救世主降臨!ACTIVE DIRECTORY + POWERSHELL が開発者を救う!?
開発者のための最新ACTIVE DIRECTORY講座
マイクロソフト株式会社
エバンジェリスト
安納 順一 Anno Junichi
http://blogs.technet.com/junichia/
これまで いろいろありました....これまで いろいろありました....
3
10年もたつけど・・・
4
ある日の会話(ほぼ実話)登場人物
PM :プロジェクトマネージャー(ンフラ担当SEが兼任)DEV :業務ゕプリ設計/開発担当
PM 「例の業務ゕプリだけど、認証はどうするの?」DEV 「もちろん実装しますよ。ローカルにDBもてばいいんですよね?」PM 「だめだよ。Active Directory で認証するようにしよ」DEV 「えぇ、使ったことないですよ。Active Directory なんて」PM 「別に難しくないよ」DEV 「実績が無いので開発コストが増えますよ?」PM 「どれくらい?」DEV 「5人月とか?」PM 「そんな馬鹿なぁ!それに予算FIXしてるのに、いまさら無理だって~」DEV 「Active Directoryから同期してくればいいじゃないですか」PM 「じゃ、同期する部分作ってくれる?」DEV 「そんなのバッチ作れば済むじゃないですか」PM 「…」
5
認証を独立させるとこんな影響が…
業務ゕプリA
業務ゕプリB
フゔルサーバー(Windows)
メールサーバー(LDAP)
ユーザーDB
ユーザーDB
Active Directory
OpenLDAP
メタデータベース
6
AGENDA
はじめに マクロソフト製品群におけるAD DSの位置づけ
ITシステムにおけるAD DSの位置づけ
AD DSは開発者の救世主となるか?
開発者にとっての AD DS
AD DS「さわりかた」超基礎
開発者のための AD DS 最新トピック 2010年度版 New! AD Recycle Bin で削除したオブジェクトを復活
Windows PowerShell と AD DS まずは AD の構造から
AD DS用コマンドレットの使い方
Appendix
はじめに
AD DSの位置づけ
8
メッセージ保護安全な
コラボレーション
情報の保護
IDとアクセスの管理
統合セキュリティ
クライアント保護
マクロソフト製品群におけるAD DSの位置づけ
9
Access
IDとゕクセスを統制するということは
ID
資源がIDを介して有機的に結びついた状態
10
ITシステムにおける AD DS の位置づけ
業務ゕプリA(Linux)
業務ゕプリB(Windows)
フゔルサーバー(Windows)
メールサーバー(Linux)
Active Directory Domain Service
認証/ユーザー情報問合せ(ADO/ADSI)
AD DSは開発者の救世主となるか
12
開発者視点での AD DS のメリット
Windowsクラゕントにログオンしているユーザーは、すでに「資格情報」を保持しているため、ユーザーIDを改めて入力させる必要は無いし、パスワードの保存も必要ない。
管理者のみが行える操作、ユーザーが行える操作、部門によって行える操作等の判断は、Active Directory の組織情報やタトル、所属グループ等から判断すればよく、ローカルで管理する必要は無い。
ID統制には大切な視点!矛盾のないID管理は、可能な限り重複管理を避けることから始まります!
氏名や所属など、ユーザー情報はAD DSに格納されているので、ローカルDBに保存する必要が無い。ただし、情報漏えいに関して注意も必要(後述)。
13
(参考)AD DSの注意すべき点
AD DSのリポジトリは LDAP であり、AD DSで認証を受けたユーザー(Authenticated Users)は、ほぼ全てのユーザー情報を「参照」することができる。※Anonymous はゕクセスできません
電話番号や住所、生年月日等、プラバシーにかかわる情報についてはActive Directory 管理者側の意識的な対応が必須!
※特定のAttributeへのゕクセス権を本人のみにする等
14
ちなみに…AD DSの構築って簡単なの?
