ADサーバーへの１アカウントでの多重ログオンの禁止

 Windows Server 2008 R2(x64)AD用のLimitlogin.exeは検索してみたが見つからなかったので、ADサーバーで「Active Direcrory ユーザーとコンピューター」を立ち上げ「ユーザーアカウント」のプロパティの「アカウント」タブの「ログオン先（Ｔ）」より特定のコンピュータを登録するが、大変手間がかかる。
（US.TechNet Forum参考投稿）
http://social.technet.microsoft.com/Forums/en-US/winserverGP/thread/fa33088d-2539-4447-8bbf-96a785f3c260/
  
（質問）
ドメインサーバーへ１個のアカウントで２台のパソコンから同時にログインさせないようにするには？
 
はじめて投稿させていただきます。
ドメイン参加のクライアントＰＣが２台あります。
ドメインサーバーのActiveDirectoryからユーザアカウントを１つ作成しました。
そのユーザで２台のパソコンから、同時にサーバにログインさせないためには、どのような設定を行えばよろしいでしょうか？
どちらか１台のパソコンからログインさせたい考えであり、ユーザのサーバへの重複ログインを避けたいのが目的です。
 
（サーバ）Windows Server 2008 R2 Standard
（クライアントＰＣ）WindowsXP Pro
 
サーバの設定でいきづまってしまい、困っています。。
もし、わかるかたがいらっしゃったら、アドバイスをよろしくお願いいたします。
 
－－－－－－－－－－－－－－－－－－－－－－－－－－－－
（回答）
基本的には外部で作りこむ必要があります。MSもLimitLoginというツールを提供していました。
http://itpro.nikkeibp.co.jp/article/COLUMN/20061011/250363/?ST=sysmanage&P=1
 
http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/d8b19dfb-03d8-4a98-9a42-0346c902c53c/#4807afd5-4b1b-4632-b0db-cf4e82109f60

ドメインコントローラ間の複製の確認

 ドメインコントローラ間の複製のチェックはdsastat コマンドやrepadmin /showobjmeta コマンドを使う
 
 
（質問）
ドメインデータの同期確認
 
こんにちわ。□□□□と申します。
 
以下内容について質問させていただきます。
 
■経緯
既存のWindowsドメイン環境へ新たにドメインコントローラを追加することになった。
■構成
既存ドメコン　2台（Windows 2003 R2)
追加ドメコン　1台（Windows 2008 R2)
■質問1
Windowsドメイン環境へ新たにドメインコントローラを追加する際、追加ドメコンが
ドメインデータ（アカウント、DNS等）が同期されたことを確認する方法はありますでしょうか。
■質問2
ドメインデータ（アカウント、DNS等）が同期が完了しないうちに、追加ドメコン宛にクライアントからADデータの参照するようなリクエスト（ログインなど）があった場合、どのような動作となるのでしょうか。
※いままで何度か、ドメイン追加作業を行ったことはあるのですが、追加作業直後もログイン出来ないなどの障害となることはなかったのですが、同期中にリクエストが来た場合エラーとして返されてしまう可能性があるのではないか不安になったので。
 
お忙しい中、お手数ですがご教授お願い致します。
 
－－－－－－－－－－－－－－－－－－－－－－－－－
（回答）
○○○○です。
 
ドメインの情報をクライアントが確認する場合、基本的にはログオンしたドメインコントローラが持っている範囲で判断します。しかし、パスワードの誤りのチェックなどは PDC エミュレータに確認を行います。
 
ドメインコントローラ間の複製をチェックする場合 dsastat コマンドが便利です。Widnows Server 2003 サポートツールをインストールする必要がありますが。
 
http://technet.microsoft.com/en-us/library/cc785982(WS.10).aspx
 
特定の属性のみという場合repadmin /showobjmeta コマンドで属性のバージョン(番号)をチェックする、という方法もあります。
 
http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/61500134-9950-48d4-9233-081d1587e13b/#7bca4718-a34c-47de-8dc6-b2d1e09b0623

