【IDM】監査イベントを監視してユーザー管理を自動化するためのスクリプト(汎用版)

4月24日のセミナー「AD 次の一手」にて、「小規模なシステムの場合には、高価なパッケージではなくスクリプトレベルのプログラミングで同期を行うことも可能」というお話をしました。 セミナー資料にはスクリプトを掲載することができませんでしたが、ここに使用したスクリプトを掲載いたします。 以下のスクリプトは、DC001 というドメインコントローラに接続して、監査イベント 4720 と 5136 を待ち合わせるものです。VBscript で書かれていますので、拡張子を vbs として保存し、コマンドプロンプトから実行してください。 CScript xxxxx.vbs くれぐれも、あたまの CScript を忘れないでください。忘れると、ポップアップメッセージが大量に表示されることになります。もしくは、以下のコマンドで、事前にスクリプトのホストを cscript に変更しておきましょう。 Cscript //h:cscript ユーザー管理に関する監査イベントの詳細については、以下をご参照ください。  【Windows Server 2008】監査イベントの Event ID が変わりますhttp://blogs.technet.com/junichia/archive/2008/01/11/2008-id.aspx strDC = “DC001″UserAdmin = “”UserPassword = “” Rec = now & “,ドメインコントローラに接続します,” & “DC=” & strDCSet objLocator = CreateObject(“WbemScripting.SWbemLocator”)objLocator.Security_.Privileges.AddAsString “SeSecurityPrivilege”, TrueSet objService = objLocator.ConnectServer(DC, “root\cimv2”, UserAdmin, UserPassword)…

1

4/24 「Active Directory 次の一手」にお越しくださった皆様 ありがとうございました ~ 今度は皆さんの番です

先週から今週にかけ、コンテンツ準備+登壇 が続き、 blog の更新を怠っておりました。  4月24日に開催した 「Active Directory 次の一手」 にお越しいただいた皆様、ありがとうございました。 朝から晩まで、Active Directroy 付けで大変お疲れになったと思います。91名のお申し込みで、65名の参加となりました。 マイクの調子が悪い場面もあり、また会場が広い割にはスクリーンが小さく、見えずらかった場面もあったかと思いますが、最後までお付き合いいただきありがとうございました。 さて、セミナーの主旨と内容は高添の blog にも書かれているとおりですので省略しますが、私が担当した「ID管理の自動化」では、「お客様から出された要件定義書を 、フィールドSE さんたちが どのように咀嚼し、Active Directroy をご提案ただきたいか」 というお話をさせていただきました。 実は、つい先日の4月21日でMS入社後1年が経過しましたが、今回のセミナー開催にあたり、「お客様への提案書を書くときの8割ワクワク、2割不安…」という気持ちを久しぶりに味わった気がします。 セミナーで時間の都合上お見せできなかったデモや、デモで使用したスクリプトの解説、補足情報とより詳細な解説、新しい情報を blog を通じて発信してまいりますので、楽しみに(?)してください。 今回、我々エバンジェリストは、MS社員というよりも、エンジニアとしての想いでコンテンツ作りをしました(とはいえ、扱う製品はMS製品になってしまうわけですが)。それは「仲間を増やしたい」と願っているからです。今回のセミナーでいえば、「Active Directory はもっと面白いはずだ!」という想いを共有したいからです。 共有してどうするのか….「何か」楽しいことをやりたいと考えています。たとえば、Directory Expert Conference の日本開催とか、 ADの情報発信者集団である 「AD GEEK の会」 を結成するとか…。 そのためには、ADだけ知っていても仕方がないわけで、常に他の技術との比較検討をされている現場のエンジニアの皆様の持つノウハウやご協力が必要だと感じています。 エバンジェリストの仕事は「情報発信」だけだと思われがちですが、現場の皆様に対して生の情報発信をお願いするとともに、そうした皆様の情報発信をバックアップすることも大切な仕事です。 特に、Active Directory に関する情報は、ツールの使い方やトラブルシューティングを含め、現場のSEさんが多くの情報をお持ちだと思いますし、そうした情報を発信する場を求めているSEさんもいらっしゃるかもしれません。もしくは、「自分一人だときついけど、同じ想いの仲間がいればなぁ」と思っているSEさんもいらっしゃることでしょう。 「こういう情報があるんだけど、発信の場がない」 「仲間を作って、特定分野の情報をまとめてみたい」 「あまり広く深く知っているわけではないけど、この分野ならば情報発信できるかも」 「コミュニティに参加したいけど、あまり知らない人と話するのは苦手だし….ちょっと面倒。でも何かやりたい。」 「業務が忙しいから、そうそう毎回うごけるわけではない。でも1回くらい、セミナーを担当してみてもよいかな」  「特定の技術分野について’少数の人たち’ と話をしたい」 「微力かもしれないけど、IT業界活性化のために何かをしたい!」 といったことを思っていらっしゃるエンジニアのかたがたは、遠慮なく私や他のエバンジェリストにコンタクトしてください。 いますぐ何かができるわけではありませんが、小さなことをコツコツと積み重ねていきたいと考えています。 社外活動は、きっとエンジニアのみなさんのモチベーションを高めてくれるはずです。 コンタクトをお待ちしております。

