[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。
セキュリティテンプレートはWindows 2000 Server、Windows Server 2003ではOS自体にセキュリティの設定を定義したひな形として組み込まれていたが、Windows Server 2008ではツールをダウンロードし、企業ごとにそのファィルをカスタマイズしGPOにインポートしてセキュリティ環境を構築する。
(質問)
サーバー構築時のセキュリティテンプレートの利用について。
MCPの70-293問題でよくhisecws.infとかのセキュリティテンプレートなどがよくでてきます。
Windowsサーバを実務で構築したことがないのでわからないのですが、実務ではセキュリティテンプレートをカスタマイズしてインポートして構築することが多いのでしょうか?
またグループポリシーの設定についても設計書にすべての設定を記述するとかなりの量になりますが、デフォルトの設定から変更した分だけ設計書に記載するといった感じなのでしょうか?
構築経験がないので教えてください。
------------------------------------
(回答)
すでに試験問題作成委員会さんがお答えしていますが、補足情報として追加いたします。
現在マイクロソフトからはOSごとのセキュリティガイドというものが提供されています。そのセキュリティガイドにはマイクロソフトが推奨する設定が記載されていることになります。しかし、それを一から手作業で構築するのは大変なので2003ではセキュリティガイドに乗っ取ったセキュリティテンプレートが提供されています。よって、そのセキュリティテンプレートをベースに企業ごとにカスタマイズして適用することが推奨されています。
以上、参考になれば幸いです。
(MSページ)
Windows Server 2003 セキュリティ ガイド
http://www.microsoft.com/downloads/details.aspx?FamilyID=66994ba0-c977-41c8-a698-ef6edb9a4b52&displayLang=ja
Windows Server 2008 セキュリティ ガイド
http://technet.microsoft.com/ja-jp/security/ff708743
定義済みのセキュリティ テンプレート
http://technet.microsoft.com/ja-jp/library/cc787720(WS.10).aspx
[HOWTO] Windows 2000 のセキュリティ テンプレート スナップインでセキュリティ テンプレートを定義する方法
http://support.microsoft.com/default.aspx?kbid=313434
[HOWTO] Windows Server 2003 でセキュリティ テンプレート スナップインを使用してセキュリティ テンプレートを定義する方法
http://support.microsoft.com/default.aspx?kbid=816297
(参考ブログ)
http://kinshachi.ddo.jp/blog/comp/archives/000504.html
[0回]
グループポリシーの優先順位が意図したとおりにならない場合は時間をかけ検証してみる。
(質問)
自動ブラウザ構成のGPO優先度について
こんにちは。
現在、ActiveDirectoryのグループポリシーで自動プロキシURLの設定をしています
この度プロキシサーバの変更に伴い、
先行テストで一部のメンバーだけに新しいプロキシサーバを使用するように構成したく、
新規にOUを作成し新しい「自動プロキシURL」を設定したGPOをリンクしました。
しかし、このポリシーが有効にならず、従来の自動プロキシURLのままとなってしまいました。
問題の切り分けの為、VMware ESXi上に新規に
Windows Server 2003 R2 Standard(32bit)を構成し、
テストドメインを構築し試してみました。
[test.local]
[Parent] <- ParentGPO
[Child] <- ChildGPO
test(User)
ParentGPO
自動ブラウザ構成:自動プロキシURL:http://www.test.local/parent.pac
重要なURL:ホームページのURL:http://www.test.local/parent/
ChildGPO
自動ブラウザ構成:自動プロキシURL:http://www.test.local/child.pac
重要なURL:ホームページのURL:http://www.test.local/child/
ユーザー「test」を指定し、RSoPを実行したところ、結果は以下の通りです。
自動ブラウザ構成:自動プロキシURL:http://www.test.local/parent.pac
優勢なGPO:ParentGPO
重要なURL:ホームページのURL:http://www.test.local/child/
優勢なGPO:ChildGPO
このテストドメインはこのサーバのみの構成ですので、
レプリケーション等の問題は考えられません。
サーバ上での gpupdate /force も問題無く行われています。
--------------------------
(回答1)
とりあえず、当方で以下の設定を実施してみたところ、下記の通りなりました
\Parent\Chlid\TestUser
[Parent]
自動プロキシURL:http://www.parent.hogehoge.com/Proxy.pac