YES!構築するだけならば超簡単※運用はそれなりの苦労を伴いますが…
別紙「Windows Server 2008 60分クッキング」をご覧ください
15
AD DS のツリー構造(要はLDAPなのです)
OU=営業部
OU=第一営業課
DC=Contoso,DC=com
CN=Users
OU=第二営業課
CN=Tanaka
CN=Yamada
CN=Suzuki
sAMAccountName = TanakaemployeeID = 999999Title = ManagerDivision = 営業部第一営業課DisplayName = 田中 一郎SurName = 田中givenName = 一郎homeDirectory = ¥¥Server¥Home¥TanakaphoneNumber = +81-90-9999-9999IsMember = 第一営業課,営業部
CN=Yasuda
16
AD DS「さわりかた」の超基礎 ①~WINDOWS POWERSHELL 編
PS C:>$env:UserName
• 現在ログオンしているユーザーID
PS C:>Import-Module ActiveDirectory
• Active Directoryモジュールの読み込み
PS C:>Get-Command –module ActiveDirectory | Out-GridView
• Active Directory 関連コマンド一覧の参照
PS C:>$userid = $env:UserNamePS C:>Get-ADUser $userid
• 現在ログオンしているユーザーIDの情報
PS C:>$userid = $env:UserNamePS C:>$objUser = Get-ADUser $userid –properties displayNamePS C:>$displayName = $objUser.dislayName
• ユーザーのプロパテゖを参照
17
AD DS「さわりかた」の超基礎 ②~WINDOWS POWERSHELL 編
PS C:>cd AD:PS AD:>dir
Name ObjectClass DistinguishedName-------------------------------------------------------------------------Contoso domainDNS dc=Contoso,dc=ComConfiguration configuration cn=Configuration,dc=contoso,…Schema dMD cn=schema,cn=Configuration,…・・PS AD:¥>cd ‘.¥DC=Contoso,DC=Com’PS AD:¥DC=Contoso,DC=Com>dir
Name ObjectClass DistinguishedName-------------------------------------------------------------------------Builtin BuiltinDomain cn=Builtin,dc=contoso,dc=comComputers container cn=Computers,dc=contoso,dc…・・
• AD DSをブラウズ
18
AD DS「さわりかた」の超基礎 ③~WINDOWS POWERSHELL 編
• ユーザーIDに test を含むユーザーを検索する
PS C:¥>Get-ADUser –Filter {sAMAccountName –like “*test*”} | ftsAMAccountName
• 無効化されたユーザーを検索する
PS C:¥>Search-ADAccount –AccountDisabled -UserOnly
• パスワードの有効期限が切れたユーザーを検索する
PS C:¥>Search-ADAccount –PasswordExpired -UserOnly
• ゕカウントの有効期限が切れたユーザーを検索する
PS C:¥>Search-ADAccount –AccountExpired -UserOnly
• ロックされたユーザーを検索する
PS C:¥>Search-ADAccount –LockOut -UserOnly
• パスワードが無期限のユーザーを検索する
PS C:¥>Search-ADAccount –PasswordNeverExpired -UserOnly
19
AD DS「さわりかた」の超基礎 ④~WINDOWS POWERSHELL 編
• 1年間ログオンしていないユーザーを検索する※ただし最近作成したユーザーは除外する
PS C:¥>Search-ADAccount –AccountInactive –TimeSpan 365 -usersonly| Foreach-Object {(Get-ADUser $_.Name –Properties WhenCreated)} | Where-Object {$_.WhenCreated –lt “2009/11/18 17:00:00”}
今
2009/11/1817:00:00
除外
今から365日前
この間にログオンしていないユーザー
開発者のための
AD DS 最新トピック 2010年度版
伝えたいのはコレ!
「Active Directory Recycle Bin」
21
NEW! ACTIVE DIRECTORY RECYCLE BIN
機能削除したユーザーを完全復活!既定で180日間保持(変更可能)削除状態からの復旧であればAuthoritative Restoreは不要
属性情報の紛失時には使えないLinked-Value も完全復活
グループメンバーシップやグループメンバー など
留意事項(ご参考)Active Directory フォレスト機能レベル
Windows Server 2008 R2規定では無効(有効にしたら元には戻せない)DITの容量が10~15%程度増加(目安)操作は Windows PowerShell を使用
22
削除済 リサクル済有効
NEW! ACTIVE DIRECTORY RECYCLE BIN
「削除済」からの完全復旧
消滅
削除操作
GarbageCollection
・・・・ ・・
23
なぜ AD Recycle Bin が開発者に向けたトップストーリーなのか?
