Windows TIPS ディレクトリ

Active Directory

更新日:2006/03/31

 サブディレクトリ
 Active Directory
エクスプローラにActive Directoryへのリンクを追加する
Windows 2000では[マイ ネットワーク]の下にActive Directoryへのリンクが表示されているが、Windows XPやWindows Server 2003では表示されない。 / Active Directoryへのリンクを利用すると、Active Directory内のオブジェクトへ素早くアクセスすることができる。 / これを表示させるには、Windows 2000のdsfolder.dllファイルをシステム・フォルダへコピーすればよい。
NTPでネットワーク全体のマシンの時刻を合わせる
ネットワークで接続された複数のマシン間で共同作業を行うなら、各マシンが内蔵しているシステム・クロックを同期させておくことは重要である。更新日時をベースにしてファイルを操作したりする場合に、各マシン間で不整合が生じたりする可能性があるからだ。/Windowsシステムでは、net timeコマンドを使って他のマシンと時刻を同期させることができる。/Windows 2000/Windows XPでは、net time /setsntpコマンドを使って、SNTPサーバに同期させることができる。/Windows XPでは、さらにGUIのインターフェイスを使ってSNTPサーバを指定することができる。
オブジェクトを識別するSIDとは?
Windows NT系のOSでは、ユーザー・アカウントなどのオブジェクトはすべて、表に表示される名前ではなく、SIDという内部的な数値を使って管理されている。 / 通常、SIDがユーザーの目に触れることはないが、アカウントの削除やドメイン・コントローラへの接続トラブルなどの事態が発生すると、SIDがそのまま表示される場合がある。
ドメインに参加できない:コンピュータ・アカウントを登録し直す
Windows NT/2000/XP Proが動作するコンピュータからドメインにログオンするには、ドメイン・コントローラ上に「コンピュータ・アカウント」を追加する必要がある。 / 一度追加したコンピュータのOSをいったん破棄してクリーン・インストールしたときには、「コンピュータ・アカウント」を「リセット」しなければ、再度ドメインに参加できない。
ユーザー・アカウントのロックアウトを解除する
辞書攻撃などを悪用した不正侵入からシステムを守るには、一定回数以上ログオンに失敗したユーザーのアカウントをロックアウトする設定にしておく。 / しかし不正アクセスではない正規のユーザーでも、繰り返しログオンに失敗する場合がある。一度アカウントがロックアウトされてしまうと、その後正しいパスワードを入力してもログオンできず、ユーザーにはその原因が分からない。 / この場合には、管理者がユーザーのロックアウトを解除する必要がある。
Active DirectoryのUsers/Computersコンテナをリダイレクトする
ユーザーやコンピュータ・オブジェクトは、デフォルトではUsersやComputersコンテナの中に作成される。 / コンテナにはグループ・ポリシーを適用できないため、UsersやComputersコンテナのオブジェクトだけに適用させるのは簡単ではない。 / リダイレクト機能を利用すると、UsersとComputersコンテナを任意の組織単位に割り当て、グループ・ポリシーを適用させることができる。
グループ・ポリシーでWinnyの実行を禁止する
Winnyによる情報漏えい時間が多発している。そのため企業ではWinnyの実行は禁止しておくのがよい。 / グループ・ポリシーのソフトウェアの制限機能を利用すると、Winnyの実行を禁止することができる。 / ただしこの方法はWindows XPとWindows Server 2003でしか利用できない。
Active Directory用のDNSレコードを強制的に作成する方法
Active Directoryを利用するには、DNSサーバ上にActive Directory用の特別なレコードが必要になる / 何らかの事情により、Active Directoryの構築時にこれらのレコードが作成されていなければ、後から再作成させることができる。 / 手動でDNSサーバを再構成することもできるが、netコマンドを使って自動的に登録させるのが簡単でよい。
グループ・ポリシー管理を強力に支援するGPMCを活用する
