Active Directory Domain Services の基礎関連ツール編

127 Views

August 23, 24

#active directory #adds #windows server #Active Directory #Windows Server #AD DS #管理ツール #PowerShell

スライド概要

Active Directory 勉強会 #3 (2024-08-23) の登壇資料です。
Active Directory Domain Services の各種ツールについて概要を説明します。初学者向けです。

Kazuki Takai

@takai

スライド一覧

インフラエンジニア

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

ダウンロード

ダウンロード(pdf - 2.91MB)

関連スライド

Active Directory 構築面でのお話

active directory active directory domain services adds domain controller windows server windows time ntp dns

Kazuki Takai 69.6K

Windows Server 2025 Active Directory の新機能

windows server 2025 active directory windows server

Kazuki Takai 36.4K

Active Directory に依存しない Windows Server Failover Clustering

windows server windows server 2025 failover clustering wsfc active directory workgroup clustering

Kazuki Takai 13.5K

はじめての WinGet Configuration

winget cli package manager powershell dsc configuration manager

Kazuki Takai 7.9K

Windows Server 最新情報

windows server windows server 2025 hotpatch smb hyper-v active directory

Kazuki Takai 6.6K

Azure Arc Automanage Machine Configuration による構成の管理と適用

microsoft azure azure arc arc enabled infrastructures azure automanage azure automation powershell dsc desired state configuration powershell dsc ansible

Kazuki Takai 4.7K

各ページのテキスト

Active Directory Domain Services の基礎関連ツール編 Active Directory 勉強会 #3 2024-08-23 Kazuki Takai

自己紹介 • たかい（Kazuki Takai） // X（旧 Twitter）@zhuky7 • 会社員（某ISP勤務） • サービス基盤開発、技術開発、ライセンス関連 • 普段は Windows Server / Microsoft 製品だけでなく、Linux や VMware、OSS のインフラ系ソフトウェアなど幅広く • ユーザーオブジェクトよりコンピューターオブジェクトのほうが多いような環境 • wSCUGJ （Windows Server & System Center User Group Japan） • 興味分野：統合管理、ID、自動化、セキュリティ、監視・運用 • Microsoft MVP - Microsoft Azure / Cloud and Datacenter Management

https://twitter.com/zhuky7

お話しすること • Active Directory Domain Services の基本 • Active Directory Domain Services とは？ • 基本的な概念、用語 • ツール

今日はお話ししませんが… • 以下 Topic は、直近の SCUGJ 勉強会でお話ししています • Windows Server 最新情報 • Windows Server 2025 の新機能紹介（2023年12月時点） • Windows Server 2025 Active Directory の新機能 • 以下 Topic は、過去の Active Directory 勉強会でお話ししています • Active Directory 構築面でのお話 • Active Directory Domain Services の基礎

Notice • 本セッションで説明する内容は、個人の見解です • 間違っている、古い情報があればぜひ教えてください

今日お伝えしたいこと • Active Directory Domain Services を管理・運用する際に利用できる様々なツールを紹介 • 普段はあまり使わないものも • 何かあった時に思い出して / 調べて使う

勉強会中アンケート https://forms.office.com/r/RM1zccwhA5 • 立場 • 経験歴

https://forms.office.com/r/RM1zccwhA5

AD Domain Services

（再掲）AD DS (Domain Services) • Windows Server で利用可能な（Windows 環境で広く利用されている）ディレクトリサービス • Active Directory ドメインを構成 • 組織内（ドメイン内）のリソースを一元管理 • ユーザー、コンピューター、プリンター、アプリケーション等 • 認証、アクセスコントロール、オブジェクトの管理、ポリシーの管理と適用（配布）等の機能を提供 • サービスを提供するサーバー = ドメインコントローラー

10.

ツール等 • サーバーマネージャー • Active Directory 管理センター • Microsoft 管理コンソール • Active Directory ユーザーとコンピューター • Active Directory ドメインと信頼関係 • Active Directory サイトとサービス • ADSI エディター • グループポリシーの管理 • PowerShell • 各種コマンドラインツール • ldp.exe

11.

サーバーマネージャー • Windows Server 全般を管理する管理ツール • デフォルトでは、ログオン時に自動的に起動 • 各種役割・機能の追加と削除 • インストールされている役割・機能に応じた管理メニュー

12.

13.

Active Directory 管理センター • Active Directory の統合管理ツール • オブジェクトの参照 • ごみ箱の有効化 • ドメインとフォレストの機能レベル変更 • 細かなパスワードポリシー • 管理操作の PowerShell 履歴 • https://learn.microsoft.com/windows-server/identity/adds/get-started/adac/introduction-to-active-directoryadministrative-center-enhancements--level-100-

https://learn.microsoft.com/windows-server/identity/ad-ds/get-started/adac/introduction-to-active-directory-administrative-center-enhancements--level-100-?wt.mc_id=AZ-MVP-5002274

14.

