仕事で必要になり、ActiveDirectoryのアカウントのパスワード期限をメールで通知するスクリプトを作りました。
汎用的なものにして、近日中にここで公開したいと思います。
2007年10月13日
2007年09月22日
2007年08月20日
認証連携の構築からベンダについて考える
ActiveDirectoryのユーザ情報を使ってRadius認証を行う「インターネット認証サービス」を使用すると、クライアントのダイアルアップ時に、ユーザIDとパスワードの入力を省略できるかもしれない。
ダイアルアップの設定で、そんな設定を見つけてしまって、自分の中で一気に盛り上がってきました。
是非これは実現したい・・。
ユーザ管理が減るどころではなく、IDパスワードに関するユーザの不便利(パスワード、ID忘れ等)、が全部なくなってしまうのは魅力的です。
こういった認証などの、システムの主な部分でない、サイドな部分での環境の移行、構築で障害となるのは、経験的に言って大抵ベンダです。
続きを読む
ダイアルアップの設定で、そんな設定を見つけてしまって、自分の中で一気に盛り上がってきました。
是非これは実現したい・・。
ユーザ管理が減るどころではなく、IDパスワードに関するユーザの不便利(パスワード、ID忘れ等)、が全部なくなってしまうのは魅力的です。
こういった認証などの、システムの主な部分でない、サイドな部分での環境の移行、構築で障害となるのは、経験的に言って大抵ベンダです。
続きを読む
2007年07月31日
ActiveDirectoryの認証を拡張する
2007年07月04日
vbscript,WSH上級者用エディタ
私は普段、エディタはEmacsを使っています。
Emacsは総合力としてみたら、それはもう最高峰のレベルで不満は感じません。
ただしある一カ所、Windows標準のスクリプトである、vbscriptを記述する際にはこれよりも優れた部分を持つエディタが有ります。
vbseditです。続きを読む
Emacsは総合力としてみたら、それはもう最高峰のレベルで不満は感じません。
ただしある一カ所、Windows標準のスクリプトである、vbscriptを記述する際にはこれよりも優れた部分を持つエディタが有ります。
vbseditです。続きを読む
2007年06月08日
移行後のサーバ廃棄期限を決めよう / NTドメイン-ActiveDirectory移行
新ドメインも構築したし、クライアントPCの移行も終った。
見たところ運用に問題も無いし、必要なファイルサーバにもきちんとアクセスできる。
終った・・・・・!!
めでたし、めでたし。
と、思ったら大間違いです。
続きを読む
見たところ運用に問題も無いし、必要なファイルサーバにもきちんとアクセスできる。
終った・・・・・!!
めでたし、めでたし。
と、思ったら大間違いです。
続きを読む
2007年06月07日
コンピュータ移行Batファイル,moveuser移行コマンド/ NTドメイン-ActiveDirectory移行
以下がプロファイル移行時に使用したbatファイルの内容です。
色々な事情により、そのままをここに抜き出す訳にはいきませんので、思い出しながら再度書いたのですが、それほど間違っていないと思います。
続きを読む
色々な事情により、そのままをここに抜き出す訳にはいきませんので、思い出しながら再度書いたのですが、それほど間違っていないと思います。
続きを読む
2007年06月04日
ユーザプロファイル移行/NTドメインーActiveDirectory移行
ドメインが変わると全く別ユーザとしてWindowsは認識しますので、デスクトップの環境からメールの設定から何から何まで、再設定が必要になってしまいます。
それを一から手で修正するのではなく、ツールによって自動化する事で大幅に時間を短縮できます。
例えばmoveuserですね
続きを読む
それを一から手で修正するのではなく、ツールによって自動化する事で大幅に時間を短縮できます。
例えばmoveuserですね
続きを読む
2007年05月29日
クライアントPCの移行 / NTドメイン-ActiveDirectory移行
ドメイン移行で最も面倒くさく、トラブルが起きやすいのが
クライアントのドメイン移行です。
ざっくりというと以下の3つ
・ドメインの参加
・DNSのIPアドレス設定の変更
・ユーザプロファイルの移行
最悪、上を全てのクライアントPCに対して設定しなくてはいけないのです。
続きを読む
クライアントのドメイン移行です。
ざっくりというと以下の3つ
・ドメインの参加
・DNSのIPアドレス設定の変更
・ユーザプロファイルの移行
最悪、上を全てのクライアントPCに対して設定しなくてはいけないのです。
続きを読む
2007年05月25日
ADMTを使ってSIDを引き継ぐ / NTドメインーActiveDirectory移行
NTドメインからActiveDirectoryへ移行する際に、
必ずやっておくべきことがあります。
SIDの移行です。
ドメイン、ActiveDirectoryではユーザ、コンピュータ、プリンタなど
全てのものをSIDによって管理されています。
いわば、これが本当のIDです。
あれ?IDってユーザアカウントのことじゃないの?
