Let's( ^ω^)study IT!
Let's( ^ω^)study IT!

Windows > Server > ActiveDirectory


参考情報

  • Microsoft

ActiveDirectoryの概念の構成

フォレスト

フォレストの機能レベル

  • GUIによる確認方法
「ActiveDirectoryユーザとコンピュータ」にてツリーを選択、右クリック > プロパティ
「ActiveDirectoryドメインと信頼関係」にてツリーを選択、右クリック > プロパティ

  • Ldp.exeを使った確認方法
コマンドプロンプトでLdp.exe
接続
バインド > 現在の資格情報
表示 > ツリー > 構成パーティション
CN=Partitions,CN=Configuration,ドメイン をダブルクリック
msDS-Behavior-Version: 4

0 Windows 2000 Windows 2000のデフォルト
NTドメインと共存可能
1 Windows Server 2003 中間
2 Windows Server 2003
3 Windows Server 2008
4 Windows Server 2008 R2 ゴミ箱機能


  • ADSIEdit.mscを使った確認方法

スキーマバージョン

  • ADSIEdit.mscによる確認
コマンドプロンプトで、adsiedit.msc
スキーマに接続
CN=Schema,CN=Configuration,ドメイン ツリーを選択、右クリック > プロパティ
objectVersion

  • NTDSレジストリ設定による確認
コマンドプロンプトで、regedit
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NTDS\Parameters\Schema Version

ドメイン

ドメインの機能レベル

  • 確認方法

サイト

  • 確認方法

  • 自動サイトカバレージ

OUの管理

制御の委任
グループポリシーの適用最小単位

グループポリシー

優先順位

  1. OU
  2. サイト
  3. ドメイン
  4. ローカルセキュリティポリシー

継承

継承のブロック

強制

セキュリティフィルタ

初期設定では「Authenticated Users」に読み取り許可が設定されているため、ActiveDirectoryに参加している全てのメンバコンピュータと、ユーザに適用される。
細かく調整する場合は、セキュリティフィルタで初期設定グループを一度削除し、必要なグループを追加する。

WMIフィルタ

基本設定

中央ストア



アカウントの管理

ユーザーアカウント

グループアカウント

セキュリティグループと配布グループ

セキュリティグループ
WindowsのACLにおいて、複数のユーザを集めたセキュリティ設定の単位となる、グループ。
配布グループ
Exchange Serverなど、複数のメールアドレスの連絡先を集めたグループ。

ドメインローカルグループ

ドメイン内でのみ参照可能な、セキュリティグループ。
ドメインローカルグループ内には、ドメイン内外のユーザを登録することが可能。

グローバルグループ

ドメイン内外で参照可能なセキュリティグループ。
ドメイン内のユーザのみ登録することが可能。

ユニバーサルグループ

ドメイン内外で参照可能なセキュリティグループ。
ドメイン内外のユーザを登録することが可能。




ActiveDirectoryの構成要素

DNSサーバ

ドメインコントローラ

スキーママスタ

フォレスト内に1つ必要。
  • 主な機能

  • 確認方法
regsvr32 schmmgmt.dll
mmcで「ActiveDirectory スキーマ」を開く
ツリーを選択して、右クリック > 「操作マスタ」

ドメイン名前付けマスタ

フォレスト内に1つ必要。
  • 主な機能

  • 確認方法
「ActiveDirectory ドメインと信頼関係」で、ツリーを選択して、右クリック > 「操作マスタ」

インフラストラクチャマスタ

ドメインに1つ必要
  • 主な機能

  • 確認方法
「ActiveDirectoryユーザーとコンピュータ」で、ドメインを選択して、右クリック > 「操作マスタ」

PDCエミュレータ

ドメインに1つ必要
  • 主な機能
    • Windows NT 4DCのPDCとしての動作
    • 時刻の同期
    • パスワードの変更
    • グループポリシーの更新処理


  • 確認方法
「ActiveDirectoryユーザーとコンピュータ」で、ドメインを選択して、右クリック > 「操作マスタ」

RIDマスタ

ドメインに1つ必要
  • 主な機能

  • 確認方法
「ActiveDirectoryユーザーとコンピュータ」で、ドメインを選択して、右クリック > 「操作マスタ」

コマンドで調べる方法(DSQUERY)

dsquery server -hasfsmo schema
dsquery server -hasfsmo name
dsquery server -hasfsmo infra
dsquery server -hasfsmo pdc
dsquery server -hasfsmo rid

コマンドで調べる方法(NETDOM)

2000や2003だとSupport Toolsをインストールしないと、使えないかも。 
NETDOM QUERY FSMO

(出力例) 
スキーマ マスター                TEST-SERVER1.hoge.local
ドメイン名前付けマスター        TEST-SERVER1.hoge.local
PDC                         TEST-SERVER1.hoge.local
RID プール マネージャー        TEST-SERVER1.hoge.local
インフラストラクチャ マスター    TEST-SERVER1.hoge.local
コマンドは正しく完了しました。

コマンドで操作マスタを移す方法(NTDSUTIL)

  • FSMOメンテナンスを起動して、転送する。
ntdsutil
Roles
Connections
Connect To Server ***①
Quit
Transfer ***②