Windows Server 2008 ADのGPOのアーキテクチャ

今まで(Windows Server 2003以前) グループポリシー管理用テンプレートはadmファイルとして提供していたが、Windows Server 2008になってXMLベースのadmxファイルとなった。このadmxファイルは言語情報が記載されているadmlファイルと対になって提供されている。Windows Server 2008では基本的にGPOにはテンプレートファイルはコピーされなくなった。テンプレートファイルは編集しているコンピュータのローカル（C:\Windows\PolicyDefinitionsフォルダ）から読み込むことになる。Windows Server 2008 ADではGPOの数が増えてもSysvolファルダは肥大化されないよう改善されている。
 
（質問）
GPOの中央ストアについて

GPOの中央ストアについてまだ理解できていないので教えてください。
以下の付録２をみたのですが、
 
１　２００３以前は１つグループポリシーを作成するたびにポリシーとADMのテンプレートがSYSVOLに作成され、ポリシーをたくさん作るとSYSVOLが肥大化したということでしょうか？
２　２００８以降でも中央ストアを作成しないと２００３以前と同じ動作をしてSYSVOLが肥大するのでしょうか？
http://primeserver.fujitsu.com/primergy/technical/construct/pdf/win2008-active-directory04.pdf
 
－－－－－－－－－－－－－－－－－－－－－－－－－－－－
（回答）
○○○○です。
 
質問内容から、質問にある富士通の資料p32の記述の意味がわからない、と理解しました。
 
それに関してですが、答えとしては、「通常中央ストア(セントラルストア)を2008ドメインコントローラに作る必要はない」ということ、「2008ベースで通常使っている場合SYSVOLファイルは肥大したりしない」となりますｊ。通常のADMXテンプレートはグループポリシーを編集するマシンのローカル上にあるテンプレートが必要に応じて読み込まれ、SYSVOLには含まれません。じゃあ2008であえて中央ストアを構成するとどんなメリットがあるのか、については、△△△△さんのページに説明が書いてあります。
 
（個人の方のブログ）
グループポリシーのアーキテクチャ～その１～－MCTの憂鬱
 
(参考MSページ)
グループ ポリシー管理での ADMX ファイルの使用に関するステップ バイ ステップ ガイド
http://technet.microsoft.com/ja-jp/library/cc709647(WS.10).aspx

http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/44ffb165-22ba-4393-922b-c31e428b9ea6

RODC（読み取り専用ドメインコントローラ）のパスワード情報のキャシュ

RODCは、デフォルトではパスワード情報を保持しない。ただし、設定によりパスワードをキャッシュさせることもできる。

 

パスワード情報を全くキャッシュしないRODCは構築する意味がありますか？

 

（質問）

パスワード情報を全くキャッシュしないRODCは構築する意味がありますか？

RODCの目的は、
    セキュリティレベルが低い場所に置かれているドメインコントローラの安全性を高めること
    ユーザがログオンする際、ネットワークを圧迫することを避けること
    操作ミスによるオブジェクトの削除を避けること
があると認識しております。

しかし、パスワード情報を全くキャッシュしないRODCの場合、ドメインに接続する先は毎回読み書き可能なドメインコントローラとなるのですよね？
だとしたら、RODCが置かれている意味が全くなくなると思います。
認証を行えないRODCにアクセスしても、結局はネットワークを通して読み書き可能なドメインコントローラにアクセスするためむしろ、パスワード情報を全くキャッシュしないのであれば、RODCは構築することの方が、安全性が低くなるのではないのでしょうか？

例えば、セキュリティレベルの低い場所に置かれているRODCが盗まれた場合、オブジェクト構成に顧客名が流出してしまうなど。

よく理解出来ていないため、変な質問かもしれませんが、RODCとは、一部のユーザをキャッシュして始めて意味を持ち、パスワードキャッシュを全くしない場合は、むしろ構築しないほう良いと認識しておりますが、この認識は間違っているでしょうか？

 

たびたび変な質問で申し訳ありませんが、よろしくお願いします。

 

 －－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

（回答）

そもそものRODCの目的を理解することによって、その答えが導き出されると考えます。

多くの場合、セキュリティの確保が難しいブランチサイトにおいて、サイト内ユーザーのログオン速度の低下を防ぐことを目的としています。

そのような場合は、そのサイトに存在するユーザーやコンピューターのパスワードのキャッシュを行うことによって、WANを経由せずにサイト内ログオンが可能になります。

＞例えば、セキュリティレベルの低い場所に置かれているRODCが盗まれた場合、オブジェクト構成に顧客名が流出してしまうなど。

確かに、RODCのサーバーが盗難にあった場合、ユーザー名などは流失してしまう可能性があります。

 

