【Management】Active Directory Recycle Bin(ゴミ箱)を PowerGUI から操作

TechEdを明日に控え、そろそろ新宿から横浜に移動しようかなと思っていた矢先、こんなツールがリリースされていることを発見してしまいました…。 Active Directory Recycle Bin PowerPack http://www.powergui.org/entry.jspa?externalID=2461&categoryID=21 おなじみ、Quest Software 社の PowerGUI 上で動作する Active Directory Recycle Bin用管理パックです。 いやー仕事が早いですね…さすがです。 Active Directory Recycle Bin は、ご存じのとおり、Windows Server 2008 R2 からサポートされたActive Directoryのゴミ箱です。これまで難しかった、間違えて削除してしまったオブジェクトを簡単に復元することができます。 が!難点が1つ。標準ではGUIが無いんです…。 そんな悩みを解決するのが、この Active Directory Recycle Bin PowerPack + PowerGUI です。 せっかくですので、ちょっと使ってみましょう。 【セットアップ】 事前に、以下のソフトをセットアップしておく必要があります。 PowerShell Commands for Active Directory(x64 と x86 が分かれています) PowerGUI:現時点の最新版は 1.9.0 です PowerGUIのインストール時、Active Directoryライブラリをインストールすることを忘れないでください。 PowerGUIを動作させるのが Win7またはVistaの場合には、RSATのインストールが必要です。…


【Management】JoinDomainOrWorkGroup メソッドでドメインに参加させる

前回、以下の投稿をしました。 【Management】DMZでのドメイン参加はオフラインドメインジョインで! オフライン ドメイン ジョイン 機能を使用することで、書き込み可能なドメインコントローラーと通信することなくドメインに参加させることができます。 ただ、難点があります。それは、Windows Server 2008 R2 および Windows 7でないと djoinコマンドが使えないということ…。 じゃ、それ以前のクライアントをRODC環境のドメインに参加させるにはどうしたらよいでしょうか。 WMIの Win32_ComputerSystem クラスには、JoinDomainOrWorkGroup メソッドが実装されています。でもって、なんと、このメソッドには NETSETUP_JOIN_READONLY = 2048 という大変魅力的な引数が用意されているのです。 JoinDomainOrWorkgroup Method of the Win32_ComputerSystem Class http://msdn.microsoft.com/en-us/library/aa392154(VS.85).aspx つまり、きちんと事前に準備を行い、このメソッドを使用したスクリプトを実行すればRODCしか無い環境であってもドメインに参加することができます。 では手順を以下に示します。 1)コンピューターアカウントを作成する Active Directory ドメインに参加させたいクライアントのコンピューターアカウントを作成します。「Active Directory ユーザーとコンピューター」を使用してもいいですし、net user ComputerName$ /add /domain net computer ComputerName /add(※ すみません間違えました。緒方さんご指摘ありがとうございました!)でも問題ありません。net user コマンドを使用する場合には、コンピュータ名の最後に「$」をつけることを忘れないでください。 2)コンピューターアカウントのパスワードを設定する 普段、あまりやらない作業ですが、大した処理ではありません。以下のようにコマンドラインから実行します。ユーザーのパスワードを設定するときと同じです。 net user ComputerName$ PASSWORD…


RODC環境でドメインに参加させるスクリプト

RODC環境でドメインに参加するためのスクリプト 実行書式は以下の通り。/readonly を忘れずに。 c:\> joindomain.vbs /domain <domainname> /mchinepassword <事前に設定したコンピューターのパスワード> /readonly —————————————————————————————–  ‘ JoinScript.vbs’ ‘     Script to join a computer to a domain.’     ” sub Usage   wscript.echo ” |————————————————|”   wscript.echo ” |   Joins a computer to a domain or workgroup    |”   wscript.echo ” |————————————————|”   wscript.echo “”   wscript.echo “Usage: ”   wscript.echo ” cscript JoinScript.vbs [/domain <domainname> |…


【Management】DMZでのドメイン参加はオフラインドメインジョインで!

