【Active Directory】パスワードレプリケーションポリシーは拒否判定のほうが強い

以下では、User2がAllowd RODC Password Replication Groupに所属しているからパスワードキャッシュが効くと思いきや、バイネームで拒否設定が入っていので、どっちが勝つのかなという疑問。

結果として、拒否設定のほうが強いので、パスワードキャッシュされなくなる。ということみたい。
こういう競合しそうな設定はセキュリティ的な観点からか、やっぱりできないほうが勝つようになっているのが王道なんだろう。って思った。

【Active Directory】パスワードレプリケーションポリシーの構成

規定では、アカウントのパスワードはRODCにレプリケートされず、書き込み可能ドメインコントローラーだけが、アカウントのパスワードを保持している。
なので、ブランチオフィスユーザーがドメインにサインインする際に、レプリケーション元に書き込み可能ドメインコントローラーにアクセスできる必要がある。
書き込み可能ドメインコントローラーとRODCとが通信断した場合、ブランチオフィスユーザーはサインインできなくなる。
それを解決するためのパスワードレプリケーションポリシーで、許可したアカウントのみRODCにてパスワードをキャッシュすることができるので、RODCだけでも認証できるようになる。

許可されているグループは「Allowd RODC Password Replication Group」だけ。

デフォルトだとメンバーもいない

パスワードレプリケーションポリシーに許可or拒否ユーザーを追加する場合


【Active Directory】RODCに対する管理者権限の委任

RODCに対して、ドメインの管理権限を与えることなく、コンピューターの管理権限のみを委任されたブランチオフィスユーザーのことを委任された管理者アカウントという。
RODCコンピューターの管理は、デバイスドライバーアップデート、ハードディスクのフォーマット、更新プログラム適用などローカルコンピューターに対しての作業のこと。
RODCコンピューターの管理権限を委任されたユーザーは、ローカルコンピューターに対するAdministratorsグループ権限、Active Directoryデータベースに対するUsersグループ権限が付与される。
つまり、コンピューターの保守作業はできるが、ドメインの保守作業はできない。
これにより、ブランチオフィスユーザーにRODCの管理を任せることができる。
この設定は、RDOCをファイルサーバーとして構成している場合などに便利。

【Active Directory】読み取り専用ドメインコントローラー(RODC)のインストール

読み取り専用ドメインコントローラー(RODC)は、Active Directoryデータベースを保持しているが、読み取りしかできないドメインコントローラーのこと。
RODCは、Windows Server 2008以降の書き込み可能なドメインコントローラーからの一方河野レプリケーションによって、必要なデータを受け取る。RODCにレプリケーションされたデータは読み取り専用となるので、アカウントの認証は行えるが、アカウント登録や更新作業はできない。これによって、Active DirectoryデータベースがRODC上で不用意に変更される危険性はなくなる。
一方向レプリケーションの対象となるデータは、Active DirectoryデータベースとSYSVOL共有フォルダで、規定ではアカウントのパスワードはレプリケーションされない。

インストールしてみた。






【Active Directory】クライアントコンピュータからドメインコントローラーを探す仕組み

クライアントコンピュータは、ドメインコントローラーの情報を持っていないため、ドメインにサインインする際は、DNSサーバに認証サービスを提供するサーバ(ドメインコントローラー)を問い合わせる。
DNSサーバには、サービスを提供するサーバが記載されているSRVリソースレコードが登録されていて、DNSサーバーはその情報を使用してクライアントからの問い合わせに応答する。


①ユーザーがサインイン操作
②コンピューターはサインイン要求を送信するドメインコントローラーをDNSサーバに問い合わせる。
③DNSサーバは、DNSデータベースを検索し、Kerberos認証サービスを提供するサーバーを応答する。
 その後、クライアントはそのサーバーのIPアドレスを問い合わせ、DNSサーバーは再度DNSデータベースを検索し、ドメインコントローラーのIPアドレスを応答する
④取得したIPアドレスに対してサインインの要求を送信する

【Active Directory】Search-ADAccountの使い方

これもMCP70-412で出てきたから、整理するためにまとめたよ。
ほとんど以下サイトの受け売り。
http://www.atmarkit.co.jp/ait/articles/1708/07/news017.html