＞RODCとは、一部のユーザをキャッシュして始めて意味を持ち、パスワードキャッシュを全くしない場合は、むしろ構築しないほう良いと認識しておりますが、この認識は間違っているでしょうか？

それはRODCを設置する目的を考えてみると、おっしゃる通りパスワードキャッシュをしない場合は、すべてWAN経由での認証が行われるので「サイト内ユーザーのログオン速度の低下を防ぐ」という目的ならば意味がないというのは間違っていません。

 

ということで、RODCを設置する目的がその企業にとって何か？を理解することが必要です。

 

以上、参考になれば幸いです。

 

（MSページ）

http://technet.microsoft.com/ja-jp/library/cc755058(WS.10).aspx

（資料）

http://www.atmarkit.co.jp/fwin2k/winsv2008/07ad_02/07ad_02_02.html

（参考ブログ）

http://naonao71.wordpress.com/2009/01/13/rodc%E8%A8%AD%E8%A8%88%EF%BC%88%E3%81%9D%E3%81%AE%E5%89%8D%E3%81%AB%E7%9F%A5%E3%81%A3%E3%81%A6%E3%81%8A%E3%81%8D%E3%81%9F%E3%81%84%E3%81%93%E3%81%A8%EF%BC%89/

（参考ページ）

http://tarkyon.net/microsoft/os/server/win2008/ad/rodc.html

 

http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/0e96691a-24e1-497f-b683-28098b6765be

 

AD LDSとは

AD LDS （Active Directory Lightweight Directory Service）はあまり使われそうにないサービスである。

 

（質問）

AD LDSとは何ですか？

 

こんにちは。現在MCPの勉強をしているのですが、また質問させてください。
Active Directory Lightweight Directory Serviceとは何なのでしょうか？

MCPの赤本によると、
「特定のアプリケーションに特化したディレクトリサービス」
とあり、図解されていました。
しかし、まったくイメージすることが出来ませんでした。

【01】
まず、「特定のアプリケーション」というとWordやExcelをイメージすれば良いのでしょうか？
例えば、限定的に例を挙げると「Wordに特化したディレクトリサービス」と解釈し、
AD LDSを使用すると、AD LDSで許可したオブジェクトのみがWordを使用することが出来るようになり、
他のユーザはWordが使用できなくなるとイメージすれば良いのでしょうか？
（この例の場合、AD LDSの役割を追加したサーバにWordやExcelをインストールしている必要があると認識しています。）

しかし、そうなるとドメインの集中管理と同じで、AD LDSを使用するクライアントは、ドメインに参加していないと意味をなさないのですか？

AD LDSを使用することと、ドメインに参加することは無関係と読み取れたので、頭が混乱しています。
（赤本には、AD LDSはActive Directoryドメイン環境から独立して機能すると記載されていました。）

【02】
クライアントコンピュータやアプリケーションからAD LDSインスタンスへのアクセスにはLDAPを使用します。
とありますが、LDAPというのは「ディレクトリデータベース」ですよね？
つまり、特定のアプリケーション（例えばWord等）の情報が、AD LDSインスタンスに格納されるということですか？
これは、共有フォルダの中にWORDファイルが保存され、AD LDSで許可したオブジェクトのみが使用できるというイメージを持てば良いでしょうか？
また、LDAPはディレクトリサービスなので、このディレクトリとはAD LDSのことを指しているのでしょうか？
AD LDSのサービスのインストール方法や、設定方法については、説明書を読んで分かったのですが、
AD LDSとはそもそも何なのか？ということが全く分かりませんでした。
AD LDSについて、具体的なイメージが全く沸かないため、そもそもAD LDSとはなんなのかがさっぱり分かりませんでした。
AD DSについては実機で動かしながら、概ね分かるようになったのですが、LDSのところでつまづいてしまいました。
低レベルな質問であることは重々承知しておりますが、イメージがわかないので、説明を読んでもさっぱり理解でません。
LDAPやディレクトリサービスという単語の理解が曖昧なため、ずれた質問かもしれません。
詳しい方がいらっしゃいましたら、教えていただけないでしょうか。

よろしくお願いします。

 

