Active Directoryオブジェクト

アクティブディレクトリーユーザーオブジェクト:紹介

この記事から学べること: アクティブディレクトリは、組織がリソースを整理するために使用できるディレクトリサービスです。アクティブディレクトリネットワークは、アクティブディレクトリオブジェクトと呼ばれる要素で構成されています。これらのオブジェクトは、ネットワークの一部であるリソースを表しています。オブジェクトには、ユーザー、コンピューター、プリンターなど、いくつかの種類があります。本記事では、アクティブディレクトリユーザーオブジェクトが何であるか、そのプロパティ、そしてユーザーオブジェクトの作成、変更、削除方法について見ていきます。 アクティブディレクトリユーザーオブジェクトとは何か? アクティブディレクトリユーザーオブジェクト、またはADユーザーオブジェクトは、組織のアクティブディレクトリ(AD)ネットワークに属する実際のユーザーを表します。これはリーフオブジェクトであり、他のADオブジェクトを内包することはできません。ユーザーは、組織の従業員(例えば、マネージャー、人事担当者、または通常は他のユーザーより高い権限を持つIT管理者)であるかもしれません。ユーザーオブジェクトはセキュリティプリンシパルであり、つまりセキュリティ識別子(SID)を持つほか、グローバル一意識別子(GUID)も持っています。AD内のユーザーオブジェクトには、正規名、名、中間名、姓、ログイン認証情報、電話番号、上司、住所、部下などの情報を含む属性があります。 ネットワークへのユーザー追加は、アクティブディレクトリユーザーとコンピューター(ADUC)コンソールを使用して行うことができます。例えば、ジョシュアは組織の新入社員であり、管理者は彼に組織のさまざまなリソースへのアクセスを提供する必要があります。管理者がすべきことは、アクティブディレクトリユーザーとコンピューターコンソールを通じてユーザーオブジェクトを作成し、その後、ジョシュアを表すユーザーオブジェクトにアクセス権限を割り当てることです。管理者がユーザーオブジェクトに割り当てる権限に応じて、ジョシュアは彼に必要なリソースへのアクセスを取得します。 ADユーザーオブジェクトの必須属性  すべてのオブジェクトには、必須とオプションの属性セットがあります。オブジェクトの作成に成功するためには、必須属性の値が必要であり、空であってはなりません。例えば、ユーザーオブジェクトの必須属性は以下の通りです: cn:ADネットワーク内でこのオブジェクトを一意に識別するために使用されるユーザーオブジェクトの識別名です。 ObjectCategory:これは、このユーザーオブジェクトが属するオブジェクトクラスか、またはそのスーパークラスのいずれかの識別名を含む単一値プロパティです。 Objectclass:このユーザーオブジェクトが属するオブジェクトクラスの識別名です。 sAMAccountName:オブジェクトのWindows…
Read more
Active Directoryオブジェクト

アクティブディレクトリ オブジェクト権限:GPO、ADUC、PowerShell を使用した権限管理のステップバイステップガイド

アクティブディレクトリ権限についての解説 アクティブディレクトリ(AD)ネットワーク内のユーザーは、ファイルやフォルダ、コンピュータ、プリンターなど、ネットワークのリソースへのアクセスを得ることができます。しかし、すべてのユーザーがネットワークの全リソースへのアクセスを必要とするわけではありません。このような場合にAD権限が重要な役割を果たします。AD権限によって、ADネットワークのユーザーは必要なリソースにのみアクセスできるようになっています。これにより、ネットワーク内でのリソースの誤用が防がれます。この記事では、AD権限が何であるか、子オブジェクトへの権限継承、及びADで権限を割り当てるための2つの異なる方法を詳しく見ていきます。 アクティブディレクトリ権限とは? AD権限は、オブジェクトがディレクトリ内の他オブジェクトやファイルを閲覧または変更する権限をどの程度有するかを定義する一連のルールです。AD権限とは重要な機能です。なぜならば、全てのオブジェクトがディレクトリ内のあらゆるものにアクセスする必要があるわけではないためです。例えば、組織のセールスパーソンには、組織全体のドメインを変更する権限は必要ありません。このようなシナリオは、ADオブジェクトとグループ権限がなければ、組織の重要情報が流出したり、システム全体のハッキングを許すことにつながるため、セキュリティハザードになりかねません。したがって、AD内の権限はセキュリティ機能として機能します。AD権限はオブジェクト固有です。例えば、コンテナオブジェクトに権限を割り当てる際、親コンテナの権限を継承しないようにコンテナ内の特定のオブジェクトを制限するコントロールを得ることができます。そのようなコントロールにより、管理者はAD権限を使って細かく調整された権限のカスタマイズが可能となります。これを権限継承と呼び、以下で説明します。 オブジェクトの権限を表示する ユーザーの権限またはオブジェクトの権限を表示するには、オブジェクトのプロパティタブを使用します。権限を表示するには、   1.
Read more
Active Directoryオブジェクトヘッダー・ブログ・スライダー

パスワード設定オブジェクト(PSO)の解説

管理者は、利用者やグループが組織の階層内で異なるレベルに位置し、すべてが同じ特権を持っていないことをよく理解しています。明らかなセキュリティ上の理由から、いくつかのアカウントでは他よりも強力なパスワードポリシーが要求されます。 細かい粒度のパスワードポリシーとPSO 細かい粒度のパスワードポリシー(FGPP)を導入することで、同じドメイン内の異なるユーザーのセットに対して異なるパスワードおよびアカウントロックアウトポリシーを設定できる機能が実現し、AD環境をより安全にします。FGPPは、単一のドメイン内に複数のパスワードポリシーを持つことで、パスワードセキュリティの範囲を広げます。 細かい粒度のパスワードポリシーは、パスワード設定オブジェクト(PSO)を使用して展開されます。PSOには、他のすべてのGPOに存在するすべての同じパスワード設定が含まれています。ユーザーのセットに異なる設定を適用するために、管理者は新しいPSOを作成し、要件に応じて設定を構成する必要があります。PSOがユーザーに適用されると、そのユーザーはグループポリシーによって展開されたパスワードポリシーを使用することはなくなり、指定されたPSO設定を使用するようになります。 Active…
Read more