ホームページのURL:http://www.parent.hogehoge.com/
[Child]
自動プロキシURL:http://www.child.hogehoge.com/Proxy.pac
ホームページのURL:http://www.child.hogehoge.com/
【結果】
自動プロキシURL:http://www.child.hogehoge.com/Proxy.pac
ホームページのURL:http://www.child.hogehoge.com/
(環境)
DC:Windows Server 2008 R2
Client:Windows 7 Ent(IE 8)/Windows XP(IE 7
--------------------------
(質問・続)
皆さん様々な観点で検証して頂けるので、問題範囲が広がり過ぎている為、
質問内容を以下の通り再定義させていただきます。
•なぜ、Windows Server 2003 R2のDCでは
RSoPの結果が上記のようにポリシーの項目毎に優勢なGPOが異なるのか
環境の問題か、GPOの挙動の問題かを切り分ける為、
VMware ESXi上に新規でWindows Server 2003 R2 Standard(32bit)を構成し、
テストドメインを構築し試してみました。
[test.local]
[Parent] <- ParentGPO
[Child] <- ChildGPO
test(User)
ParentGPO
自動ブラウザ構成:自動プロキシURL:http://www.test.local/parent.pac
重要なURL:ホームページのURL:http://www.test.local/parent/
ChildGPO
自動ブラウザ構成:自動プロキシURL:http://www.test.local/child.pac
重要なURL:ホームページのURL:http://www.test.local/child/
ユーザー「test」を指定し、RSoPを実行したところ、結果は以下の通りです。
自動ブラウザ構成:自動プロキシURL:http://www.test.local/parent.pac
優勢なGPO:ParentGPO
重要なURL:ホームページのURL:http://www.test.local/child/
優勢なGPO:ChildGPO
このテストドメインはこのサーバのみの構成ですので、
レプリケーション等の問題は考えられません。
サーバ上での gpupdate /force も問題無く行われています。
皆さん様々な観点で検証して頂けるので、問題範囲が広がり過ぎている為、
質問内容を以下の通り再定義させていただきます。
•なぜ、Windows Server 2003 R2のDCでは
RSoPの結果が上記のようにポリシーの項目毎に優勢なGPOが異なるのか
--------------------------
(回答2)
前回の検証結果は
DC・・・Window Server 2008 SP2
クライアント・・・Windows Vista、Windows 7
の環境で検証したものですが、再度
DC・・・Window Server 2003 R2 SP2
クライアント・・・Windows XP
の環境で検証してみましたがユーザーを指定してのRSoPは意図したとおり(自動ブラウザ構成:自動プロキシURL、重要なURL:ホームページのURLとも[御質問の例で言えばChildGPO]が優先された結果となりました。
再度、したのMSのページ・資料のとおりDCのChildGPOが設定されているか確認してみてください。
http://technet.microsoft.com/ja-jp/library/cc726038.aspx
http://www.atmarkit.co.jp/fwin2k/win2ktips/031autoproxy/autoproxy.html
DCとそのユーザのコンピュータでイベントビューアを立ち上げアプリケーションログにエラーが出ていないか確認もしてください。
詳細なログ(Userenv.logというデバッグログ)をクライアントで取得する方法についてはChukiさんのコメントにあるページのとおりです。
Userenv.log の「読み方」については、MSのしたのページに情報があります。ですが、これらのログはグループポリシーの適用プロセスを理解していないと、判読は難しいと思います。
Understanding How to Read a Userenv Log – Part 1
Understanding How to Read a Userenv Log – Part 2
無償・匿名掲示板での正式な回答を期待するのは難しいのが現状ですので、MSの有償サポートを受けられた方が良いようにも思います。
--------------------------
(質問・続2)
○○○○さん、試験問題作成委員会さん、ありがとうございます。
まず、試験問題作成委員会さんの検証内容を受けて、
VMware上のテストーサーバ上で実際のユーザーへのGPOの適用を確認しました。
結果、試験問題作成委員会さんと同様「自動ブラウザ構成」も「重要なURL」も
どちらも「ChildGPO」の内容が反映されていました。
Chukiさんの情報を参照し、レジストリにて詳細ログを取るよう設定しましたが、
イベント内容及びデバッグログファイル内容とも問題はないようです。
この状態で、グループポリシー管理コンソールより
「グループ ポリシーのモデル作成」及び「グループポリシーの結果」を実行すると、
やはり「自動ブラウザ構成」の優勢なGPOは「ParentGPO」となっており、
「重要なURL」は「ChildGPO」が優勢なGPOになっています…はて?
