開発者のための Active Directory 講座

2009年11月21日(土)は、MVP 瀬尾(せお)さんのコミュニティである、 技術ひろば.net http://hiroba-tech.net/tabid/106/Default.aspx にて、「PowerShell で操作するActive Dirctory」のセッションを持たせていただきました。 Active Directory を意識してくださる開発者が少ないという現状を、なんとか変えたいという想いで登壇させていただいたものです。 私の前を担当された武田さんが「CLR Profilerの使い方」という、私にとっては???な内容でしたが、参加された方々からの矢継ぎ早の質問を見るにつけ、恐ろしいほどのアウェイ感に襲われながらの登壇でした。 当日使用した資料は以下に掲載しておりますので、よろしければご覧ください。 PowerShell の基本的な使い方から、Active Directory の触り方についてサンプルを交えて触れているので、スクリプトに興味のあるインフラ担当SEさんにも役に立てると思います。 ※以下は SlideShare へのリンクです。 開発者のためのActive Directory講座 View more documents from Junichi Anno.


【IDM】最近ログオンしていないユーザーを検索する とっても簡単な方法

いまさらながら、ADでは「ログオン可能なワークステーション(userWorkstation属性)」の設定が最大1024文字だと気づき、自分の無知に愕然としています。だって…NTのころは4台固定だったんだもの…。 http://support.microsoft.com/kb/938458 さて、話は変わりますが、VBScript を使用して Active Directory 内のユーザーを検索しようと思った時、面倒だなと感じるのが、以下のような条件です。 既に無効化されたアカウント 既に有効期限の切れたアカウント ロックされたアカウント パスワードの有効期限が切れているアカウント パスワードが無期限に設定されているアカウント 指定した日付までに有効期限が切れるアカウント 最近ログオンしていないアカウント 上の条件を見て、頭の中に使用する属性名が思い浮かんだ方は、完全にADマニアです。もちろんほめ言葉です。 Windows PowerShell のActive Directory Module には、上記のような特定条件検索専用のコマンドレットが用意されています。その名も、Search-ADAccount です。 上記の条件と、Search-ADAccount のパラメタとの対応を以下に示します。-UsersOnly パラメタを使用すると、ユーザーアカウントのみに限定して結果を表示してくれます。 既に無効化されたアカウント Search-ADAccount –AccountDisabled -UsersOnly 既に有効期限の切れたアカウント Search-ADAccount –AccountExpired -UsersOnly ロックされたアカウント Search-ADAccount –LockedOut -UsersOnly パスワードの有効期限が切れているアカウント Search-ADAccount –PasswordExpired -UsersOnly パスワードが無期限に設定されているアカウント Search-ADAccount –PasswordNeverExpires -UsersOnly 指定した日付で有効期限が切れるアカウント Search-ADAccount –AccountExpiring –Datetime “DD/MM/YYYY” -UsersOnly 指定した日数以内に有効期限が切れるアカウント Search-ADAccount –AccountExpiring –Timespan…


結局のところ XP Mode はドメインに参加させるべきなのか?

これまでの投稿で Windows 7 の XP Mode をドメインに参加させて使用することを前提に、さまざまな手順等を紹介してきました。 まとめサイト 「Windows 7 + VHD Boot + XP Mode に関する投稿」 http://blogs.technet.com/junichia/pages/3294054.aspx ここまでの投稿をご覧いただいた方はおそらく私と同じお気持ちだと思います。XP Mode をドメインに参加させるのは、運用を含めて考えると、事実上難しいのではないかと考えています。 もちろん、エンドユーザーを信頼し、不測の事態(例えばXP Modeの各種設定を間違えて変更してしまった等)にも寛容にそして迅速に対応できるのであれば別です。 どうしても 「ドメインに参加した XP Mode を使わなければならない」シチュエーションは以下の通りかなと思います。 [アプリケーションがWindows XPでしか動作しない] AND [クライアントがActive Directoryドメインに参加していないと、アプリが正常に動作しない] 前者の問題を抱えている場合には、まずは、アプリケーション互換モードを検討してみてください。 英語版の画面ですみません どうしても、互換モードでは無理な場合に、XP Mode に「逃げ」てください。いや、いろいろと事情があるとは思うのですが…(検証時間が取れないとか…)。 一方、後者の問題は、深刻かもしれません。 例えば、以下のように問題が考えられます。 ドメインに参加していないとインストーラーが動かない クライアントアプリにログオンするときに、Windowsログオンの資格情報を引き継いでシングルサインオンしようとする 同様に、サーバー側アプリと通信するときにActive Directory の資格情報を使用し、ロール管理をしている クリアントアプリがUNC名を使用して、Active Directoryドメインに参加しているファイルサーバーに接続している などなど…。ADベッタリに開発されているアプリケーションの中には、XP Modeをドメインに参加させないと厳しいものがあるかもしれません。 特に、Windows XP にログオンしている資格情報を再利用するように設計されていると、ドメインユーザーの資格情報を入力するためのダイアログが頻繁に表示されてしまう可能性があります。これでは運用にならないですね…。 ちなみに、UNC名でなく、ネットワークドライブでファイルサーバー等に接続するタイプのアプリケーションであれば、Virtual PC のリダイレクト機能により、Windows…