と思われる方がいるかもしれませんが、これはユーザに分かりやすい名前に過ぎません。内部ではこんなところでID管理はされていません。
続きを読む
必ずやっておくべきことがあります。
SIDの移行です。
ドメイン、ActiveDirectoryではユーザ、コンピュータ、プリンタなど
全てのものをSIDによって管理されています。
いわば、これが本当のIDです。
あれ?IDってユーザアカウントのことじゃないの?
と思われる方がいるかもしれませんが、これはユーザに分かりやすい名前に過ぎません。内部ではこんなところでID管理はされていません。
続きを読む
2007年05月21日
ドメインコントローラの配置その2/NTドメインーActiveDirectory移行
ドメインコントローラ(DC)の配置にあたっての基本的な方針
最低限押さえるべき点は以下です。
本社などの一番アクセス回線の太い拠点に、複数台のDCを設置する事。
次に検討する事は、パワーユーザが集まってる拠点、ユーザ数が多い拠点にDCの設置する事。
続きを読む
最低限押さえるべき点は以下です。
本社などの一番アクセス回線の太い拠点に、複数台のDCを設置する事。
次に検討する事は、パワーユーザが集まってる拠点、ユーザ数が多い拠点にDCの設置する事。
続きを読む
2007年05月20日
ドメインコントローラの配置/NTドメインーActiveDirectory移行
ActiveDirectoryにはサイトという概念が有ります。
ActiveDrectory内には膨大な量のデータが存在するため、複数の拠点にドメインコントローラ(DC)を配置すると、拠点を結ぶネットワークに大きなトラフィックを発生させる恐れが有ります。
そのトラフィックをコントロールするためのものです。
続きを読む
ActiveDrectory内には膨大な量のデータが存在するため、複数の拠点にドメインコントローラ(DC)を配置すると、拠点を結ぶネットワークに大きなトラフィックを発生させる恐れが有ります。
そのトラフィックをコントロールするためのものです。
続きを読む
2007年05月18日
ワンフォレスト、ワンドメイン/NTドメイン-ActiveDirectory移行
NTドメインからActiveDirectoryの移行は、何かと手間のかかる仕事です。手間がかかる故に必ずやっておきたい事や、工夫すべき部分があります。
1.ワンドメイン、ワンフォレストを目指す
せっかく手間をかけるのだから、どうせなら理想的な設計を目指しましょう。ActiveDirectoryでいう理想的な設計とはずばり(という程でもないですが)、ワンドメイン、ワンフォレストです。
ドメインを分ける理由のはいろいろ有るようです。
詳しくは@ITのActiveDirectoryの導入準備(全編)をご覧ください。
しかし、重要な点としては、以下を中心に考えると良いのではないでしょうか?
・パスワードポリシーの範囲
・現在のNTドメイン環境
続きを読む
1.ワンドメイン、ワンフォレストを目指す
せっかく手間をかけるのだから、どうせなら理想的な設計を目指しましょう。ActiveDirectoryでいう理想的な設計とはずばり(という程でもないですが)、ワンドメイン、ワンフォレストです。
ドメインを分ける理由のはいろいろ有るようです。
詳しくは@ITのActiveDirectoryの導入準備(全編)をご覧ください。
しかし、重要な点としては、以下を中心に考えると良いのではないでしょうか?
