【Active Directory】基本設定のアクション

グループポリシーの基本設定のアクションタブの動作をまとめてみたよ。
デフォルトは「更新」で作られて、「削除」はたまに使われる気がするけど、「作成」、「置換」はあんまり見たことないかも。
「削除」以外は、最終的に作成されて、「置換」は一旦削除後に作成、「更新」は定義された基本設定のみを上書き。分かりにくい・・・

アクション 動作
作成 ユーザーに対して新しいショートカットを作成する
置換 ユーザーの作成されているショートカットを削除して再作成する。
「置換」操作の最終的な結果は、その作成されたショートカットに関連つけられたすべの既存設定を上書きすることになる。
ショートカットが存在しない場合、「置換」操作では新しいショートカットが作成される
更新 ユーザーの既存の作成されたショートカットを変更する。
この操作は、「置換」を指定した場合とは異なり、基本設定項目に定義された設定のみを更新する。
その他の設定はすべて、以前作成されたショートカットで構成されたままの状態となる。
ショートカットが存在しない場合、「更新」操作では新しいショートカットが作成される。
削除 ユーザーの作成されているショートカットを削除する

こんな感じにしたとき。

【Active Directory】ゴミ箱機能をPowerShellコマンドで有効化

MCP受けてきたらコマンドで答えろってさ・・・

【Active Directory】サイトリンクのコスト

コストは、数新速度に合わせて設定する数値で、ドメインコントローラーがサイト間のレプリケーション経路を判断するときに参照される設定値。
コストの合計が小さい回線が優先的に使用されるというもの。

以下のような構成の場合、サイトAからサイトBへのルートは、A→Bのルート①と、A→C→Bのルート②の2種類がある。
ルート①のコストは100、ルート②のコストは50+10=60となる。
この場合、コストの合計はルート②のほうが小さいため、通常のレプリケーションでは、A→C→Bのルート②が使用される。

また、クライアントコンピューターの所属するサイトにドメインコントローラーがない場合は、ほかのサイトのドメインことローラーにサインイン要求を送信する。
ドメインコントローラーが展開されているサイトが複数ある場合は、サイトリンクのコスト値が小さいサイトが選択され、そのサイトのドメインコントローラーに要求を送信する。

【ActiveDirectory】データベースの最適化

データベースは、オブジェクトの追加・削除が繰り返されることによって、徐々に断片化されていってしまう。
断片化するとパフォーマンスが低下するため、最適化が必要。最適化の方法は、オンライン最適化とオフライン最適化がある。

・オンライン最適化
ActiveDirectoryDcomainServiceの稼働中に自動的に行われる最適化処理のこと。
ガベージコレクションというバックグラウンドプロセスの際に、自動的に12時間ごとに実行される。
オンライン最適化では、データベースファイルのサイズは小さくならないが、データベース内の空き領域が大きくなる。

ガベージコレクションは、保存期間が過ぎた削除済みオブジェクトをデータベースから完全削除し、最適化する処理のこと。
ドメインコントローラ―間のレプリケーションの遅延を考慮して、オブジェクトを削除しても、削除マークをつけた状態でデータベースに格納し続ける。

・オフライン最適化
ActiveDirectoryDomainServiceを停止した状態で行う最適化処理のこと。
データベースは自動的にオンライン最適化されるから、基本的にはオフライン最適化を実行する必要はない。
オフライン最適化は、データベースファイルの物理サイズを小さくしたいときに実行する。
例えば、グローバルカタログサーバーとして構成したサーバーを、通常のドメインコントローラーに変更した場合、今までグローバルカタログ用に使用していたデータベース内の領域が不要になる。
このような不要な領域を削除するときにオフライン最適化を行う。

①ActiveDirectoryDomainServiceを停止
②ntdsutil.exeを実行し、FilesコマンドのCompact Toサブコマンド
③最適化後のntds.ditをActiveDirectoryデータベースパスにコピー
④ActiveDirectoryDomainServiceをを開始