Windows 7 + XP Mode に関する投稿

ブート構成データ(BCD)ストアを理解すれば VHDブート は簡単 Hyper-V から VHD Boot への移行 VHD Boot した Windows7 で XP Mode が使えるか XP Mode と Active Directory ドメインの関係 その1 ー 仮想XPのユーザープロファイル XP Mode と Active Directory ドメインの関係 その2 – ドメインへの参加方法と差分ディスクの結合 XP Mode と Active Directory ドメインの関係 その3 – 差分ディスクをファイルサーバーに置いてみた XP Mode と Active Directory ドメインの関係 その4 – Win7とXPの移動ユーザープロファイル XP Mode と…


XP Mode と Active Directory ドメインの関係 その5 – 複数のドメインユーザーでXP Modeを共有する手順

2010年01月19日 追記 XP Mode は、デスクトップをデスクトップを個人で管理するような小規模な環境で利用することを目的に提供されています。この為、XP Mode はOSイメージを複製したり、共有する利用方法はライセンス上許諾されておりません。複製された XP Mode を共有する場合には、「仮想OSインスタンスの実行権」が含まれている「Windows ソフトウェア アシュアランスの特典」をご検討ください。なお、XP Mode で許諾される内容の詳細については、XP Mode の EULA を参照してください。 詳しくは 「製品使用権説明書」の p.123 「Windows 7 仮想化の権利 - a)ソフトウェアインスタンスの実行」をご覧ください 複数のドメインユーザーでWindows 7のXP Modeを共有することができるか?というテーマで進めてきましたが、なんとか解決に近づくことができそうです。これまでの投稿は以下の通りですが、「複数のドメインユーザーでXP Modeを共有する手順」が目的なのであれば、この記事だけ読んでください。必要に応じて参照先を示します。 XP Mode と Active Directory ドメインの関係 その1 ー 仮想XPのユーザープロファイル XP Mode と Active Directory ドメインの関係 その2 – ドメインへの参加方法と差分ディスクの結合 XP Mode と Active Directory ドメインの関係 その3…


XP Mode と Active Directory ドメインの関係 その4 – Win7とXPの移動ユーザープロファイル

前回の投稿で、XP Mode を使用したときのユーザープロファイルについて書きかけました…。 XP Mode と Active Directory ドメインの関係 その1 ー 仮想XPのユーザープロファイル XP Mode と Active Directory ドメインの関係 その2 – ドメインへの参加方法と差分ディスクの結合 XP Mode と Active Directory ドメインの関係 その3 – 差分ディスクをファイルサーバーに置いてみた ←前回 実は、いま、自分の不勉強に愕然としています。現場を離れて3年…おそらく多くの方がご存じのことを、自分は把握していませんでした..超恥ずかしい…orz …というのは、Windows Vista で変更された移動プロファイルフォルダの命名仕様についてです。 もしかしたらお仲間がいらっしゃるかもしれないと思うので、念のために書いておきます。 Windows VistaとWindows 7では、移動ユーザープロファイルを使用するように設定すると、以下のように 拡張子 .V2 が付加されたフォルダが作成され、Windows XP以前のプロファイルとは明確に区別されるようになっています。   これは、Windows XP に先立って Windows Vista(またはWindows 7)でログオンしたときも同様です。 つまり、Windows 7 と Windows XP Mode…

2

【XP Mode】アプリケーションインストールでエラー

モバイルPCとして使用しているVAIO ZもBIOS更新によってVTに対応し、私の中でのXP Mode利用率が高くなりそうな気配です。 実は自宅のPCにもXP Modeをインストールしました。理由は、Windows 7 x64 で使っている動画編集ソフト(64ビット版には正式対応していないのですが)がいまいち安定しないため、ためしにXP Modeで使ってみようかと…。 で、Windows XP Modeを起動してインストールを開始したところ、以下のエラーが。 Windows インストーラは、リモート デスクトップ接続からのインストールは許可していません。 ご存じのとおり、XP Modeには、ローカルのデバイスをリダイレクトできます。以下のように。 便利なので、ついマウントされているドライブから setup.exe を実行してしまいました。その結果が、上記のエラーです。 このエラーを回避するには、「XP Modeから見てローカル」のドライブにインストーラーが保存されている必要があります。 インストーラーがDVDやCDROMであれば、XP Modeの設定画面で、以下のように「XP ModeのDVDドライブ」に「ホストのDVDドライブ」をマウントすればOKです。それ以外の場合は、XP modeのローカルディスク(Cドライブ等)にコピーしてから Setupを実行しましょう。