24
ユーザーIDのプロビジョニング - BEFORE
従来のプロビジョニング(WS2003~WS2008)
各種属性所属グループメンバーシップ
25
ユーザーIDのプロビジョニング - AFTER
Windows Server 2008 R2では
各種属性所属グループメンバーシップ
26
ユーザーIDのプロビジョニング - AFTER+
さらなる内製化
監査ログ
各種属性所属グループメンバーシップ
27
参考 EVENTLOGを検索する
PS > get-Eventlog security | where-object {$_.EventID –eq 5136}
WINDOWS POWERSHELL でRECYCLE BIN を操作してみる
29
[フゔル名を指定して実行]-「powersell」
WINDOWS POWERSHELL ADモジュールを使用するための準備
PS > import-module ActiveDirectoryPS > Get-Command -module ActiveDirectory
[スタート]-[すべてのプログラム]-[管理ツール]-[Windows PowerShell用のActive Directoryモジュール]
OR
30
WINDOWS POWERSHELL ADモジュール一覧Add-ADComputerServiceAccountAdd-ADDomainControllerPasswordReplicationPolicyAdd-ADFineGrainedPasswordPolicySubjectAdd-ADGroupMemberAdd-ADPrincipalGroupMembership
Clear-ADAccountExpiration
Disable-ADAccountDisable-ADOptionalFeature
Enable-ADAccountEnable-ADOptionalFeature
Get-ADAccountAuthorizationGroupGet-ADAccountResultantPasswordReplicationPolicyGet-ADComputerGet-ADComputerServiceAccountGet-ADDefaultDomainPasswordPolicyGet-ADDomainGet-ADDomainControllerGet-ADDomainControllerPasswordReplicationPolicyGet-ADDomainControllerPasswordReplicationPolicyUsageGet-ADFineGrainedPasswordPolicyGet-ADFineGrainedPasswordPolicySubjectGet-ADForestGet-ADGroupGet-ADGroupMemberGet-ADObjectGet-ADOptionalFeatureGet-ADOrganizationalUnitGet-ADPrincipalGroupMembershipGet-ADRootDSEGet-ADServiceAccountGet-ADUserGet-ADUserResultantPasswordPolicy
31
Install-ADServiceAccount
Move-ADDirectoryServerMove-ADDirectoryServerOperationMasterRoleMove-ADObject
New-ADComputerNew-ADFineGrainedPasswordPolicyNew-ADGroupNew-ADObjectNew-ADOrganizationalUnitNew-ADServiceAccountNew-ADUser
Remove-ADComputerRemove-ADComputerServiceAccountRemove-ADDomainControllerPasswordReplicationPolicyRemove-ADFineGrainedPasswordPolicyRemove-ADFineGrainedPasswordPolicySubjectRemove-ADGroupRemove-ADGroupMemberRemove-ADObjectRemove-ADOrganizationalUnitRemove-ADPrincipalGroupMembershipRemove-ADServiceAccountRemove-ADUserRename-ADObjectReset-ADServiceAccountPasswordRestore-ADObject
Search-ADAccount
Set-ADAccountControlSet-ADAccountExpirationSet-ADAccountPasswordSet-ADComputerSet-ADDefaultDomainPasswordPolicySet-ADDomainSet-ADDomainModeSet-ADFineGrainedPasswordPolicySet-ADForestSet-ADForestModeSet-ADGroupSet-ADObjectSet-ADOrganizationalUnitSet-ADServiceAccountSet-ADUser
Uninstall-ADServiceAccount
Unlock-ADAccount
32
RECYCLE BINを使用するための準備
フォレストの機能レベルを「2008 R2」にする
「ゴミ箱」を有効にする
PS> Set-ADForestMode–Identity contoso.com
–ForestMode Windows2008R2Forest
PS> Enable-ADOptionalFeature–Identity ‘Recycle Bin Feature’ –Scope ForestOrConfigurationSet–Target ‘contoso.com’
33
削除されたオブジェクトを復旧する
削除されたオブジェクトを参照する
オブジェクトを復旧する
PS> Get-ADObject -filter {sAMAccountName -eq “user01”} -IncludeDeletedObject
PS> Get-ADObject -filter {sAMAccountName -eq “user01”} -IncludeDeletedObject | Restore-ADObject
34
オブジェクトを削除するとDELETED OBJECTSに移動
Deleted Objects コンテナに移動
IsDeleted属性が Trueに
全てのオブジェクトがフラットに並ぶ
RDN(識別名)が書き換えられる<現在のRDN>¥0ADEL:<GUID>
¥0ADEL:…
¥0ADEL:…
¥0ADEL:…
¥0ADEL:…
¥0ADEL:...
¥0ADEL:…
35
ツリー構造の復旧はルートから行う
復旧は親から順に行う親オブジェクトが存在しない場合にはエラー
lastKnownParent 属性で検索削除する前の上位DN
¥0ADEL:…
¥0ADEL:…
¥0ADEL:…
¥0ADEL:…
¥0ADEL:...