・パスワードポリシーの範囲
・現在のNTドメイン環境
続きを読む
2007年05月16日
グループポリシはまとめるべきか、細かく分けるべきか
3回連続ActiveDirectoryネタです。
グループポリシーを、初めて設計する段階でまず困ったのが、全てのポリシーを一つにまとめるべきか、ポリシーごとに分けていくべきか、という事でした。
後々に影響するのでかなり考えましたが、私がとった方法は現在の状況を見ると、まあまあ成功だったのではないかと思います。
結論から言うと、私の環境では折衷案で運用しています。
続きを読む
グループポリシーを、初めて設計する段階でまず困ったのが、全てのポリシーを一つにまとめるべきか、ポリシーごとに分けていくべきか、という事でした。
後々に影響するのでかなり考えましたが、私がとった方法は現在の状況を見ると、まあまあ成功だったのではないかと思います。
結論から言うと、私の環境では折衷案で運用しています。
続きを読む
2007年05月15日
クライアントPCのローカルAdministratorsには、ドメインのグループを追加しておくと便利
ActiveDirectoryのメリットは「集中」と「分散」管理があります。
相反する二つの管理手法ですが、ActiveDirectoryでは割とうまく実現できています。
AD上ではOUという単位で全てを管理すると効率的です。
全てとは例えばユーザ、グループ、コンピュータです。
誰かにある範囲のものを管理して欲しければ、
1.OUを作って、
2.その中に管理して欲しいものを放り込み、
3.OUに対して委任すれば完了です。
ただし、委任された人ができる事というのは、
そのOUの中のオブジェクトの追加、更新、削除です。
例えば、クライアントPCにソフトをインストールする権限などは持てません。
これが可能なのはDomain Adminsのメンバーだけで、
このメンバーはドメイン全ての者に対して、管理者権限を有します。
普通、管理を委任するという事は、その範囲のもの対して
フルコントロール権限を持つ事ですが、ADではそこまで大きな権限を委任できません。
しかし、あるOUにあるコンピュータに対して、ある担当者に管理者権限を与えたい、といった要件はよくある事です。
予めコンピュータのAdministratorsグループに、ドメインのグループを追加しておいて、そのドメイングループのメンバーに担当者を加えるのがその際の解決策です。
ただ、こういった案件は突発的に起きたりするもの。
また、異動者のPCまで管理を再設定する必要があるので、
その手間を省きたいと思います。
続きを読む
相反する二つの管理手法ですが、ActiveDirectoryでは割とうまく実現できています。
AD上ではOUという単位で全てを管理すると効率的です。
全てとは例えばユーザ、グループ、コンピュータです。
誰かにある範囲のものを管理して欲しければ、
1.OUを作って、
2.その中に管理して欲しいものを放り込み、
3.OUに対して委任すれば完了です。
ただし、委任された人ができる事というのは、
そのOUの中のオブジェクトの追加、更新、削除です。
例えば、クライアントPCにソフトをインストールする権限などは持てません。
これが可能なのはDomain Adminsのメンバーだけで、
このメンバーはドメイン全ての者に対して、管理者権限を有します。
普通、管理を委任するという事は、その範囲のもの対して
フルコントロール権限を持つ事ですが、ADではそこまで大きな権限を委任できません。
しかし、あるOUにあるコンピュータに対して、ある担当者に管理者権限を与えたい、といった要件はよくある事です。
予めコンピュータのAdministratorsグループに、ドメインのグループを追加しておいて、そのドメイングループのメンバーに担当者を加えるのがその際の解決策です。
ただ、こういった案件は突発的に起きたりするもの。
また、異動者のPCまで管理を再設定する必要があるので、
その手間を省きたいと思います。
続きを読む
2007年05月13日
ActiveDirectory構築のメリット
もうあえて言うほどの事ではないですが、複数のWindows端末を管理しなくてはならない企業にとって、ActiveDirectoryは必須の代物です。
多くの端末(50台以上)が存在する環境ではモチロン必要ですが、少数だとしても私は必要だと思います。
端末が少数しかない場合というのは、だいたいシステムの管理を行うスタッフも少数、いやむしろ専任の人材は存在しないことが多く、そんなケースこそ管理の手間を軽減する仕組みが必要です。
(ただし、ITリテラシの高い人材が豊富な職場(ITベンチャ等)、もしくは10台以下の本当に少数の場合は、ADが必須とは言えない場合もあります。)
ではActiveDirectoryを構築する上でのメリットを、私自身確認したいと思います。
続きを読む
多くの端末(50台以上)が存在する環境ではモチロン必要ですが、少数だとしても私は必要だと思います。
端末が少数しかない場合というのは、だいたいシステムの管理を行うスタッフも少数、いやむしろ専任の人材は存在しないことが多く、そんなケースこそ管理の手間を軽減する仕組みが必要です。
(ただし、ITリテラシの高い人材が豊富な職場(ITベンチャ等)、もしくは10台以下の本当に少数の場合は、ADが必須とは言えない場合もあります。)
ではActiveDirectoryを構築する上でのメリットを、私自身確認したいと思います。
続きを読む
