったら、osaka.west.contoso.comだったら毎回入力するのが大変。
だから、新しく短いUPNサフィックスを定義することで、短い入力でログインできるようになる。

サーバー側でActive Directoryドメインと信頼関係からプロパティを開き、別名を定義

 

対象ユーザのUPNサフィックスを変更

 

変更後のUPNサフィックスでログインできるかチェック


【Active Directory】FSRとDFS-R

Active Directoryインストール時に、SYSVOL共有フォルダがドメインことローラー上に作成される。
SYSVOLには、ログイオンスクリプト用ファイルや、グループポリシー設定ファイル等が格納されている。
同一ドメイン内のドメインコントローラは、FSRかDFS-RのレプリケーションによりSYSVOLを複製している。

・FSR(ファイル複製サービス)
以前から使用されていたレプリケーションサービスで、SYSVOLのレプリケーションを行う。
Windows Server 2016でも引き続き使用可能。

・DFS-R(分散ファイルシステム複製)
Windows Server 2003 R2からサポートされたファイルレプリケーションサービスで、Windows Server 2008からSYSVOLのレプリケーションにも使用されている。
DFS-Rを使用すると、SYSVOLをより高速でセキュアにレプリケーションすることができ、ドメイン機能レベルがWindows Server 2008以上に設定する必要がある。

なので、Active Directoryデータベースのレプリケーションとは別に、ファイルシステムのレプリケーションはDFS-Rでやってる。
というのは、ちょっとAD噛んでないと分からないことのような気がする。現に運用保守で触ってた時はこんなの意識してなかったしね。

【Active Directory】Active Directoryデータベーススナップショット

Active Directoryでは、過去のデータベースの状態を保存できるスナップショット機能がある。
スナップショットを作成しておくと、その時点の属性情報を確認できるので、廃棄済みオブジェクトやリサイクル済みオブジェクトを回復した後、消去されてしまった属性を主導で再設定する際に便利。
スナップショットは過去のある一時点のデータベースを参照するだけなので、属性を自動的に取り込むようなことはできない。

Active Directoryデータベースのスナップショットの作成から接続までの流れは、以下の通り。
① スナップショットの作成
② スナップショットのマウント
③ スナップショットの公開
④ スナップショットへ接続

 

① スナップショットの作成 & ② スナップショットのマウント

Cドライブにマウントされている

 

③ スナップショットの公開

 

④ スナップショットへ接続



 

スナップショット公開時のポートは389以外を指定する。通常のActive Directoryデータベースへの接続は389おldapで行われているから。
そういえば、以前のプロジェクトでAD移行担当だったけど、移行時にテンポラリOU作ってそこに削除対象のオブジェクトを突っ込んで、安定稼働したら消すっていうのをやってた。
消す前にこういうスナップショット取っておくといいんだろうなって思いました。

【Active Directory】GPOを管理するための権限

GPOを管理するには権限が必要で、GPOの作成、編集、リンクなどの管理操作を行うためには、権限を持ったグループのメンバーであるか、個別に権限を与える必要がある。
サイトへリンクを行う場合、Enterprise AdminsかフォルストルートドメインのDomain Adminsメンバーである必要がある。

操作 グループ 個別の権限を付与する場所
作成 Domain Admins
Enterprise Admins
Group Policy Create Owners
「グループポリシーオブジェクト」の「委任」タブ
編集 Domain Admins
Enterprise Admins
GPOの選択時の「委任」タブ
リンク Domain Admins
Enterprise Admins
ドメイン、OU、サイト選択時の「委任」タブ

・「グループポリシーオブジェクト」の「委任」タブ

・GPOの洗濯時の「委任」タブ

・ドメイン、OU、サイト選択時の「委任」タブ

【Active Directory】パスワードレプリケーションポリシーは拒否判定のほうが強い

以下では、User2がAllowd RODC Password Replication Groupに所属しているからパスワードキャッシュが効くと思いきや、バイネームで拒否設定が入っていので、どっちが勝つのかなという疑問。

結果として、拒否設定のほうが強いので、パスワードキャッシュされなくなる。ということみたい。
こういう競合しそうな設定はセキュリティ的な観点からか、やっぱりできないほうが勝つようになっているのが王道なんだろう。って思った。

【Active Directory】パスワードレプリケーションポリシーの構成

規定では、アカウントのパスワードはRODCにレプリケートされず、書き込み可能ドメインコントローラーだけが、アカウントのパスワードを保持している。
なので、ブランチオフィスユーザーがドメインにサインインする際に、レプリケーション元に書き込み可能ドメインコントローラーにアクセスできる必要がある。
書き込み可能ドメインコントローラーとRODCとが通信断した場合、ブランチオフィスユーザーはサインインできなくなる。
それを解決するためのパスワードレプリケーションポリシーで、許可したアカウントのみRODCにてパスワードをキャッシュすることができるので、RODCだけでも認証できるようになる。

許可されているグループは「Allowd RODC Password Replication Group」だけ。

デフォルトだとメンバーもいない

パスワードレプリケーションポリシーに許可or拒否ユーザーを追加する場合


【Active Directory】RODCに対する管理者権限の委任

RODCに対して、ドメインの管理権限を与えることなく、コンピューターの管理権限のみを委任されたブランチオフィスユーザーのことを委任された管理者アカウントという。
RODCコンピューターの管理は、デバイスドライバーアップデート、ハードディスクのフォーマット、更新プログラム適用などローカルコンピューターに対しての作業のこと。
RODCコンピューターの管理権限を委任されたユーザーは、ローカルコンピューターに対するAdministratorsグループ権限、Active Directoryデータベースに対するUsersグループ権限が付与される。
つまり、コンピューターの保守作業はできるが、ドメインの保守作業はできない。
これにより、ブランチオフィスユーザーにRODCの管理を任せることができる。
この設定は、RDOCをファイルサーバーとして構成している場合などに便利。

【Active Directory】読み取り専用ドメインコントローラー(RODC)のインストール

読み取り専用ドメインコントローラー(RODC)は、Active Directoryデータベースを保持しているが、読み取りしかできないドメインコントローラーのこと。
RODCは、Windows Server 2008以降の書き込み可能なドメインコントローラーからの一方河野レプリケーションによって、必要なデータを受け取る。RODCにレプリケーションされたデータは読み取り専用となるので、アカウントの認証は行えるが、アカウント登録や更新作業はできない。これによって、Active DirectoryデータベースがRODC上で不用意に変更される危険性はなくなる。
一方向レプリケーションの対象となるデータは、Active DirectoryデータベースとSYSVOL共有フォルダで、規定ではアカウントのパスワードはレプリケーションされない。

インストールしてみた。






【Active Directory】クライアントコンピュータからドメインコントローラーを探す仕組み

クライアントコンピュータは、ドメインコントローラーの情報を持っていないため、ドメインにサインインする際は、DNSサーバに認証サービスを提供するサーバ(ドメインコントローラー)を問い合わせる。
DNSサーバには、サービスを提供するサーバが記載されているSRVリソースレコードが登録されていて、DNSサーバーはその情報を使用してクライアントからの問い合わせに応答する。


①ユーザーがサインイン操作
②コンピューターはサインイン要求を送信するドメインコントローラーをDNSサーバに問い合わせる。
③DNSサーバは、DNSデータベースを検索し、Kerberos認証サービスを提供するサーバーを応答する。
 その後、クライアントはそのサーバーのIPアドレスを問い合わせ、DNSサーバーは再度DNSデータベースを検索し、ドメインコントローラーのIPアドレスを応答する
④取得したIPアドレスに対してサインインの要求を送信する