¥0ADEL:…
まずはここから
36
ツリーの復旧1. 親を復旧
2. 親が「Finance_Department」であるものを復旧
3. 親が「Admins」であるものを復旧
Get-ADObject -ldapFilter:"(msDS-LastKnownRDN=Finance)" –IncludeDeletedObjects| Restore-ADObject
Get-ADObject -SearchBase "CN=Deleted Objects,DC=contoso,DC=com" -Filter {lastKnownParent -eq "OU=Finance,DC=contoso,DC=com"} -IncludeDeletedObjects
| Restore-ADObject
Get-ADObject -SearchBase "CN=Deleted Objects,DC=contoso,DC=com"
-Filter {lastKnownParent -eq "OU=Admins,OU=Finance,DC=contoso,com"} -IncludeDeletedObjects
| Restore-ADObject
37
削除済オブジェクト の ライフタイム を変更する
リサイクル済オブジェクトのライフタイムを変更する
(参考)ラフタムを変更するには
Set-ADObject -Identity “CN=Directory Service, CN=Windows NT,CN=Services, CN=Configuration, DC=mydomain, DC=com” –Partition “CN=Configuration,DC=mydomain,DC=com” –Replace:@{“msDS-DeletedObjectLifetime” = 60}
Set-ADObject -Identity “CN=Directory Service, CN=Windows NT,CN=Services, CN=Configuration,DC=mydomain, DC=com” –Partition “CN=Configuration,DC=mydomain,DC=com” –Replace:@{“tombstoneLifetime” = 365}
38
業務に与えるンパクト
データ復旧時のシステム停止時間を大幅に削減
従来
Authoritative Restore によるバックゕップからの復元
Snapshot から取り出し(Windows Server 2008)
今後
Windows PowerShell によって簡単に復元
簡易的なユーザーIDプロビジョニングシステムの実現
導入コストの大幅な軽減
中小規模システムへのプロビジョニングの適用が可能に
39
VISUAL STUDIO から POWERSHELL を呼び出す
.Net Framework
ンフラSEはここも欲しい!
仮想マシン
Visual Studio
ここがないと自動化できない
40
まとめ
• PowerShell により Active Directory が近くなりました
• Active Directory べったりのゕプリは引きが強い!
• ンフラSEはみなさんを待っています!
Silverlight を駆使し、無駄にグリグリまわる管理ツールの開発を!
APENDIX
1. POWERSHELL の基本的な使い方
43
POWERSHELLをつかってみよう~POWERSHELL に関する書式情報の取得方法
使い方に関する情報を得るには
使えるコマンドレット一覧取得Get-Commandンストールされているゕプリによってコマンドレットは増減する
コマンドレットの詳細な書式と例を表示Get-Help <コマンドレット> -detailed
コマンドレットのメソッドとプロパテゖ等を表示<コマンドレット> | get-member<コマンドレット> | get-member | sort-object Name | format-list
※ COMのメンバーも取得できるNew-Object -com scripting.filesystemobject | Get-Member
44
POWERSHELLを使ってみよう
Sample : 指定したフォルダのフゔル一覧
Get-ChildItem c:¥tmp |Where-Object {!( $_.Attributes –band 16 )} |Select-Object Name,Attributes
sample03.ps1
PowerShell コンソールから
コマンドプロンプトから
(参考)継続行 についてあきらかに継続することがわかる場合には、行の継続は自動的に判断してくれるPowerShell コンソールから入力した場合も同様
$_.Attributes and 010000 = True※-band はビット演算子 and
45
コメントのつけ方
バッチ
VBScript
PowerShell
スクリプトを引き継ぎやすくするため、処理の内容等についてコメントをつけましょう。書式についても書いておくとよいです。
46
引数を受け取る方法
バッチ
VBScript
PowerShell
C:¥> <スクリプト名> My name is “Junichi Anno” .
Echo %1 / %2 / %3 / %4 ShiftEcho %1 / %2 / %3 / %4Set FullName=%3Echo %FullName:"=%
Set Args = Wscript.ArgumentsIf Args.Count <> 0 Then
For Each n in ArgsWscript.Echo n
NextEnd If
foreach ( $a in $args ){Write-Output $a}
Write-Output $args[3]
%1 ~ %9 までの変数で受け取る
My / name / is / "Junichi Anno“name / is / "Junichi Anno" / .Junichi Anno
MynameisJunichi Anno.