「グループ ポリシーのモデル作成」のシミュレート結果が実際の結果と異なるのは
あくまでもシミュレートなのでということでまだ理解できるのですが、
「グループポリシーの結果」が実際の状態と異なるのはどうしてでしょう?
> 無償・匿名掲示板での正式な回答を期待するのは難しいのが現状ですので、
> MSの有償サポートを受けられた方が良いようにも思います。
アドバイスありがとうございます。
実際の環境で発生している問題については、サーバOSがOEM製品の為サーバメーカーへ問い合わせを既に実施中で
サポート担当よりサーバ及びクライアントのレジストリ変更、アプリケーションログ及びuserenv.logの収集を指示されていて、
既にこれらのファイルを提出し解析を実施してもらっています。
--------------------------
この質問に対する根拠資料としては以下のようなものがある。
(MSページ)
グループポリシーの優先順位
http://technet.microsoft.com/ja-jp/library/cc783171(WS.10).aspx
(参考資料)
http://www.atmarkit.co.jp/fwin2k/tutor/gpolicy06/gpolicy06_01.html
http://www.atmarkit.co.jp/fwin2k/tutor/gpolicy07/gpolicy07_05.html
(参考資料)
Internet Explorerのプロキシ設定をグループ・ポリシーで強制する
http://itpro.nikkeibp.co.jp/free/NT/WinReadersOnly/20041227/2/
http://itpro.nikkeibp.co.jp/free/NT/WinReadersOnly/20040816/1/
(参考資料)
グループ・ポリシーの反映状況について詳細なログを確認する
http://itpro.nikkeibp.co.jp/free/NT/WinReadersOnly/20040415/77/
(MSKB)
製品版 Windows でユーザー環境デバッグログを有効にする方法
http://support.microsoft.com/kb/221833
[0回]
BadPwdCountはインストールCDに付属しているSupport ToolsのADSI Editを使い確認できるがWindows Server 2003環境の挙動は複雑である。
(質問)
WindowsServer2003環境におけるアカウントロック(BadPwdCount)の挙動について
WindowsServer2003環境におけるアカウントロック(BadPwdCount)の挙動について不明点がございます。
以下の構成でドメインを構築しております。
・DC1:WindowsServer2003 R2SP2(PDCエミュレータ)
・DC2:WindowsServer2003 R2SP2
アカウントロックのポリシーに関しては以下の通りになっております。
・アカウントロックアウトのしきい値:5回ログオンに失敗
・ロックアウトカウンタのリセット:30分後
・ロックアウト期間:0
ユーザの認証失敗の際にBadPwdCountという値が、DC1(PDCエミュレータ)で増加し、DC2にコピーされる。
その値が『アカウントロックアウトのしきい値』に達した場合アカウントロックされる。という認識でおります。
①ログオンの成功にてBadPwdCountがクリアされるとのことだったのですが、
スクリーンセーバによる画面ロックから復帰する際にもBadPwdCountはクリアされるのでしょうか。
②ログオンの成功にてBadPwdCountがクリアされるとのことだったのですが、
DC2に認証を行って成功し、BadPwdCountがクリアされた場合、DC1側のBadPwdCountはクリアされるのでしょうか。
ご回答よろしくお願いいたします
---------------------------
(質問・続)
試験問題作成委員会様、××××様
ご回答ありがとうございます。
一度回答としてマークさせていただいたのですが、実際にALtool等を導入してBadPwdCountを確認しながら動作確認をした中で腑に落ちない点がありましたので再度確認させてください。
以下の動きは確認できました。
1.【DC2にログイン認証 → 失敗】×3
→ DC1(3):DC2(3) ※()内の数字はBadPwdCount
2.【DC2にログオン認証 → 成功】
→ DC1(0):DC2(0) ※()内の数字はBadPwdCount
3.【DC2にログオン認証 → 失敗】×2
→ DC1(2):DC2(2) ※()内の数字はBadPwdCount
確かに複製されているように見えます。
しかし以下のような事象ではBadPwdCountにずれが生じるようなのですが、これが正しい動作になるのでしょうか?