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－ 

（回答１）

全く個人的な見解ですが、Active Directoryは、ユーザー管理やポリシーといったOSのセキュリティと深く結び過ぎてしまい、単なる住所録や設定情報を放り込みたいためだけに利用したいときに使うにはちょっと使いづらい時もあります。そう言ったときにAD LDSの出番になります。
OSのセキュリティとからめたくない時に、独立して使用できるADなので、以前はActive Directory Application Modeと言っていました。

AD LDSは、Word/Excelといったアプリケーションよりかは、シングルサインオンとかでUnixとか他システム連携を行わなければいけない時とかリモートアクセスサーバーやその手のアプライアンス機器で、OSのユーザーとは別のLDAPに応答する住所録（ディレクトリサービス）を用意する必要に迫られた場合に便利だったりします。

ところで、LDAPはLightweight Directory Access Protocolです。要は、通信のためのプロトコルで、HTTPとかFTPと同じ感じです（OSI参照モデルのアプリケーション層）。HTTPに応答するのがWeb Serverなら、LDAPに応答するのはDirectory Serviceになります。ディレクトリデータベースを持つのは、LDAPに応答するDirectory Serviceです（Active Directory,Active Direcotry LDS,OpenLDAPなど）

ちなみに、ディレクトリサービスと言えば、他にはDNSとかNISなどもこれらに含まれます。

 

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
（回答２）

既に複数の方からアドバイスがされていますが、補足いたします。

簡単にいうとADの簡易版になります。

ADとAD LDSは連携ができますが、ADのスキーマとAD LDSのスキーマはそれぞれ独立しているのが特徴になります。

例えば、ADアプリケーションを作成する際に、実際の環境を使うのではなくAD LDSで簡易的なADを使用することによってADアプリケーションの開発を行うことなどが想定されています。それによって現状の環境を操作することなく新しい環境（スキーマの拡張など）を構築することが可能になります。

しかし、現在は仮想環境が簡単に使用できるのでわざわざAD LDSを使わずとも、仮想環境でAD環境を使用することが容易になっていますのであまり使われません。

実際に私が知っているレベルでは、ExchangeのEdgeに使用することや、外部システムとの連携の際にADを使用せずに、AD LDSを使用するなどです。

以上、参考になれば幸いです。

（MSのページ）
http://technet.microsoft.com/ja-jp/library/cc732019(WS.10).aspx
http://www.microsoft.com/japan/windowsserver2008/r2/technologies/ad-lds.mspx
 （@IT資料）
http://www.atmarkit.co.jp/fwin2k/winsv2008/02overview/02overview_02.html
 

http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/082a5c9d-c098-48a4-8e27-483b3b80f795

IPsecとは

個人の持ち込んだPCをドメインリソースと「通信自体を行えない」ようにするにはＩＰsecを使う。

ユーザーIDとパスワードを知っていても会社のファィルサーバーと通信できなくなる。

 

（質問１）

AD登録外PCからの共有フォルダーアクセスの制限

 

W2008のADを使っています。

ADに登録されているPC以外からのPCからでもLANに接続できさえすれば、

サーバーの共有フォルダーへアクセス許可されているユーザーIDとパスワードが分かればアクセスできてしまいます。

ドメインに入っていないPCからはアクセス不可能にするにはどうしたらいいのでしょうか。

個人のPCを持ち込んで使用するのを防ぐためです。

よろしくお願いいたします。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

（質問２）

認証用のダイアログを表示しない方法

 

お世話になります。

 

ドメイン（またはワークグループ）に参加していないPCを、ファイルサーバーにアクセスさせたくないと考えています。

 

ドメインに参加していないクライアント上で、エクスプローラーのアドレス欄に「\\サーバー名\共有フォルダ名」と入力すると表示される、認証用のダイアログを利用すると、誰でもサーバーにアクセスできてしまいます（IDとパスワードを知っている必要はありますが）。

 

このダイアログをそもそも表示しないようにすることは可能なのでしょうか。

ドメインに参加していないクライアントにはエラーが表示されなくてもかまいません。

 

いろいろ検索してみたのですが、私の知識不足のためかこれといったものが見つかりません。

設定方法や参考となるサイトなど、なにか助言を頂ければ幸いです。

隠し共有にするなども考えましたが、ユーザー様に納得していただけず。。。

 

【環境】

サーバー：Windows Server2003

クライアント：Windows XP以降

 