0

MSC 2008 へのご来場 ありがとうございました

the Microsoft Conference 2008 へのご来場、ありがとうございました。 また、2日目 10:00 ~ Room B での Server Core をお聞きくださった皆様、比較的地味な内容にもかかわらず、ご来場/ご静聴いただきましたこと、心より感謝いたします。 Room B は今回のイベントで最も大きな会場であるにもかかわらず、750 の座席が満席だったことは壇上からもわかりました。 セッション終了後、「ASK the SPEAKER」で QA を受け付ける旨を申し上げなかったせいでしょうか..あまり質問にいらっしゃる方が無く少々さみしい思いもしましたが、会場をうろうろしている際に何度か声をかけていただきました。 セッション中、「こまかな情報は是非とも blog で!」とご案内したせいでしょうか、4月16日の午後より blog へのアクセス数がじわじわとのびはじめ、昨日のアクセス数は過去最高となりました。  検索キーワードでも、2008 / Hyper-V / Server Core が上位を占めており、間違いなく、MSC 効果であると言えます。 # それにしても WSH 5.7 が増えているのはなぜだろう….. また、以前の職場でお付き合いのあった複数の方々から「発見」され、久しぶりに会話を交わせたことも大きな収穫でした。 残念ながら、Server Core セッションは 東京のみでして、名古屋と大阪での開催は今のところ予定はございません。 まもなく、当日のセッションスライドの公開が予定されておりますので(ビデオも公開されるのかな…?)、当日ご覧になれなかった皆様は是非ともそちらをご覧くださいませ。 ということでございまして、これからも当 blog を通じて、現場で使える情報を中心に発信してまいります。 今後とも、おつきあいのほど、よろしくお願いいたします。  