①【DC2にログイン認証 → 失敗】×3
→ DC1(3):DC2(3) ※()内の数字はBadPwdCount
②【DC1にログオン認証 → 成功】
→ DC1(0):DC2(3) ※()内の数字はBadPwdCount
③【DC2にログイン認証 → 失敗】×2
→ DC1(2):DC2(5) ※()内の数字はBadPwdCount
・PDCでログオン成功した場合、DCには値は複製されない。
・PDCの値を複製ではなく、DCでインクリメントしている。
この動作であれば問題は修正されていないような気がするのですが…
私の認識のズレ等あるのでしょうか
たびたび申し訳ございませんが、ご教授よろしくお願いいたします。
---------------------------
(回答)
こんにちは、フォーラムオペレーターの○○○○です。
少し私の方でフォローさせていただきますね。
試験問題作成委員会さんが案内されていたKB278299の内容についてですが、ロックアウトされたアカウントがリセットされた際の動作になりますので、今回検証された動作(認証が成功した場合の動作)とは異なのではと思われます。
なお、BadPwdCount がカウントされる動作は複雑ですので、もし検証されるのであれば、PDC を含めて 3 台以上で検証された方が良いと思います。
("PDC で認証が行われた場合の動作" "PDC 以外の DC で認証が行われた場合の動作" "それ以外の DC の動作" を確認する必要がありますので)
また、認証が失敗した際に場合によっては自動的に何度かリトライされる場合がありますので(一度の操作で BadPwdCount が 2 以上カウントされる場合がある)、「アカウントのロックアウトのしきい値」が 5 という設定はかなり厳しい設定となり、一度の認証失敗でロックアウトされる事もあり得ます。
(この辺の動作はパケットをキャプチャすると分かると思います)
補足です:
私が以前検証して確認出来た動作について記述させていただきます。
ロックアウトされたアカウントがリセット(ロックアウトが解除)された場合には、ロックアウトがリセットされた事が全ての DC 上に反映され全ての DC 上の BadPwdCount も 0 になるはずです。
(KB278299 に記載されている動作ですね。環境によっては反映されるまでに時間がかかる場合もあります)
認証が成功した場合は、認証が行われた DC 上と PDC 上の BadPwdCount が 0 になるはずです。
PDC 上で認証が行われた場合は、 PDC 上の BadPwdCount のみが 0 になるはずです。
その他の DC 上の BadPwdCount は変化しません。
(こちらが今回検証されていた動作ですね。注意点としては「ロックアウト カウンタのリセット」 を経過していた場合には動作が異なります)
パスワードを間違っていた場合の動作については、最初に ×××× さんが記載されていた内容になると思います。
それでは、こちらの情報が少しでもお役にたてれば幸いです。
---------------------------
パスワードの履歴についてはしたのような質問もあった。
(質問)
パスワードの履歴について
Windows 2008 SP2でドメインコントローラを構築しています。
グループポリシーでパスワードの履歴を5つ記録する設定で運用しています。
各ユーザーが保持しているパスワードの履歴を全てもしくは1つを消去する
方法はあるのでしょうか?