Search-ADAccountコマンドレットはADアカウントを検索するためだけのコマンドで、net userとかGetADuserとかでも同じことができるけれど、より簡単に検索できるコマンド。

30日以上、ログインしていないユーザアカウントを表示

30日以上、ログインしていないコンピュータアカウントを表示

期限切れアカウントを検索

ロックアウトされたアカウントを検索

パスワードが無期限になっているアカウントを検索

【Active Directory】基本設定のアクション

グループポリシーの基本設定のアクションタブの動作をまとめてみたよ。
デフォルトは「更新」で作られて、「削除」はたまに使われる気がするけど、「作成」、「置換」はあんまり見たことないかも。
「削除」以外は、最終的に作成されて、「置換」は一旦削除後に作成、「更新」は定義された基本設定のみを上書き。分かりにくい・・・

アクション 動作
作成 ユーザーに対して新しいショートカットを作成する
置換 ユーザーの作成されているショートカットを削除して再作成する。
「置換」操作の最終的な結果は、その作成されたショートカットに関連つけられたすべの既存設定を上書きすることになる。
ショートカットが存在しない場合、「置換」操作では新しいショートカットが作成される
更新 ユーザーの既存の作成されたショートカットを変更する。
この操作は、「置換」を指定した場合とは異なり、基本設定項目に定義された設定のみを更新する。
その他の設定はすべて、以前作成されたショートカットで構成されたままの状態となる。
ショートカットが存在しない場合、「更新」操作では新しいショートカットが作成される。
削除 ユーザーの作成されているショートカットを削除する

こんな感じにしたとき。

【Active Directory】ゴミ箱機能をPowerShellコマンドで有効化

MCP受けてきたらコマンドで答えろってさ・・・

【Active Directory】サイトリンクのコスト

コストは、数新速度に合わせて設定する数値で、ドメインコントローラーがサイト間のレプリケーション経路を判断するときに参照される設定値。
コストの合計が小さい回線が優先的に使用されるというもの。

以下のような構成の場合、サイトAからサイトBへのルートは、A→Bのルート①と、A→C→Bのルート②の2種類がある。
ルート①のコストは100、ルート②のコストは50+10=60となる。
この場合、コストの合計はルート②のほうが小さいため、通常のレプリケーションでは、A→C→Bのルート②が使用される。

また、クライアントコンピューターの所属するサイトにドメインコントローラーがない場合は、ほかのサイトのドメインことローラーにサインイン要求を送信する。
ドメインコントローラーが展開されているサイトが複数ある場合は、サイトリンクのコスト値が小さいサイトが選択され、そのサイトのドメインコントローラーに要求を送信する。

【ActiveDirectory】データベースの最適化

データベースは、オブジェクトの追加・削除が繰り返されることによって、徐々に断片化されていってしまう。
断片化するとパフォーマンスが低下するため、最適化が必要。最適化の方法は、オンライン最適化とオフライン最適化がある。

・オンライン最適化
ActiveDirectoryDcomainServiceの稼働中に自動的に行われる最適化処理のこと。
ガベージコレクションというバックグラウンドプロセスの際に、自動的に12時間ごとに実行される。
オンライン最適化では、データベースファイルのサイズは小さくならないが、データベース内の空き領域が大きくなる。

ガベージコレクションは、保存期間が過ぎた削除済みオブジェクトをデータベースから完全削除し、最適化する処理のこと。
ドメインコントローラ―間のレプリケーションの遅延を考慮して、オブジェクトを削除しても、削除マークをつけた状態でデータベースに格納し続ける。

・オフライン最適化
ActiveDirectoryDomainServiceを停止した状態で行う最適化処理のこと。
データベースは自動的にオンライン最適化されるから、基本的にはオフライン最適化を実行する必要はない。
オフライン最適化は、データベースファイルの物理サイズを小さくしたいときに実行する。
例えば、グローバルカタログサーバーとして構成したサーバーを、通常のドメインコントローラーに変更した場合、今までグローバルカタログ用に使用していたデータベース内の領域が不要になる。
このような不要な領域を削除するときにオフライン最適化を行う。

①ActiveDirectoryDomainServiceを停止
②ntdsutil.exeを実行し、FilesコマンドのCompact Toサブコマンド
③最適化後のntds.ditをActiveDirectoryデータベースパスにコピー
④ActiveDirectoryDomainServiceをを開始