0

【Windows Server 2008】Server Core のコマンドプロンプトを手元のコンピュータから起動する~RemoteApp 機能の活用

何度か この blog でも取り扱っていますが、Server Core を管理する方法は、およそ 3 種類考えられます。 潔く ローカルのコマンドプロンプトを使用する 優雅に リモートからMMCで接続する 華麗に リモートからコマンドを発行する どれを使うかは、シチュエーションによると思いますが、今回は「潔くローカルのコマンドプロンプトを使用する」を少しだけ便利にする手順について紹介します。 Windows Server 2008 のターミナルサービスには、RemoteApp という機能が実装されました。 Windows Server 2008 ターミナルサービスについては、@IT さんに以前私が執筆した記事が公開されていますのでごらんください。 第8回 ターミナル・サービスによるクライアントの仮想化(前編)http://www.atmarkit.co.jp/fwin2k/winsv2008/08ts_01/08ts_01_01.html 第9回 ターミナル・サービスによるクライアントの仮想化(中編)http://www.atmarkit.co.jp/fwin2k/winsv2008/09ts_02/09ts_02_01.html 第10回 ターミナル・サービスによるクライアントの仮想化(後編)http://www.atmarkit.co.jp/fwin2k/winsv2008/10ts_03/10ts_03_01.html 上の記事でも紹介していますが、RemoteApp を使用すると、ターミナルサービス上にインストールされたアプリケーションを、あたかも手元のコンピュータにインストールされているかのように使用することができます。 Server Core にも、管理を目的としたターミナルサービスが実装されており、RemoteApp を使用することができます。Server Core の RemoteApp を使用すれば、Server Core上のコマンドプロンプトを手元のコンピュータ上から簡単に起動することができるため、私はこの方法が気に入っています。 Server Core をインストールすると自動的にサービスが有効化されるので、役割のインストールを行う必要はありませんが、既定ではリモートからの接続は禁止されています。 それでは、Server Core でRemoteAppを使用するための手順を以下に示します。 ターミナルサービスへの接続を有効にする ターミナルサービスはインストール直後に起動はされていますが、以下の2つの設定によってリモートからの接続が抑止されています。 ファイアウォールの「リモートデスクトップ(TCP接続)」 ルール 以下のレジストリエントリの設定値System/CurrentControlSet/Control/Terminal Server 配下の fDenyTSConnections 0:許可 1:拒否(規定値) 上記を有効にするには、以下のコマンドをServer…

0

【OpsMgr 2007】SP1 リリース ~ 余談ですが 「配布アプリケーション」あらため「分散アプリケーション」

Operation Manager 2007 Service Pack 1 がリリースされました。 Operations Manager 2007 Service Pack 1 Upgrade Package – 日本語http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=ede38d83-32d1-46fb-8b6d-78fa1dcb3e85 先ほど、同じエバンジェリストの高添から実際に動いているところを見せてもらったのですが、ちょっと感動するくらいに変わっていました。 具体的な修正内容は、以下に書かれている通りです(現時点で英語ですが、日本語ページを準備中とのこと)。 What’s New in Operations Manager 2007 Service Pack 1http://technet.microsoft.com/ja-jp/library/bb821996(en-us).aspx Webコンソールやレポートも含めたパフォーマンスの向上 コンソール上の検索ボックスで、ルールとモニタが検索できる SNMP V1/V2 をサポートしたデバイスの監視 ダイアグラムを VISIO のVDX形式で保存 アラートの詳細表示画面でコピペ(ctrl+c / ctrl+v)ができるようになった クラスタ構成を含め、バックアップとリストアが行いやすくなった※OpsMge VSS Writer も実装された! レポートをSharePoint上に発行 ローカライズ製品(日本語版とか)を使用した場合の表示系が改善された などなど…. システム センター Operations Manager 2007 Service Pack 1 に修正される問題の一覧…

0

【Windows Server 2008】(sample)Server Core 用 無人応答ファイル & RODC 昇格用 無人応答ファイル

いよいよ the Microsoft Conference 2008 が目前に迫ったきました。いまデモンストレーションの最終調整を行っています。 私が担当するのは、「サーバー展開のための留意事項および Server Core の導入シナリオ」というセッションでして、なんというか…タイトルからして地味なわけですが….。それでも、アンケートによればこの時間帯最も注目を集めているらしく….自然と気合いが入ります。 当日のセッションは午前10時開始となりますが、いきなりデモンストレーションから入ります。 その場で Server Core をインストールしてしまおうというものですが、ただインストールしても面白くないので、当然無人で行います。加えて、コンピュータ名の設定やIPの設定、ドメインへの参加、ドメインコントローラへの昇格まで無人で行う予定です。 これが約18分~20分。この間に、すべての説明を完了させ、10時35分にはデモンストレーション画面に戻って、「Server Core の管理を始めるための準備」についてデモンストレーションをする予定です。 正直なところ、時間が厳しく、細かな説明はほとんどできません。 当然のことながら、無人セットアップファイル(unattend.xml)等の説明も行うことができません。 ということで、当日使用する unattend.xml および 読み取り専用ドメインコントローラに昇格するための無人応答ファイルをこちらに掲載しておきます。 [sample] unattend.xml for Windows Server 2008 Server Core この中では以下の処理を行っています。 既存パーティションの削除 新規にパーティションを30GBで作成 Server Core のインストール ドメインへの参加 administrator のパスワードの初期設定 IPアドレスとDNSの設定 コンピュータ名の変更 読み取り専用ドメインコントローラ(RODC)への昇格※以下のdcpromo用無人セットアップファイルを合わせてご覧ください [sample] unattend file for promotion to rodc この中では以下の処理を行っています。 既存ドメイン(example.jp)への追加ドメインコントローラとして昇格 Active Directory…