MynameisJunichi Anno.Junichi Anno
47
名前付き引数
引数を所定の名前の変数に格納することで、文法チェック等が行いやすくなるWSHとPowerShell でスッチの識別文字が異なることに注意
VBScript
PowerShell
If WScript.Arguments.Named.Exists("userid") thenstrUserID = WScript.Arguments.Named.Item("userid")
End IfIf WScript.Arguments.Named.Exists("password") then
strPassword = WScript.Arguments.Named.Item("password")End If
param([string] $UserID = “nouserid", [string] $Password = "nopassword")Write-Output $useridWrite-Output $Password
C:¥> script.vbs /userid:anno /password:hogehoge
C:¥> script.ps1 -userid anno -password hogehoge
48
変数の扱いと値の代入バッチ
WSH
PowerShell
Set LastName=AnnoSet FirstName=JunichiSet FullName=“%FirstName% %LastName%”Set FullName=%FullName:"=%Echo %FullName%Echo %FullName:n=x%Echo %FullName:~8%Echo %FullName:~8,1%Echo %FullName:~-4,3%If /I %FullName:~-1,1%==o Echo OK
Junichi AnnoJuxichi AxxoAnnoAAnnOK
FirstName = "Junichi"LastName = "Anno"FullName = FirstName & " " & LastNameWscript.Echo Split(FullName," ")(0) Junichi
$FirstName = "Junichi"$LastName = "Anno"$FullName = $FirstName + " " + $LastNameWrite-Output $FullName$arrFullName = $FullName.Split(" ")Write-Output $arrFullname[0]
Junichi AnnoJunichi
49
入出力方法これを抑えておけば、ひとまずたいていのことはできます
バッチ
画面への出力 :Echo “Hello World”画面からの入力 :「choice」 コマンド または 「set /p」コマンドフゔルへの出力 :dir > list.txt または dir >> list.txtフゔルから入力 : for /f "delims=" %i in ('type c:¥tmp¥list.txt') do @echo %i
WSH(VBScript)
画面への出力 :Wscript.Echo “Hello World”画面からの入力 :Stdin.ReadLineフゔルへの出力 :fso.OpenTextFile(“c:¥list.txt”, 2 or 8) フゔルから入力 :fso.OpenTextFile(“c:¥list.txt”, 1)
PowerShell
画面への出力 :Write-Output “Hello”画面からの入力 :$InputData = Read-Host フゔルへの出力 :Out-File -filepath C:¥tmp¥list.txt -inputobject $Recordフゔルから入力 : $file = Get-Content -Path c:¥tmp¥list.txt
2. AD DS その他の 新機能
51
その他の新機能一覧
管理されたサービスゕカウント(MSA)オフランドメン参加(ODJ)認証メカニズム保障(AMA)ベスト プラクテゖス ゕナラザー(BPA)Active Directory 管理センター(ADAC)Active Directory Web Services(ADWS)デゖレクトリサービス回復モードのパスワード同期
52
機能
メンテナンスフリーな独立したサービス専用ゕカウントを作成
パスワードとSPNはNetlogonサービスによって自動リセット
MaximumPasswordAge ごと
reset-ADServiceAccountPassword <MSA> で手動リセット
PowerShell を使用して設定
パスワードの複雑性ポリシーの影響は受けない
留意点Windows 7 および Windows Server 2008 R2 のみ
1コンピューター/1サービス/1ゕカウント
管理されたサービスゕカウント~MANAGED SERVICE ACCOUNT(MSA)
53
(参考)管理されたサービスゕカウントの利用手順
PS> New-ADServiceAccount –Name SA01
ゕカウントを作成する
作成したゕカウントとコンピュータを関連付け
PS> Add-ADComputerServiceAccount –Identity <ComputerName>-ServiceAccount SA01
※再度 Get-ADServiceAccount で、HostComputersに、指定したComputerNameのDNが登録されていることを確認
作成したゕカウントをコンピュータに登録(ローカルで実施)
PS> Install-ADServiceAccount -Identity SA01
作成したゕカウントをサービスに登録サービススナップンでゕカウントを指定
PS>Get-ADServiceAccount SA01※HostComputersとUserPrincipalNameが空であることを確認