【ActiveDirectory】NTDSデータベース、トランザクションログ等の移動

ActiveDirectoryデータベースファイルは、ディスク構成の変更に伴い保存場所を変更したり、必要に応じて最適化作業を実行したりすることがある。
データベースファイル、トランザクションログファイルを管理するためには、一時的にActiveDirectoryサービスを停止し、オフライン状態にする必要がある。
データベースファイルとログファイルを別々のディスクに配置することでディスクI/Oが分散されるので、パフォーマンス向上が期待できる。

①ActiveDirectoryDomainService停止
②Ntdsutil.exeからFilesコマンドのMove DB to、Move logs toコマンド実行
③ActiveDirectoryDomainService起動

例えば、高速なDドライブを追加したとき

【ActiveDirectry】Powershellでパスワードリセット

パスワードを指定する場合は、ConvertTo-SecureStringを使って、セキュリティ保護された文字列に変換する必要がある。

【ActiveDirectory】一括で特定OU内のユーザアカウントの有効期限を設定

これもPowershellで。

なしにする場合は「$null」を指定する
※このパターン結構多い

【ActiveDirectory】一括で無効化されたアカウントを有効化する

Posershellでできるよー。

有効化

削除

Filterかけてる箇所

【ActiveDirectory】グループのスコープ

グループのスコープは、作成したグループアカウントをさんしょうできる範囲のこと。
ドメインローカルスコープのグループは、そのグループを作成したドメイン内でのみ参照できる。
グローバルスコープとユニバーサルスコープのグループは、フォレスト内のどのドメインからでも参照できる。
規定はグローバルグループで作成される。

スコープ グループアカウントを参照できる範囲 追加可能なメンバー
ドメインローカル グループアカウントを作成したドメイン内 ・フォレスト内の任意のユーザー、コンピュータアカウント
・フォルスト内のグローバルグループ
・フォルスト内のユニバーサルグループ
・同一ドメイン内のドメインローカルグループ
グローバル フォルスト内 ・同一ドメインのユーザー、コンピュータアカウント
・同一ドメインのグローバルグループ
ユニバーサル フォルスト内 ・フォレスト内の任意のユーザー、コンピュータアカウント
・フォルスト内のグローバルグループ
・フォレスト内のユニバーサルグループ

管理者タブにユーザを追加し、チェックボックスをONにすることで、管理者となったユーザーやグループがメンバーの追加変更を行うことができるようになる。

運用方法として、IGDLA、IGUDLAという手法がある。
・I ID(ユーザー、コンピュータ)
・G グローバルグループ
・U ユニバーサルグループ
・DL ドメインローカルグループ
・A アクセス許可

■シングルドメイン、シングルフォレスト(IGDLA)
I(ユーザー、コンピュータ)をG(グローバルグループ)にまとめ、DL(ドメインローカルグループ)にA(アクセス許可)を付与する

■マルチドメイン、シングルフォレスト(IGUDLA)
I(ユーザー、コンピュータ)をまとめたG(グローバルグループ)をU(ユニバーサルグループ)にまとめる。さらにU(ユニバーサルグループ)をまとめたDL(ドメインローカルグループ)にA(アクセス許可)を付与する

とすることで、アクセス許可の変更はDLに対して行い、メンバーの変更はGやUに対して行う。
そのため、メンバーの管理とアクセス許可の管理を明確に分離でき、メンバーとアクセス許可の構成変更や確認作業を行いやすくなる。

【ActiveDirectory】グループの種類

グループは「セキュリティ」「配布」の2種類があり、既定の管理者用グループアカウントは、すべてセキュリティグループになっている。

●セキュリティグループ
ファイル、フォルダ、プリンタなどのリソースアクセス許可を設定できるタイプのグループアカウント。
Exchange Serverが構築された環境であれば、電子メールアドレス属性を設定することにより、メール一斉送信ができるメーリングリストとしても使用できる。

●配布グループ
Exhange Serverが構築されている環境での、メーリングリストとしてのみ使用可能。
配布グループを利用しての共有フォルダなどのリソースへのアクセス許可設定はできない。