0

[sample]unattend file for dcpromo to rodc

; DCPROMO unattend file (automatically generated by dcpromo); Usage:;   dcpromo.exe /unattend:C:\rodc_promo.txt;; You may need to fill in password fields prior to using the unattend file.; If you leave the values for “Password” and/or “DNSDelegationPassword”; as “*”, then you will be asked for credentials at runtime.;[DCInstall]; Read-Only Replica DC promotionReplicaOrNewDomain=ReadOnlyReplicaReplicaDomainDNSName=example.jp; RODC Password Replication PolicyPasswordReplicationDenied=”BUILTIN\Administrators”PasswordReplicationDenied=”BUILTIN\Server Operators”PasswordReplicationDenied=”BUILTIN\Backup Operators”PasswordReplicationDenied=”BUILTIN\Account…

2

[sample] unattend.xml for Windows Server 2008 Server Core

<?xml version=”1.0″ encoding=”utf-8″?><unattend xmlns=”urn:schemas-microsoft-com:unattend”>    <servicing></servicing>    <settings pass=”specialize”>        <component name=”Microsoft-Windows-Shell-Setup” processorArchitecture=”x86″ publicKeyToken=”31bf3856ad364e35″ language=”neutral” versionScope=”nonSxS” xmlns:wcm=”http://schemas.microsoft.com/WMIConfig/2002/State” xmlns:xsi=”http://www.w3.org/2001/XMLSchema-instance”>            <ComputerName>SV2008-CORE2</ComputerName>        </component>        <component name=”Microsoft-Windows-International-Core” processorArchitecture=”x86″ publicKeyToken=”31bf3856ad364e35″ language=”neutral” versionScope=”nonSxS” xmlns:wcm=”http://schemas.microsoft.com/WMIConfig/2002/State” xmlns:xsi=”http://www.w3.org/2001/XMLSchema-instance”>            <InputLocale>ja-JP</InputLocale>            <SystemLocale>ja-JP</SystemLocale>            <UILanguage>ja-JP</UILanguage>            <UILanguageFallback>ja-JP</UILanguageFallback>            <UserLocale>ja-JP</UserLocale>        </component>        <component name=”Microsoft-Windows-UnattendedJoin” processorArchitecture=”x86″ publicKeyToken=”31bf3856ad364e35″ language=”neutral” versionScope=”nonSxS” xmlns:wcm=”http://schemas.microsoft.com/WMIConfig/2002/State” xmlns:xsi=”http://www.w3.org/2001/XMLSchema-instance”>            <Identification>                <Credentials>                    <Domain>example.jp</Domain>                    <Password>xxxxxxxx</Password>                    <Username>administrator</Username>                </Credentials>                <JoinDomain>example.jp</JoinDomain>                <UnsecureJoin>false</UnsecureJoin>            </Identification>        </component>    </settings>    <settings pass=”windowsPE”>        <component name=”Microsoft-Windows-Setup” processorArchitecture=”x86″…

1

【Windows Server 2008】Volume Activation 2.0 ~ あなたの Vista アクティベーションされてますか?