①操作マスタを取得したいサーバに接続する。
②取得する操作マスタの種類を指定する。
schema master スキーママスタ
naming master ドメイン名前付けマスタ
infrastructure master インフラストラクチャマスタ
PDC PDCエミュレータ
RID master RIDマスタ


コマンドで操作マスタを強制移動する方法(NTDSUTIL)

  • FSMOメンテナンスを起動して、転送する。
ntdsutil
Roles
Connections
Connect To Server ***①
Quit
Seize ***②

①操作マスタを取得したいサーバに接続する。
②取得する操作マスタの種類を指定する。
schema master スキーママスタ
naming master ドメイン名前付けマスタ
infrastructure master インフラストラクチャマスタ
PDC PDCエミュレータ
RID master RIDマスタ

読み取り専用ドメインコントローラ

パスワードレプリケーションポリシー

ActiveDirectoryユーザーとコンピューターで、読み取り専用DCのプロパティを開き、パスワードレプリケーションポリシーを編集する。



グローバルカタログ


サイトリンク


SYSVOL共有


ActiveDirectoryデータベース

構成の確認

NTDSUtilを使い、構成情報をダンプすることで確認する。 
ntdsutil
activate instance NTDS
file
info
上記コマンドの結果、以下のような表示が出力される。 
ドライブの情報:

        C:\ NTFS (固定ドライブ  ) 空き(30.9 Gb) 合計(39.9 Gb)

DS パスの情報:

        [[データベース]]              : C:\Windows\NTDS\ntds.dit - 24.1 Mb
        バックアップ ディレクトリ : C:\Windows\NTDS\dsadata.bak
        作業ディレクトリ          : C:\Windows\NTDS
        ログ ディレクトリ         : C:\Windows\NTDS - 合計 50.0 Mb
                        edbres00002.jrs - 10.0 Mb
                        edbres00001.jrs - 10.0 Mb
                        edb00004.log - 10.0 Mb
                        edb00003.log - 10.0 Mb
                        edb.log - 10.0 Mb

最適化

ActiveDirectoryドメインサービスを停止した状態にて、NTDSUtilを使い、最適化を行う。 
サービス > 「ActiveDirectory Domain Service」を停止
コマンドプロンプト > ntdsutil
activate instance NTDS
file


移動

チェック


DNSサーバーの構成

ゾーンの定義

GlobalNamesゾーン



管理コマンド

DS管理コマンド(dsmemgt.exe)

Windows Server Backupコマンド(Wbadmin.exe)

複製管理コマンド(Repadmin.exe)

  • /kccオプション
  • /prpオプション
  • /queueオプション
  • /replicateオプション
  • /replsingleobjオプション
  • /replsummaryオプション(複製の概要の表示)
repadmin /replsummary
(実行結果例) 
レプリケーションの概要開始時刻: 2011-09-25 13:05:14

レプリケーションの概要のためのデータ収集を開始します。
これにはしばらく時間がかかる場合があります:
  .....


ソース DSA          最大デルタ    失敗/合計 %%   エラー
 TEST-SERVER1        (unknown)        0 /   7    0
 TEST-SERVER2              05m:15s    0 /   6    0


宛先 DSA     最大デルタ    失敗/合計 %%   エラー
 TEST-SERVER1              05m:15s    0 /   6    0
 TEST-SERVER2        (unknown)        0 /   7    0


  • /showattrオプション
  • /showobjmetaオプション
  • /showreplオプション(複製状態の確認)
repadmin /showrepl [ドメインコントローラ]
以上のコマンドを実行すると、前回の実行の結果が表示される。
「入力方法の近隣サーバー」とは、複製元のサーバー・パーティションのこと。
※出力方法への複製が正常に完了しているとは限らないので注意が必要。

  • /showutdvecオプション

  • /syncallオプション(全ての複製パートナーとの同期呼び出し)
repadmin /syncall /e /A [/P] [ドメインコントローラ]
以上のコマンドを実行すると、指定したドメインコントローラの全ての複製パートナーに対して、複製を呼び出しする。
/eオプションを付けないと、複製パートナーとの同期処理呼び出しを行わなく、結果同期しないので注意が必要。
/Aオプションを付けないと、既定のコンテキスト(CN=Configuration,ドメイン)しか複製しないので注意が必要。
/Pオプションは、プッシュ複製を実行する場合に指定する(デフォルトはプル複製)。

指定するドメインコントローラは、複製を実行させたい主体のドメインコントローラを指定する。
例えばDC1を指定した場合は、DC1が、他DCから複製を実行する。

★コマンド(Gpupdate.exe)

DNS管理コマンド(Dnscmd.exe)

ドメイン昇格・降格コマンド(Dcpromo.Exe)

ドメインコントローラ診断コマンド(Dcdiag.exe)

★コマンド(Dsacls.Exe)

LDIF Directory Exchangeコマンド(ldifde.exe)

LDIF形式にて、オブジェクトの追加・削除・修正が行える。

CSV Directory Exchangeコマンド(Csvde.Exe)

エクスポート・インポートのみで、既存オブジェクトの修正は行えない。

★コマンド(Audiopol.exe)

★コマンド(Adprep.exe)

★コマンド(Setspn.exe)




最終更新日 : [2011-09-30]
「ActiveDirectory」をウィキ内検索
最終更新:2011年09月30日 21:23