Active Directory 管理センター

15.

Active Directory 管理センター

16.

Active Directory のごみ箱 • Active Directory のオブジェクトを削除した後に復元可能 • フォレスト機能レベル Windows Server 2008 R2 以降で利用可能 • 事前に（個別に）機能の有効化が必要 • 一度有効化すると、機能の無効化はできない • 機能の有効化 • Active Directory 管理センター • PowerShell Enable-ADOptionalFeature -Identity 'CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,DC=com' -Scope ForestOrConfigurationSet -Target ‘example.jp'

17.

PowerShell 履歴 – ADAC

18.

Microsoft 管理コンソール • Microsoft Management Console （mmc.exe） • 各種スナップインを追加することで、様々な項目を管理

19.

Active Directory ユーザーとコンピューター • ユーザーやグループ、コンピューターなどのオブジェクトを管理 • 管理の委任 • 操作マスターの変更 • dsa.msc

20.

Active Directory ユーザーとコンピューター • フィルター • 条件によるフィルター • 表示数上限の変更

21.

Active Directory ユーザーとコンピューター • 接続先ドメイン・ドメインコントローラーの変更

22.

Active Directory ユーザーとコンピューター • 管理の委任

23.

Active Directory ユーザーとコンピューター • 操作マスターの変更 • 以下の操作マスター（FSMO）について、役割を担うサーバーを変更することが可能 • RID マスター • PDC エミュレーター • インフラストラクチャマスター ※ドメイン名前付けマスターについては、「Active Directory ドメインと信頼関係」管理コンソールから変更可能 • 変更先（転送先）のサーバーに接続したうえで操作を実施

24.

Active Directory ユーザーとコンピューター

25.

Active Directory ドメインと信頼関係 • フォレスト、ドメインと信頼関係に関する設定を実施 • 信頼関係の設定 • フォレストの機能レベル変更 • ドメインの機能レベル変更 • ドメイン名前付けマスターの転送（役割を担うサーバーを変更） • domain.msc

26.

Active Directory ドメインと信頼関係 • 信頼関係の設定 • ドメインのプロパティから操作

27.

Active Directory ドメインと信頼関係 • フォレスト機能レベルの変更

28.

Active Directory ドメインと信頼関係 • ドメイン機能レベルの変更

29.

機能レベルの変更 – PowerShell • Set-ADForestMode • フォレストの機能レベル変更 Set-ADForestMode -ForestMode Windows2008Forest -Identity example.jp • Set-ADDomainMode • ドメインの機能レベル変更 Set-ADDomainMode -DomainMode Windows2008Domain -Identity example.jp • 機能レベルを下げることも可能（基本的にはやらない） • 機能レベルに依存した機能を使用している場合は、ダウン不可 • 参考 : ディレクトリサービスコンポーネントの更新

30.

Active Directory ドメインと信頼関係 • ドメイン名前付け操作マスターの変更 • 変更先（新しくドメイン名前付けマスターにしたいサーバー）に接続したうえで操作を実施

31.

FSMO の転送 – PowerShell • Move-ADDirectoryServerOperationMasterRole • パラメーターとして転送先のサーバーと転送するロールを指定 • 転送先のサーバーに接続して操作を行う必要は無い • -Force スイッチを付与することで、強制転送（seizure）が可能 • Force スイッチを付与しても、通常転送がまず試行され、通常の転送ができない場合に強制的な転送が行われる •例 Move-ADDirectoryServerOperationMasterRole -Identity "DC1" -OperationMasterRole PDCEmulator,SchemaMaster

https://learn.microsoft.com/powershell/module/activedirectory/move-addirectoryserveroperationmasterrole?view=windowsserver2022-ps&wt.mc_id=AZ-MVP-5002274

32.

Active Directory サイトとサービス • Active Directory サイトやサイト間通信に関する設定を管理 • サイトの作成・管理 • サイトリンクの作成・管理 • サブネットの作成・管理 • ドメインコントローラーがどのサイトに属するかの設定 • ブリッジヘッドサーバーの設定 • dssite.msc

33.

Active Directory サイトとサービス

34.

Active Directory サイトとサービス • サイトの作成・管理

35.

Active Directory サイトとサービス • サイトリンクの作成・管理

36.

Active Directory サイトとサービス • サブネットの作成・管理

37.

Active Directory サイトとサービス • ドメインコントローラーがどのサイトに属するかの設定

38.

Active Directory サイトとサービス • 優先ブリッジヘッドサーバーの設定 • ドメインコントローラーのプロパティから設定

39.

ADSI エディター • LDAP エディター • Active Directory のオブジェクトやその属性を管理・編集可能

40.