みなさん、おつかれさまです。春の新規導入、リプレイス作業は無事に完了しましたか? 学校関係の皆さんは、特に、大量導入やメンテナンスが完了し、ほっと一息といったところでしょうか。 大量のクライアントやサーバーを導入される企業や学校では、ボリュームライセンスを使用されているところが多いと思います。 既にご存じのとおり、Windows Vista および Winodws Server 2008 では、アクティベーションのプロセスが変更されました。新しいアクティベーションは、Volume Activation 2.0 (VA 2.0) と呼ばれています。 さて、なぜに blog でこんな話題を出したかといえば、VA 2.0 は、その仕組み上「設計」が必要だからであり、エンジニアの皆さんに VA 2.0 を理解いただく必要があるからです。「ライセンス関係は営業の仕事」「ライセンスはお客様管理」と突き放すことができない時代になったわけです。 従来のボリュームライセンスでは、契約に対して「ボリュームライセンスキー」が発行され、インストール時にはそれを入力する必要がありました。このプロセスではインターネットに接続して個々にアクティベーションする必要がないため、大量のクライアント配信時は非常に便利でした。が、問題もありました。それは、ライセンスの流出です。ボリュームライセンス用のメディアさえあれば、ライセンス管理者のあずかり知らぬところで(たとえば自宅とか)OSを不正利用することが可能だったわけです。これは脅威です。マイクロソフトにとってももちろん脅威ですが、ライセンス管理者および所属する団体自身の信頼をも低下させる可能性があります。 とはいえ…1台ごとにアクティベーションするというのは…コストがかかりすぎる…。 そこで、VA 2.0 では、1台から数台の「ライセンス管理用コンピュータ」にライセンス管理を任せてしまうことができるようになりました。この「ライセンス管理用コンピュータ」を、「KMS ホスト」といいます。KMS とは Key Management Service の略です。ボリュームライセンス契約を行うと、1つの KMSキー が発行され、このキーを設定したコンピュータが「KMSホスト」となります。KMS ホストとなれるのは以下の通りです。 Windows Server 2008(Server Core も可能) Windows Server 2003 SP1 (KMS 1.1 のインストールが必要) Windows Vista(ただし、Vista のホストにしかなれない) KMSキーをインストールするには、コマンドプロンプトより、以下のコマンドを使用します。 slmgr -ipk <KMSキー>…

2

【Windows Server 2008】Server Core に時計はあるか? ~ その2 BGInfo を使用する

前回の続きです。 【Windows Server 2008】Server Core に時計はあるか? ~ その1 【時計の実装例 その2】 BGInfo を使用する BGInfo はご存知でしょうか?マイクロソフトのセミナー等に参加されたことがある方ならば、Zoomit とともにご覧になったことがあるかと思います。BGInfo は、システムの情報(コンピュータ名やIPアドレス等)をはじめとする任意の文字列を壁紙に焼き付ける機能を持っています。デモ機を多く抱えるエバンジェリストの心の友と言っても過言ではないツールです。 以下の画面の右半分に書かれているのが、BGInfo によって書き込まれた情報です。 BGInfo は Microsoft TechNet サイト内の Windows Sysinternals で配布されているツールです。Windows Sysinternal では多くの使いやすいツールが提供されていますので、IT Pro の方々は是非とも一度チェックしてみてください。 ここまで書くと、これからやることがバレバレですね。そうです。時刻を背景に書き込んでしまおうということです。BGInfo のよいところは、背景として設定されている画像があっても、その画像と文字列をマージしてくれるというところです(背景画像を更新してしまうわけではなく、マージされた画像はテンポラリのbmpファイルとして保存され、それが表示されます)。  ではさっそくはじめましょう。 ※以下の作業はServre Core 以外のマシンで行ってください。なぜならば、Server Core ではブラウザが使えませんし(コマンドブラウザが使える可能性はありますが…)、標準で ZIPファイル を解凍する手段がありません。 はじめに、BGInfo v4.12 をダウンロードしてください。ZIP形式で保存できますので、解凍して BGInfo.exe を取り出します。 取り出した BGInfo.exe を Server Core にコピーしましょう。ひとまず、USBメモリか何かでコピーするのが便利でしょう。 USBメモリを Server Core から安全に取り出すには、以下を参照してください。  【Windows Server…

0