【IDM】記事:OpenLDAPからActive Directoryへ移行せよ

「Active Directory を使いたいけど、もう別のディレクトリサービスがあるしぃ~」 そんな皆様向けのシリーズ記事第1弾が、Computerworld.jp で公開されました。 OpenLDAP から Active Directory へ移行せよ http://www.computerworld.jp/topics/mws/172309.html 執筆は、MVPの メディアフォース 澤田さんです。澤田さんの社内での移行事例を基に執筆された記事だそうで、続きが楽しみで仕方ありません。 青春の Windows Server World 無き今、こうした記事が読めるなんて幸せです。


【SQL】PowerPivotを使用してデータベースに接続するとアクセスが拒否される

PowerPivot のだいご味の1つは、利用者自身がデータベースに接続して分析を行える点にありますから、利用者に公開したいデータベースにはアクセス権を設定しておかなければなりません 多くのインフラ担当のSEにとって「SQL Server のセキュリティ」というのは鬼門となっており、実は「適当に」設定してあるシステムは少なくありません。 そんな状況で、一般ユーザー権限で EXCEL 2010 ベータ版の PowerPivot を使用し、SQL Serverに接続する場合を考えてみます。 [データベースインポートウィザード]に SQL Server のサーバー名(ここでは SQL01)を入力して[接続テスト]ボタンをクリックすると、環境によってはエラーが出ると思います。   原因は3つ考えられます。 SQL Server がインストールされているサーバーの ファイアウォール設定によりポートが閉じられている → [セキュリティが強化されたWindows ファイアウォールの設定]を見直してください SQL Server に接続しようとしているプロトコルが許可されていない → SQL Server 構成マネージャーを見直してください。 ユーザーにSQL Serverにアクセスするための権限が無い  今回は、3つ目の原因である「ユーザーにSQL Serverにアクセスするための権限が無い」場合の対処法について考えてみます。 以前にもご紹介しましたが、SQL Server 2008 自習書シリーズの1つ「セキュリティ」および「ログイン認証とオブジェクト権限」は、SQL Serverのセキュリティに関し、とても詳しくそしてわかりやすく解説してくれています(例によってSQLQualityの松本さんありがとうございます!!!)。 SQL Server 2008 自習書シリーズ http://technet.microsoft.com/ja-jp/sqlserver/dd610200.aspx これはわかりやすい!!PowerPivot を展開する予定があるなら必読です! ここでは、ドメインユーザーである junichia に対して Northwind データベースおよび配下のテーブルへの「参照」が可能になるようにアクセス権を設定していきます。 自習書にならい、3つのチェックポイントを意識して設定してみます。…


【SQL】PowerPivot for EXCEL 2010 がうまくインストールできない場合の対処

2010年1月29日に以下のセミナーを予定しております。ライブ中継もしますので、遠地の方はインターネット経由でご参加ください。あ、それからLT(ライトニングトーク)も募集中です(締切過ぎてますが、なんとかします)! Tech Fielders セミナー 東京 [BI を用いたログ管理 (取込みから分析まで) ~ SQL Server 2008 R2 編] 会場:マイクロソフト株式会社 新宿本社 5F セミナールーム スピーカー:安納 順一 2010 年上半期リリース予定の SQL Server 2008 R2 を使用し、ログの取り込みから分析とレポート作成までの総合的な手順について解説します。PowerPivot を使用したセルフサービス BI もご紹介します。 ※Live Meeting によるライブ中継も行いますので、セミナー会場以外からのご参加も可能です。 ライブ中継へのご登録はこちらから [詳細&登録へ→] PowerPivot for EXCEL 2010 とは、EXCEL 2010 上から複数のデータベースに同時に接続してAnalysys機能を使用するもので、EXCEL 2010 のアドインとして提供されています。この機能により、EXCELの限界である100万件以上のデータをEXCEL上に取込み、インメモリで高速に分析することができるようになります。 PowerPivot for EXCEL 2010 を使用するには、事前に以下のコンポーネントをダウンロードしてインストールしておく必要があります。 ■クライアントにインストールするコンポーネント Office 2010 ベータ版 http://technet.microsoft.com/ja-jp/evalcenter/ee390818.aspx SQL…