たとえば、以下のような構成があるとします。 上記のDMZにある AppSV(アプリケーションサーバー) はActive Directoryドメインに参加していませんが、せっかくDMZにRODCが出来たので、ドメインに参加してアカウントをActive Directoryで一元管理することにしました。 さて、ドメインに参加するには、絶対に無視できない条件が2つあります。それは、 クライアントとドメインコントローラーが通信できること ドメインコントローラーに書き込みができること です。 AppSVと同じセグメントにはRODCがありますが、ご存じのとおりRODCには書き込むことができません。 一方、FWの向こう側にはRWDC(書き込み可能なドメインコントローラー)がありますが、今回は、AppSVとRWDCの通信は行えないという前提で話を進めましょう。そもそもAppSVから内部ネットワーク、特にドメインコントローラにアクセスさせたくなんて無いですよね。 つまり、上記2つの条件を全く満たしていないということになります。 この状態でAppSVをドメインに参加させようとすると、以下のようなエラーが発生します。   このAppSVを内部ネットワークに移動せずにドメインに参加する方法は2つあります。 方法1:Win32_ComputerSystemクラスの JoinDomainOrWorkgrouopメソッドをする 事前にコンピューターアカウントのパスワードを明に指定しておく必要があります。 ※2009/08/24 追記 本方法を使用した手順については以下をご覧ください。 【Management】JoinDomainOrWorkGroup メソッドでドメインに参加させる ※恐縮なのですが、この方式、検証していません。 メソッドの詳細は以下をご覧ください。 JoinDomainOrWorkgroup Method of the Win32_ComputerSystem Class http://msdn.microsoft.com/ja-jp/library/aa392154(en-us,VS.85).aspx ※サンプルスクリプトを使用したDMZでのドメイン参加については以下をご覧ください(英語です…) Deploying RODCs in the Perimeter Network http://technet.microsoft.com/ja-jp/library/dd728035(WS.10).aspx 方式2:オフライン ドメイン ジョイン機能を使用する クライアントがWindows 7またはWindows Server 2008 R2 であればオフライン ドメイン ジョイン(以降ODJ:Offline Domain Join)機能を使用して、ネットワークを使わないドメイン参加が可能です。 ODJの実行イメージは以下の通りです。…


【Management】RODC に DHCPサーバーをインストールするには

RODC(Read Only Domain Controller:読み取り専用ドメインコントローラー)の最も特筆すべき特徴は、当然ながら「書き込めない」ということです。 これにより、ドメインコントローラーの安全性がググッと高まることは間違いないのですが、「完璧にうまい話」というのは無いもので、そこにはトレードオフが発生します。 その1例として挙げられるのが、RODC への DHCPサーバーのインストールです。 DHCPサーバーを初めてインストールするときには、Active Directoryに以下の2つのドメインローカルグループを作成しようとします。 DHCP Users DHCP Administrators ※DHCPグループの詳細は、以下を参照してください。 DHCP グループ http://technet.microsoft.com/ja-jp/library/cc737716(WS.10).aspx この動作は RODC に DHCPサーバーをインストールしようとしたときも同様です。 しかしながら、RODCには書き込みができないため、以下のエラーが発生します。 対策は2つあります。 対策1)事前にRWDC側で2つのドメインローカルグループを作成しておき、RODCに複製しておく 対策2)DHCPサーバーインストール後に2つのドメインローカルグループを作成し、RODCに複製する インストールが終わったら、DHCP Users と DHCP Administrators に、必要に応じてメンバーを登録します。ちなみに、ドメインやコンピューターの管理者はDHCPの管理権限も持っているので、メンバーシップを追加する必要はありません。 それでは、よいManagement生活を!


パンダが登場…

ひそかに Bing の背景画像を楽しみにされている方も多いと思います。 実は私も隠れBingファン(←隠れてちゃだめだろ)の一人ですが、なんと本日の背景があまりにもアレだったので…。 パンダ萌えな私としては、もう居ても立ってもいられない状況です。この、気弱なタレ目を装ったカラーリング…何も聞こえませんよーと言わんばかりの耳…体全体から「ほら、ボクって天然じゃないですかぁ」オーラが漂っています。非常に戦略性を感じますね。たまりません。モビルスーツなんて目じゃないです。


【Script】サンプルスクリプトはここにある!