大規模なネットワークを統一的に管理するには、Active Directoryとグループ・ポリシーを活用するとよい。 / しかし従来は、グループ・ポリシー・オブジェクト(GPO)のバックアップが行えないことや、GPOの適用テストなどを簡単に行えないため、大規模ユーザーがグループ・ポリシーを積極的に活用するのは困難だった。 / グループ・ポリシー管理コンソールを利用すれば、これらの問題を解消して、グループ・ポリシーを柔軟に活用できるようになる。
業務に不要なプログラムの実行をグループ・ポリシーで禁止する
ファイル交換やゲーム・ソフトウェアなど、業務に必要のないプログラムやスクリプトの実行を禁止したいことがある。 / Active Directoryのグループ・ポリシー機能を利用すると、指定したプログラム・ファイルの実行を組織的に禁止できる。
dcgpofixでグループ・ポリシーをデフォルト状態に戻す
グループ・ポリシーを変更した結果、システムの動作が不安定になったり、システム障害の発生でグループ・ポリシー設定がおかしくなったりすることがある。 / このような場合はグループ・ポリシー設定を元に戻せばよいが、バックアップを取っていないと、復旧は簡単ではない。 / Windows Server 2003にはdcgpofixというコマンドがあり(Windows 2000ではrecreatedefpolコマンド)、Active Directory導入直後のデフォルトのグループ・ポリシー設定に戻すことができる。
IIS 6.0のFTPサーバでユーザー・フォルダを分離する(Active Directory編)
IIS 6.0のFTPサービスでは、ユーザーごとにフォルダを完全に分離し、ほかのユーザーのフォルダから隔離する機能が導入された。 / Active Directoryを使ったユーザーの分離モードでは、ユーザーごとのFTP用フォルダをActive Directoryの属性として定義しておくことができる。 / ユーザーごとのフォルダ属性を設定するには、iisftp.vbsコマンドを利用する。
Active Directoryでグループのメンバー・アイコンが白髪になる
[Active Directoryユーザーとコンピュータ]ツールでユーザー一覧を表示すると、あるときから、ユーザーを示す人のアイコンが白髪になってしまうことがある。 / これは障害などではなく、メンバー数が多くなったときに、情報取得の負担を軽減するための仕様である。
Active Directoryのデータベースを強制的に複製する
Active Directoryデータベースでは、同時に複数の管理者が異なるDC上でオブジェクトを更新することができる。 / データベースの変更は、あらかじめ決められたスケジュールに基づいてほかのDCへ伝達されるので、全DCに反映されるまでにいくらか時間がかかる。 / 複製を直ちに行うためには、[Active Directoryサイトとサービス]管理ツールかrepadminツールを使うとよい。
gpupdateでグループ・ポリシーの適用を強制する
グループ・ポリシーを設定しても、すぐにクライアントには伝達されない。 / グループ・ポリシーをすぐに適用したければgpupdateコマンドを利用するとよい。 / gpupdate /forceコマンドを使うと、現在の状態にかかわらず、グループ・ポリシーを強制的に再適用させることができる。
Active DirectoryのFSMO役割を担当するサーバを調査する(コマンド・プロンプト編)
Active Directoryのドメイン・コントローラ(DC)には、FSMOと呼ばれる、5つの特別な役割がある。FSMOはドメインごとにどれか1台のDC上でのみ実行され、ほかの機能のように、すべてのDC上で実行されるわけではない。 / Active Directoryの可用性を高めるためには、FSMOを適切に配置しなければならない。 / FSMOの役割がどのDC上で実行されているかを確認するためには、ntdsutilやdumpfsmos、netdomといったコマンドが利用できる。
DNSサーバの動的更新設定を変更する
Windows OSでは、起動時に自分自身のホスト名とIPアドレスをDNSサーバへ送信して、DNSのエントリを動的に更新するという動的更新機能を持っている。 / Windows Server OSのDNSサーバは、デフォルトでは任意のコンピュータからの動的更新要求を受け付けないので、必要に応じて設定を変更する。 / インターネット向けに利用する場合は動的更新は無効にしておくのがよい。


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間