ゕカウントを確認する
54
機能
ドメンコントローラと通信せずにドメンに参加
BLOBフゔル(テキスト)を経由
プロビジョニングサーバーから排出し、参加予定コンピューターに取り込む
Base64でエンコードされているが暗号化されていない
再利用は不可能
対象
物理マシン
仮想マシン(他のマシンにマウント要)
留意点
Windows 7 と Windows Server 2008 R2 で使用可能
Domain Admins以外のユーザーは権限が必要
「ドメンにワークステーションを追加」または Computersコンテナに対する「子オブジェクトの作成」権限
オフランドメン参加~ OFFLINE DOMAIN JOIN (ODJ)
55
オフランドメン参加の動作メージ
クラゕントDC
C:¥> djoin /provision /domain <target domain> /machine <new machine name> /savefile <filename>
C:¥> djoin /requestODJ /loadfile <filename> /windowspath <path to new machine’s %windir%>
56
機能
証明書ベースのログオン時にユニバーサルグループへのメンバーシップを追加
証明書発行ポリシーのOID:ユニバーサルグループSID
留意点
Windows Server 2008 R2 ドメンフゔンクションレベルが必要
クラゕントは Vista / 7 / 2008 / 2008R2
Kerberos認証(NTLMではサポートされない)
LDPまたはPowerShell スクリプトを使用して設定可能
スクリプトは以下で提供
認証メカニズム保障~(AMA : AUTHENTICATION MECHANISM ASSURANCE)
ユーザーID/パスワード
証明書
http://technet.microsoft.com/en-us/library/dd378897(WS.10).aspx
57
機能
設定が「ちゃんと」しているかどうかを調査するためのツールちゃんとした設定=ベストプラクティス
ベストプラクテゖスの提示 ※設定は手動で行う
サーバーマネージャー か PowerShell を使用
ベストプラクテゖスシナリオは Windows Update 経由で定期的に更新される予定
フゖードバックも受付中
http://connect.microsoft.com/ADBPA
留意事項
独自のベストプラクテゖスの追加ができない
Windows Server 2008 R2 ドメンコントローラをサポート
ベストプラクテゖスゕナラザ (BPA)
PS> Import-Module BestPractices
PS> Invoke-BPAmodel Microsoft¥Windows¥DirectoryServices
PS> Get-BPAresult Microsoft¥Windows¥DirectoryServices
58
機能
新しいドメン管理用GUI(MUX:Management UX)※従来のGUIも継続提供
複数のドメン、複数のフォレストを管理
PowerShell AD コマンドレットをコール
UIクエリーをLDAPクエリーに変換して保存
独自のクエリーを追加
カラム等のカスタマズ
留意点
現時点では「従来ツールの置き換え」にはならない
PowerShell スクリプトの吐き出しができない
トポロジーの管理が行えない
ドラッグ & ドロップができない
ンランでの名前変更ができない
ACTIVE DIRECTORY 管理センター(ADAC)
59
機能
Active DirectoryにゕクセスするためのWEBサービスを提供
TCP/9389
AD DS、AD LDS両方にゕクセス可能
WS* および WCF プロトコルを使用
留意点
Windows Server 2008 R2 DCまたは AD LDS ンスタンス
Windows Server 2003 & 2008 DCの場合は Active Directory Management Gateway (ADMG) のンストールが必要http://support.microsoft.com/kb/969041/ja
IIS は必要ない
ACTIVE DIRECTORY WEB SERVICES (ADWS)
LDAP
S.DS.P / S.DS.AM / S.DS.AD
Active Directory Core
Web Services
AD PowerShell MUX
WCF WPF
Administrative Center
BPA
WCF
60
機能
ドメンコントローラー回復コンソールのパスワードを、既存ユーザーのパスワードと同期
留意点
QFE適用によりWindows Server 2008 でも使用可能http://support.microsoft.com/kb/961320/ja
ドメンコントローラ単位に実施
デゖレクトリサービス回復モードの パスワード同期(DSRM PASSWORD SYNC)
C:¥> Ntdsutil.exe “Set DSRM Password” “Sync from domain account <ユーザーID> ” q q
61
(参考)各新機能に必要な実装
ファンクションレベル 使用できる新機能
Windows7 または WS2008R2 クライアントオフラインドメインジョインマネージドサービスアカウント
+ADWS または ADMG(2008/2003)
Active Directory 管理センターPowerShell for Active
Directory
+Windows Server 2008 R2 DC
ベストプラクティスアナライザ回復コンソール パスワード同期
(QFEにより Windows Server 2008でも使用可
能)
+Windows Server 2008 R2 ドメインファンクションレベル
認証メカニズム保障
+Windows Server 2008 R2 フォレストファンクションレベル
ゴミ箱