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－  

（回答）

○○○○です。

 

確かにNAPを活用する方法はありますが、こういうケースでは、IPsecによる「ドメインの分離」設定を行なうことを、MSは想定しているようですね。

 

ドメインの分離とは、ネットワーク上ドメイン認証されていないクライアントマシンが、ドメインリソースと「通信自体を行えない」ようにするためのソリューションで、IPsecを使います。くわしくはしたの資料を見てみるといいと思いますよ(左側のナビゲーションウインドウにある参考資料も見るようにしてください。)。

 

http://technet.microsoft.com/ja-jp/library/dd362838.aspx

（資料）
セキュリティ保護された ASP.NET アプリケーションの構築 : 認証、認定、および通信のセキュリティ保護 2 つのサーバー間の通信を IPSec で保護する方法-msdn
Windows 2000のIPSec機能を有効にする方法－@IT

 

http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/d676017d-732a-486d-a79b-596d0de4bcbf/#24f49523-7376-44ab-a1da-53f66696a6f6

http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2003ja/thread/45315838-b01d-4dc2-a2e3-18dcc8000626/

パスワードポリシーの優先順位

（きめ細かいパスワードポリシー（ＰＳＯ）を作成するための条件）

１．PSO設定に専用ツールはないので、ADSIエディタまたはLDIFDEを使用する

２．PSOはユーザーまたはグローバルグループにのみ適用できる

３．ドメイン機能レベルがWindows Server 2008でなくてはいけない

 

（パスワードポリシーの優先順位）

１．PSOのユーザー

２．PSOのグループ

３．ドメイン配下のGPO（Default Domain Policy）

 

（PSOの適応状態の確認コマンド）

dsget user <ユーザー DN> -effectivepso

 

（質問）

Windows Server 2008:パスワードの有効期限は、Default Domain PolicyとADSIeditで設定したPSOのどちらが有効でしょうか。

 

Windows Server 2008ベースのファイルサーバ及びActive Directoryを運用しているのですが、以下内容にて原因がお分かりになる方がいらっしゃいましたら、ご教授いただきたく宜しくお願いいたします。

 

 【質問内容】

adsiedit.mscを使ったPSOの設定で「msDS-MaximumPasswordAge 0」とし、ドメイン配下の全てのグループにリンクして運用しているのですが、しばらくファイルサーバにアクセスしないとパスワードがはねられるという問い合わせがあり、「パスワードの有効期間４２日」が悪さをしているのではないかと指摘されました。gpedit.mscで確認できるパスワードの有効期間は「４２日」となっています。

 

PSOを設定した場合は、Default Domain Policyで制御されていたパスワードポリシーがPSOの制御にシフトされると理解していたのですが、やはり何か悪さをしているのでしょうか。

 

また、このような現象を起こさないためには、全アカウントのアカウントオプションで「パスワードを無期限にする」をチェックしておいたほうがよいのでしょうか。

 

そもそもの理解が間違っておりましたら、合わせてご指摘いただけると大変助かります。

宜しくお願いいたします。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－
（回答）

まず、「きめ細かいパスワードポリシー」（以下、PSO）の使用方法がおかしいと思われます。

ドメイン配下のすべてのユーザーに対する設定であれば、Default Domain Policyで設定すればよく、PSOは特定のグループ（もしくはユーザー）に対して設定を行うものです。

さて、PSOを使用するための条件としては、ドメイン機能レベルがWindows 2008でなければなりません。

 

そこでパスワードポリシーの優先順位は以下の通りです。

 

PSOのユーザー

PSOのグループ

ドメイン配下のGPO（Default Domain Policy）

 

ここで重要なことはユーザーに対して設定されるパスワードポリシーとして適用できるPSOは１つだけです。

 

次のコマンドを使うことによってPSOの適応状態を確認することができます。

 

dsget user <ユーザーの識別名＞ –effectivepso

 

また私のブログにも情報がまとめてありますのでよろしければご覧ください。

きめ細かいパスワードポリシー（PSO）の実装

 

以上、参考になれば幸いです。

 

（MSのページ）

http://technet.microsoft.com/ja-jp/library/cc770842(WS.10).aspx

 

http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/e0be9e17-8141-4b83-a71a-7e5997a69708/#4ae6c08f-bd36-41dc-b113-a79bf8bd5171