ご存知でしたら教えて下さい。
---------------------------
(回答)
○○○○です。
ユーザパスワード履歴の一部を人力で削除する、ということはできません。この動作はシステムが内部的にやっていることだからです。
たとえばパスワードの履歴を全部飛ばしたい、というなら、したのような設定で行うしかないでしょう。
■パスワードポリシーでパスワードの履歴を0にする。
■各ユーザに「次回ログオン時にパスワードを変更する」設定をONにする
うえのようにすれば、ユーザが次回パスワード変更時に、内部動作として過去のパスワードが全部消去される、のではないでしょうか。
[0回]
Windows Vista以降はスクリーンセーバーロック仕様がWindows XPとは違う
(質問)
Windows7におけるスクリーンセーバー、アカウントロックの仕様について
社内PCのWindowsXPからWindows7への移行プロジェクトに携わっている者です。
現状のユーザー環境としましてはWindowsXP Pro SP3、移行後はWindows7 Pro、ドメインコントローラーはWindows Server 2003 Standard Edition SP2です。
ユーザーはDomain Users権限にて業務を行っています。
表題の件についてなのですが、現在XPの社内の端末についてはグループポリシーにて
・スクリーンセーバーのタイムアウト⇒300秒
・スクリーン セーバーをパスワードで保護する⇒有効
上記設定を有効にしており、ユーザーPCは
1)スクリーンセーバーに3Dテキスト等を設定していれば300秒後にロックがかかり、復帰にはログイン時のパスワードの入力が必要。
2)スクリーンセーバーを何も設定していなければ300秒経過しても何も画面に変化がない。
上記動作をしております。スクリーンセーバーの待ち時間(5分)、『パスワードによる保護(チェック有り)』はグレーアウトしている状態です。
Windows7への移行にあたりXPと同様の動作を実現したく、グループポリシーも同設定を行っており、正常に適応されているようなのですが、
スクリーンセーバーを無効にしていても300秒後にロックがかかってしまいます。
ただし、スクリーンセーバーが起動するのではなく、300秒後にログイン時のパスワード入力画面に切り替わります。
スクリーンセーバーの待ち時間(5分)、『再開時にログオン画面に戻る(チェック有り)』はグレーアウトしている状態です。
私の方で色々と調査をしたのですが、有効なグループポリシー設定項目が見つけれらず、また、以下のようなサイトを見つけました。
http://blogs.msdn.com/b/jpwin/archive/2009/10/20/windows7.aspx
これによると、どうもXPと7ではスクリーンセーバーの仕様が変更になっているようなのですが、何か回避策はありますでしょうか。
スタンバイやスリープモード等は全て無効にしております。
よろしくお願いします。
------------------------------------
(質問・続)
ご回答ありがとうございます。
クライアントが変更できるのは
①スクリーンセーバーの有無
②スクリーンセーバーの種類
上記2点のみにしたく、尚且つ
①を有りにすると5分後にスクリーンセーバーが起動し、パスワードによるロックがかかる。
①を無しにすると何分経ってもロックはかからない。
という動作を強制したいのですがWindows7の仕様(VISTAから?)では難しそうですね。。
運用ルールの再考の検討が必要かもしれません。
[0回]
Csvdeコマンドまたはldifdeコマンドを使うが、コマンドの知識が無いとかなり難しい。
(質問)
あるドメインから別のネットワークのまったく別のドメインへコピーしたいと思っています。
コピーする内容は、登録したUO名、User(属性含む)、Group名(所属するUser含む)のみです。
ミスが発生しないよう出来るだけ人的作業が少ない形でコピーするにはどのような方法がありますでしょうか?
よろしくお願いいたします。
OS: Windows 2008 std
(回答)
○○○○です。
csvdeというコマンドを使って、エクスポートとインポートができます。ただしパスワードの移行はできません。MSのページではありませんが、こういうページがありますね。
http://gihyo.jp/admin/serial/01/ad2010/0003?page=3
(MSのページ)
http://technet.microsoft.com/ja-jp/library/cc758935(WS.10).aspx
http://technet.microsoft.com/ja-jp/library/cc787549(WS.10).aspx
文書番号: 237677 - 最終更新日: 2007年2月20日 - リビジョン: 4.1
http://support.microsoft.com/kb/237677/ja
(参考資料)
http://itpro.nikkeibp.co.jp/article/COLUMN/20080125/292017/
[0回]
事前にAD DSサービスを停止させればよい。
(質問)
ADDS構築後の「データベース」と「ログの場所」を変更する方法について
ADDS構築後、「データベース」と「ログの場所」を変更方法について
WindowsServer2008R2(フルバージョン)でADDS(Active Directory Domain Service)をインストール後、
最初に設定する、「データベース」と「ログの場所」を変更したいのですが、
どのような手順で変更すればよろしいのでしょうか?