スクリプト好きにはおなじみ、Script Centerですが、TechNet内に TechNet Script Center Gallery! がオープンしました。 このサイトの特徴は、マイクロソフトからのサンプルだけでなく、エンジニアの投稿作品も掲載されているということです。Active Directory だけで546種類のスクリプトがすでに登録されています。 他にも、Office関連やDatabase関連など、業務に必要なスクリプトのサンプルがきっと見つかるはず! もちろん検索だってできます。 そして気になるのが、上のスナップショットにも表示されている[Upload]ボタン。 これで皆さんの自信作をアップロードすることができます。 過去のアップロード状況は、「私の投稿」をクリックすればダウンロード数を含めて参照可能です。 特に、MVPの皆さんにはオンラインでのアクティビティが強く求めれる傾向にありますから、これは使えるのではないでしょうか。 わたしもさっそく投稿したいと思っております。


【勉強会】第4回スクリプト勉強会 in 初台オフィス

あぁ、TechEd本番まであと2週間弱かぁ。がんばろうっと。orz さて、本日は19時から初台のオフィスでスクリプト勉強会が開催されました。 講師はMVPの澤田さんです。 スクリプト勉強会とは銘打ちつつ、実は本日のテーマは「Active Directory とは何ぞや?」でした。 実運用におけるIDのライフサイクル管理はどうあるべきかなどといったことを、みなさんが手持ちのプロジェクトを例にあげつつ、まったりとした議論が進行しました。 小規模な勉強会ですから、参加者のニーズに合わせて柔軟に話題を変えていくというのはとてもいいですね。   左から、MVPのKさん、Yさん、Oさん、MVPのSさん、そして初参加のTさん 参加者5名中、3名が女性!なんてことでしょう。 では、今回はじめて参加されたTさんに感想をうかがってみましょう。 「スクリプトの勉強会ではありませんでしたが(笑)、知らない業界の業務について知ることができたことは大きな収穫でした!」 とのこと(あれ、無理やり言わせた?)。 メンバーは以下のコミュニティで随時募集中です。 スクリプトによるWindows Server管理の自動化 勉強会 http://windowsserverscripting.groups.live.com/?sa=761845703 今後も継続して開催していくとのことですので、興味がありましたら参加してみてください! もちろん、私も参加させていただきます!


【Management】RODCを導入するなら SYSVOL複製には DFSR がお勧めです

RODC(Read Only Domin Controller)のメリットの1つに、AD DSに関する全ての情報が読み取り専用であるという点が挙げられます。アカウント情報、スキーマ情報をはじめとして、SYSVOLや AD統合ゾーンとして格納されているDNSレコードも読み取り専用です。 このことがRODCの安全性を高めているわけですが、SYSVOLに関して注意しなければならない点があります。 いくらSYSVOLが読み取り専用であっても、ユーザーが管理者権限を持っていればSYSVOLフォルダに対して「作成」「削除」「変更」ができてしまいます。もちろん、RODC上のSYSVOLに対してです。 当然、 「え?それじゃ読み取り専用じゃナイじゃんか?」 という疑問が出てきますよね。 RODCのSYSVOLが読み取り専用と言われる所以は、 「RODCのSYSVOLへの変更は、他のDCに複製されない」 という機能が備わっているからです。 ここで注意していただきたいのが、管理者によるSYSVOLへの変更がもたらす影響は、FRS と DFSR とで異なる点です。 FRSはご存知ですよね。Windows Server 2003 以前では、SYSVOLの複製にはFRS(File Replication Service)が使われていましたが、Windows Server 2008からは、SYSVOLの複製に DFSR を使用できるようになりました。 ただし、以下の記事にも書かれているとおり、Domain Controller への昇格時に、ドメイン機能レベルが「Windows Server 2008 レベル」になっていなければなりません。 【Windows Server 2008】 Sysvol 複製を FRS から DFSR に移行するには Dfsrmig.exe コマンドを使用する http://blogs.technet.com/junichia/archive/2008/01/24/windows-server-2008-sysvol-frs-dfsr.aspx では、タイトルにあるように、なぜ DFSR が FRS に比べてお勧めなのか。 もちろん「新しいから」とか「複製が早いから」という理由もありますが、より完全なRODCに近づけるのが DFSR なのです。 その理由を以下に挙げておきますので、今後の設計の参考にしてください。…