【募集】Active Directory ブロガー

気が付けば1月も半ばになりました。早いですね。 さて、ご好評をいただいております Active Directory TechCenter に、ブロガーズページがオープンしました。 Click! このページには、Active Directory や、Identity Lifecycle Manager/Forefront Identity Manager に関する投稿をしてくださる方を掲載しております。 現時点で、Microsoft社外の方は2010年1月18日時点で 2名 登録されています。 「自分も!」と掲載を希望される方は こちら から以下の情報をお送りください。 お名前(ニックネームでも可) メールアドレス BLOG の URL BLOG の名称 フィードしたいタグ(基本的に ActiveDirecctory / AD / FIM / ILM のいずれかですが、その他希望がございましたらご記入ください) 掲載の順番は、基本的にご連絡をいただいた順となります。 なお、以下の点をご了承いただけると幸いです。 定期的な更新(月に1回程度)が無い場合には一時的に掲載を解除させていただくことがあります 「クラッキング」や「こきおろし」的な情報である場合には掲載をご遠慮いただくく場合があります ただし、「辛口」を拒否するものではありません!! 有名ブロガーを目指しましょう!


【FIM 2010】ID同期の自動化だけが効率化のポイントではありません

システムに複数のディレクトリ サービスが存在している場合、皆さんはどのような方法でサービス間の整合性を取りますか? 現在のID同期プロセス 有史以来、管理者を悩ませ続けている ID 管理の負荷。中でも複数システムの ID 同期ほど負荷の高い作業はありません。実はマイクロソフトにも ID 同期を実現するソフトウェアがあることをご存知でしょうか? その名も「Identity Lifecycle Manager (ILM) 2007」です。その後継製品として 2010 年Q1にリリースを予定されているのが、「Forefront Identity Manager (FIM/フィム) 2010」 です。 FIM 2010 製品サイト http://www.microsoft.com/japan/forefront/identitymanager/default.mspx FIM 2010 技術サイト http://technet.microsoft.com/ja-jp/ilm/default.aspx FIM/ILM がハブとなってIDを同期する ただし誤解しないでください! FIM 2010 は単に「ユーザーID を同期」するためだけのものではありません。新たに実装された「ワークフロー機能」「セルフ・グループ管理機能」「セルフ・パスワードリセット 機能」は、Active Directory 単体の運用においても自動化の特効薬となるのです。では、これらの新機能について具体的にお話しましょう ■ コードレス=開発不要 な ワークフロー機能 マイクロソフトのID管理製品にも、やっとワークフローが実装されることになりました。しかしただのワークフローではありません。なんと「コードレス」なのです。FIM 2010 が用意している「部品」を使っていただければ、ワークフローのためのコーディングは必要なく、インフラ担当SEまたはお客様が自らワークフローを実装することができるのです! たとえば、単純な例ですが、Active Directory に新たにユーザーを作成する場合を考えましょう。 通常は、管理者が人事部からユーザーリストを受け取り、それにしたがってバッチファイル等で作成することになるでしょう。ただし、「ITによる内部統制」という観点で考えれば、ユーザーID 作成にあたって、どのような承認を経たかを示す履歴を管理しておきたいところです。そこで必要になるのがワークフローです。 FIM 2010 では、Active…