XP Mode と Active Directory ドメインの関係 その3 – 差分ディスクをファイルサーバーに置いてみた

ここのところ、XP Modeがインストールされた1台のWinodws7を、複数のユーザーで使いまわすことを前提に投稿を続けています。 XP Mode と Active Directory ドメインの関係 その1 ー 仮想XPのユーザープロファイル XP Mode と Active Directory ドメインの関係 その2 – ドメインへの参加方法と差分ディスクの結合 前回の投稿では、XP Modeをドメインに参加させることができたものの、それをデフォルトプロファイルに埋め込んで他のユーザーが使えるようにする…というところで止まってしまいました。 その後の調査では、Sysprep を XP Mode に埋め込んでおき、ユーザーが最初にXP Modeを使うときに、その都度ドメイン参加(もちろん自動的に)を行わせる…といのが推奨の手順のようなのですが…(うーん、ちょっと面倒…そういえば、Windows 7 ではプロファイルの複製が出来なくなっているような気がしますが、これと関係があるのかな…)。まだ実際に試していないので、追って投稿したいと思います。 ご参考(英語ですみません) Deploying Windows XP Mode http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=9f142a1a-a7b7-4d0b-bd56-d9627f39c14f ※実はこのドキュメントがリリースされていることに気づいておらず、BLOGをご覧になった Nさんに教えてもらいました。Nさん、恐縮でございます。 で、ちょいと疲れたので、現実逃避な話題を。 ※以下、ご参考ということで…実装の際にはくれぐれも検証をお忘れなく 大学などのように、利用者が複数のPC(1つのADドメインに参加しているものとする)にログインする可能性がある場合、はたしてXP Modeの利用環境を持ちまわることができるものだろうか?…と考えたとき、速攻で思いつくのが「移動ユーザープロファイル」です。 が…考えてみれば、Windows 7 と同じユーザーIDを使用する場合、プロファイルが保存されるパスも共通になってしまいます。 そこで、考えられる方法は2つです。 XP Modeの差分ディスクをリモートに保存する 移動ユーザープロファイルを、なんとかしてWin7とXPで分ける ■XP Modeの差分ディスクをリモートに保存する 差分ディスクをファイルサーバー等に保存する場合、2つの方法が考えられます。 ー 差分ディスクを移動プロファイルに含め、ログオフのたびにサーバーに書き戻す ー…


XP Mode と Active Directory ドメインの関係 その2 – ドメインへの参加方法と差分ディスクの結合

前回に引き続き、XP Modeについて掘り下げていきたいと思います。前回の投稿は以下です。 XP Mode と Active Directory ドメインの関係 その1 ー 仮想XPのユーザープロファイル XP ModeとActive Directoryドメインの関係…とタイトルに入れているのにとっても重要なことを書き忘れていました。 XP Modeはドメインに参加することはできるのか? という点です。 答えから先に書いておきますと、YES です。 【参考 Virtual PC チームのBLOG】 Networking and Using Windows XP Mode http://blogs.technet.com/windows_vpc/archive/2009/09/26/networking-and-using-windows-xp-mode.aspx ただ、ドメインに参加する前に以下の点を考慮しておきましょう。 本当にドメインに参加する必要があるか? ドメイン利用のライセンス条件を満たしているか? この上記2点については後で振れるとして、XP Mode をドメインに参加させる手順について以下に書いておきます。 実は、XP Modeのドメイン参加って、ちょいと面倒なんです。参加させた後の処理が多くて…。 ※くれぐれも早まって以下の操作を行わないでください!絶対に最後まで読んでください! 1.ネットワークアダプタの種類を変更する 既定では、XP Mode は仮想ネットワークアダプタとして「共有ネットワーク(NAT)」を使用します。 Virtual PC に詳しい方はご存じのとおり、このタイプの仮想ネットワークアダプタでは、Virtual PCに実装されたNATによってアドレス変換が行われ、ホスト側のインターフェースを通して外部との通信を行います。 XP Mode 自身の IPアドレスは Virtual PC の DHCP機能によって自動的に割り振られます。…