既存環境からドメイン降格して再インストールが望ましいかもしれませんが、
降格しない方法で手順はありますでしょうか?
バージョンは違いますが、ADDSインストール画面上では、こちらの画面で設定する項目です。
http://www.aibsc.jp/joho/otasuke_m/clientserver/03/img/adr_3_08_1.jpg
参考URL1:http://support.microsoft.com/kb/315131/ja
参考URL2:http://journal.mycom.co.jp/series/AD/080/index.html
単純に、コマンドプロンプトを起動して、
(デフォルト状態で)ntdsutilコマンドを実行し、Filesと入力すると以下のようになります。
C:\Users\Administrator>ntdsutil
ntdsutil: Files
アクティブ インスタンスが設定されていません。アクティブインスタンスを設定するに
は "Activate Instance" を使用してください。
よろしくお願いいたします。
----------------------------
(回答)
○○○○です。
こうしたら、できますよ。
(事前に) net stop NTDS コマンドで AD DSサービスを停止させておいて、
ntdsutil
Activate Instance NTDS
Files
あとは KB315131 の方法で、対応できるでしょう。
[0回]
PSOとDefault Domain Policyは同時実装できる
(質問)
PSOとDefault Domain Policyパスワードポリシーの同時運用
2. 製品とプラットフォームのバージョン ( エディションを含む) とサービス パック
Windows Server 2008 SP2
3. お問い合わせ内容
Windows 2008 Active Directoryサーバーを導入し、細かい設定が可能なパスワード ポリシー(PSO)を
実装したいと考えています。
Windows 2003まではDefault Domain Policyでドメインに対して、1つのパスワードポリシーのみが有効となりますが、PSOで使用するシャドウグループなどの運用を簡素化するためにDefault Domain
PolicyとPSOの同時実装を検討しています。
PSOとDefault Domain Policyのパスワードポリシーは同時に実装可能なのでしょうか?
また同時に実装可能なのであれば、パスワードポリシーとしての優先順位はどのようになるのでしょうか?
4. 投稿する前に確認した内容
下記Technetの情報を確認しました。
http://technet.microsoft.com/ja-jp/library/bb633158.aspx
PSOについてはRSOPで適用されるパスワードポリシーの優先順位がmsDS-PasswordSettingsPrecedenceで指定することができると認識しています。
5. お問い合わせの目的、回答として提供を希望する内容
・Windows 2008機能レベルでのPSOとDefault Domain Policyのパスワードポリシーは同時実装可能なのか?
・上記が可能であれば、PSOとDefault Domain Policyのパスワードポリシーの優先順位の決め方はどのようになるのか?
よろしくお願いいたします。
(回答)
○○○○です。
もしかしたらですが、「MSさん(開発元ベンダー)からの正式な回答」がご希望ですか?であるなら、必要な有償パスからお問い合わせください。
普通の人の回答でよい、という前提で答えます。
したのページに全部書いてあります。
http://technet.microsoft.com/ja-jp/library/cc754544(WS.10).aspx
答えとしては、
PSOとDefault Domain Policyは同時実装できます。
まずPSOの適用について検査され、適用されない場合Default Domain Policyの内容が適用されます。
PSOとDefault Domain Policyは仕組みがそもそも違うので、排他的な関係になることはありません。
[0回]
プロフィール
カレンダー
カウンター
リンク
最新記事
最新コメント
最新トラックバック
カテゴリー
アーカイブ
ブログ内検索
リンク
忍者画像RSS
忍者AdMax
フリーエリア