ADSI エディター

41.

ADSI エディター • LDAP エディター • Active Directory のオブジェクトやその属性を管理・編集可能

42.

PowerShell • コマンドラインシェル • スクリプト言語 • 自動化のためのプラットフォーム • Automation • Configuration Management / IaC • 最近のバージョン（6.x 以降）はクロスプラットフォーム • Windows, Linux, macOS

43.

44.

2種類の PowerShell • PowerShell は2種類存在 • Windows PowerShell （バージョン 5 系まで） • PowerShell （バージョン 6 以降） • 別物 • サイドロード可能（共存可能）

https://learn.microsoft.com/powershell/scripting/whats-new/differences-from-windows-powershell?view=powershell-7.4&wt.mc_id=AZ-MVP-5002274

45.

Windows PowerShell • Windows PowerShell （バージョン 5 系まで） • Windows にビルトインされている PowerShell • 古いバージョンの Windows では、Windows Management Framework として後からインストールも可能 • .Net Framework に依存 • サポートは固定ライフサイクルポリシー（OSと同じ） • powershell.exe

46.

PowerShell Core • PowerShell （バージョン 6 以降） • 以前は PowerShell Core と呼ばれていたもの • .Net （.Net Core）に依存 • クロスプラットフォーム • Windows で利用する場合も、個別にインストールが必要 • サポートはモダンライフサイクルポリシー（.Net Core と同じ） • pwsh.exe

47.

PowerShell を使う上での注意点 • Windows PowerShell と PowerShell Core は、一部のモジュールの互換性が無い • PowerShell 7 module compatibility in Windows Server 2022 • PowerShell 7 で PowerShell 5.1 でしか動作しないコマンドを実行した場合、互換レイヤーによって（自動的に）PowerShell 5.1 の実行環境が生成され、実行結果が PowerShell 7 側に返される • ので、一応動くはず • 基本的に、オンプレミス Active Directory の管理には Windows PowerShell を利用したほうがトラブルは少ない

https://learn.microsoft.com/powershell/windows/module-compatibility?view=windowsserver2022-ps&wt.mc_id=AZ-MVP-5002274

48.

Active Directory 管理関連のモジュール • ActiveDirectory • ADDSDeployment • DFSR • DnsServer • GroupPolicy • KDS • LAPS

49.

gpupdate / gpresult • gpupdate.exe • グループポリシーを取得し適用 • C:¥WINDOWS¥system32¥gpupdate.exe • 例： gpupdate /force • その他、必要な場合にログオフや再起動を実施することが可能 • gpresult.exe • グループポリシーの適用結果を出力 • C:¥WINDOWS¥system32¥gpresult.exe • 例： gpresult /H .¥report.html

50.

PowerShell でポリシーの適用を管理 • GroupPolicy モジュールのインポートが必要 • モジュールが既定のパスに配置されていれば自動でロードされる • Invoke-GPUpdate • グループポリシーを取得し適用 • https://learn.microsoft.com/powershell/module/grouppolicy/invok e-gpupdate • Get-GPResultantSetOfPolicy • グループポリシーの適用結果を出力 • https://learn.microsoft.com/powershell/module/grouppolicy/getgpresultantsetofpolicy

51.

PowerShell でポリシーの適用を管理 • GroupPolicy Module

https://learn.microsoft.com/powershell/module/grouppolicy/?view=windowsserver2022-ps&wt.mc_id=AZ-MVP-5002274

52.

コマンドラインツール等 • ドメインコントローラ（DC）の正常性の確認方法について • https://jpwinsup.github.io/blog/2023/03/30/ActiveDirectory/ PromotionAndDemotion/domain-controller-health-check/ • dcdiag.exe • repadmin.exe

https://jpwinsup.github.io/blog/2023/03/30/ActiveDirectory/PromotionAndDemotion/domain-controller-health-check/

53.

（例）Active Directory のオブジェクト

54.

repadmin

55.

まとめ • Active Directory に関連するツールについてお話ししました • 運用 Tips、監視の勘所などは、また機会があれば …

56.

アンケートにご協力お願いいたします https://forms.office. com/r/rw5UkyRBGD

https://forms.office.com/r/rw5UkyRBGD

57.

参考資料（自己学習用 – Microsoft Learn） • Active Directory Domain Services の基礎 • Microsoft Learn の中で、Active Directory に関して特に基礎的な内容のモジュールをピックアップしています • 概念から確認したい人向け • Azure で Azure IaaS Active Directory ドメインコントローラーをデプロイして管理する • ドメインコントローラーを作成したことが無い人向け • PowerShell コマンドレットを使用して Active Directory Domain Servicesを管理する • Active Directory のトラブルシューティング

Active Directory Domain Services の基礎 関連ツール編