【PowerShell】ユーザーIDの変更履歴を収集するスクリプト

ユーザー ID の変更履歴を収集する方法 「あるユーザー ID の属性を間違えて変更してしまった!」なんてこと、ありませんか? Windows Server 2008 からサポートされた「ある種の監査ログ」には、ユーザー ID の変更履歴がしっかりと記載されています。今回は簡単な PowerShell スクリプトを使用して、監査ログに蓄積された ID の変更履歴を取り出す方法をご紹介します。 なお、これからご紹介するスクリプトを使用するには、以下の準備が必要です。 PowerShell を有効にする ディレクトリ サービスの監査を有効にする Active Directory オブジェクトの監査設定を変更する 【準備】 1.PowerShell を有効にする 管理者権限で PowerShell コンソールを起動し、以下のコマンドを入力して PowerShell スクリプトを使えるようにしてください。 Set-ExecutionPolicy RemoteSigned 2.ディレクトリサービスの監査を有効にする ユーザーIDの変更を追跡するには、Active Directory の監査のうち、「ディレクトリサービスの監査」を有効にする必要があります。有効にする手順は以下の通りです。 「サーバーマネージャー」を起動し、[機能] – [グループポリシーの管理] – [フォレスト] – [ドメイン] – [<ドメイン名>] – [Domain Controllers] を開く。 [Default Domain Controllers Policy]…


【IDプロビジョニング】ID同期の自動化だけが効率化のポイントではありません~FIM2010が目指すものとは?

TechNet Flash をご購読の皆様、ようこそ!  【IDプロビジョニング】ID同期の自動化だけが効率化のポイントではありません~FIM2010が目指すものとは?  システムに複数のディレクトリ サービスが存在している場合、皆さんはどのような方法でサービス間の整合性を取りますか? 現在のID同期プロセス 有史以来、管理者を悩ませ続けている ID 管理の負荷。中でも複数システムの ID 同期ほど負荷の高い作業はありません。実はマイクロソフトにも ID 同期を実現するソフトウェアがあることをご存知でしょうか? その名も「Identity Lifecycle Manager (ILM) 2007」です。その後継製品として 2010 年Q1にリリースを予定されているのが、「Forefront Identity Manager (FIM/フィム) 2010」 です。 FIM 2010 製品サイト http://www.microsoft.com/japan/forefront/identitymanager/default.mspx FIM 2010 技術サイト http://technet.microsoft.com/ja-jp/ilm/default.aspx FIM/ILM がハブとなってIDを同期する ただし誤解しないでください! FIM 2010 は単に「ユーザーID を同期」するためだけのものではありません。新たに実装された「ワークフロー機能」「セルフ・グループ管理機能」「セルフ・パスワードリセット 機能」は、Active Directory 単体の運用においても自動化の特効薬となるのです。では、これらの新機能について具体的にお話しましょう   ■ コードレス=開発不要 な ワークフロー機能 マイクロソフトのID管理製品にも、やっとワークフローが実装されることになりました。しかしただのワークフローではありません。なんと「コードレス」なのです。FIM 2010 が用意している「部品」を使っていただければ、ワークフローのためのコーディングは必要なく、インフラ担当SEまたはお客様が自らワークフローを実装することができるのです! たとえば、単純な例ですが、Active Directory に新たにユーザーを作成する場合を考えましょう。…


ユーザー ID の変更履歴を収集する方法

TechNet Flash をご購読のみなさま、ようこそ!  「あるユーザー ID の属性を間違えて変更してしまった!」なんてこと、ありませんか? Windows Server 2008 からサポートされた「ある種の監査ログ」には、ユーザー ID の変更履歴がしっかりと記載されています。今回は簡単な PowerShell スクリプトを使用して、監査ログに蓄積された ID の変更履歴を取り出す方法をご紹介します。 なお、これからご紹介するスクリプトを使用するには、以下の準備が必要です。 PowerShell を有効にする ディレクトリ サービスの監査を有効にする Active Directory オブジェクトの監査設定を変更する 【準備】 1.PowerShell を有効にする 管理者権限で PowerShell コンソールを起動し、以下のコマンドを入力して PowerShell スクリプトを使えるようにしてください。 Set-ExecutionPolicy RemoteSigned 2.ディレクトリサービスの監査を有効にする ユーザーIDの変更を追跡するには、Active Directory の監査のうち、「ディレクトリサービスの監査」を有効にする必要があります。有効にする手順は以下の通りです。 「サーバーマネージャー」を起動し、[機能] – [グループポリシーの管理] – [フォレスト] – [ドメイン] – [<ドメイン名>] – [Domain Controllers] を開く。 [Default Domain Controllers Policy]…