【Management】Active Directory Recycle Bin(ゴミ箱)を PowerGUI から操作

TechEdを明日に控え、そろそろ新宿から横浜に移動しようかなと思っていた矢先、こんなツールがリリースされていることを発見してしまいました…。 Active Directory Recycle Bin PowerPack http://www.powergui.org/entry.jspa?externalID=2461&categoryID=21 おなじみ、Quest Software 社の PowerGUI 上で動作する Active Directory Recycle Bin用管理パックです。 いやー仕事が早いですね…さすがです。 Active Directory Recycle Bin は、ご存じのとおり、Windows Server 2008 R2 からサポートされたActive Directoryのゴミ箱です。これまで難しかった、間違えて削除してしまったオブジェクトを簡単に復元することができます。 が!難点が1つ。標準ではGUIが無いんです…。 そんな悩みを解決するのが、この Active Directory Recycle Bin PowerPack + PowerGUI です。 せっかくですので、ちょっと使ってみましょう。 【セットアップ】 事前に、以下のソフトをセットアップしておく必要があります。 PowerShell Commands for Active Directory(x64 と x86 が分かれています) PowerGUI:現時点の最新版は 1.9.0 です PowerGUIのインストール時、Active Directoryライブラリをインストールすることを忘れないでください。 PowerGUIを動作させるのが Win7またはVistaの場合には、RSATのインストールが必要です。…

0

【Management】JoinDomainOrWorkGroup メソッドでドメインに参加させる

前回、以下の投稿をしました。 【Management】DMZでのドメイン参加はオフラインドメインジョインで! オフライン ドメイン ジョイン 機能を使用することで、書き込み可能なドメインコントローラーと通信することなくドメインに参加させることができます。 ただ、難点があります。それは、Windows Server 2008 R2 および Windows 7でないと djoinコマンドが使えないということ…。 じゃ、それ以前のクライアントをRODC環境のドメインに参加させるにはどうしたらよいでしょうか。 WMIの Win32_ComputerSystem クラスには、JoinDomainOrWorkGroup メソッドが実装されています。でもって、なんと、このメソッドには NETSETUP_JOIN_READONLY = 2048 という大変魅力的な引数が用意されているのです。 JoinDomainOrWorkgroup Method of the Win32_ComputerSystem Class http://msdn.microsoft.com/en-us/library/aa392154(VS.85).aspx つまり、きちんと事前に準備を行い、このメソッドを使用したスクリプトを実行すればRODCしか無い環境であってもドメインに参加することができます。 では手順を以下に示します。 1)コンピューターアカウントを作成する Active Directory ドメインに参加させたいクライアントのコンピューターアカウントを作成します。「Active Directory ユーザーとコンピューター」を使用してもいいですし、net user ComputerName$ /add /domain net computer ComputerName /add(※ すみません間違えました。緒方さんご指摘ありがとうございました!)でも問題ありません。net user コマンドを使用する場合には、コンピュータ名の最後に「$」をつけることを忘れないでください。 2)コンピューターアカウントのパスワードを設定する 普段、あまりやらない作業ですが、大した処理ではありません。以下のようにコマンドラインから実行します。ユーザーのパスワードを設定するときと同じです。 net user ComputerName$ PASSWORD…

0

RODC環境でドメインに参加させるスクリプト

RODC環境でドメインに参加するためのスクリプト 実行書式は以下の通り。/readonly を忘れずに。 c:\> joindomain.vbs /domain <domainname> /mchinepassword <事前に設定したコンピューターのパスワード> /readonly —————————————————————————————–  ‘ JoinScript.vbs‘ ‘     Script to join a computer to a domain.‘     ‘‘ sub Usage   wscript.echo ” |————————————————|”   wscript.echo ” |   Joins a computer to a domain or workgroup    |”   wscript.echo ” |————————————————|”   wscript.echo “”   wscript.echo “Usage: “   wscript.echo ” cscript JoinScript.vbs [/domain <domainname> |…

0

【Management】DMZでのドメイン参加はオフラインドメインジョインで!

たとえば、以下のような構成があるとします。 上記のDMZにある AppSV(アプリケーションサーバー) はActive Directoryドメインに参加していませんが、せっかくDMZにRODCが出来たので、ドメインに参加してアカウントをActive Directoryで一元管理することにしました。 さて、ドメインに参加するには、絶対に無視できない条件が2つあります。それは、 クライアントとドメインコントローラーが通信できること ドメインコントローラーに書き込みができること です。 AppSVと同じセグメントにはRODCがありますが、ご存じのとおりRODCには書き込むことができません。 一方、FWの向こう側にはRWDC(書き込み可能なドメインコントローラー)がありますが、今回は、AppSVとRWDCの通信は行えないという前提で話を進めましょう。そもそもAppSVから内部ネットワーク、特にドメインコントローラにアクセスさせたくなんて無いですよね。 つまり、上記2つの条件を全く満たしていないということになります。 この状態でAppSVをドメインに参加させようとすると、以下のようなエラーが発生します。   このAppSVを内部ネットワークに移動せずにドメインに参加する方法は2つあります。 方法1:Win32_ComputerSystemクラスの JoinDomainOrWorkgrouopメソッドをする 事前にコンピューターアカウントのパスワードを明に指定しておく必要があります。 ※2009/08/24 追記 本方法を使用した手順については以下をご覧ください。 【Management】JoinDomainOrWorkGroup メソッドでドメインに参加させる ※恐縮なのですが、この方式、検証していません。 メソッドの詳細は以下をご覧ください。 JoinDomainOrWorkgroup Method of the Win32_ComputerSystem Class http://msdn.microsoft.com/ja-jp/library/aa392154(en-us,VS.85).aspx ※サンプルスクリプトを使用したDMZでのドメイン参加については以下をご覧ください(英語です…) Deploying RODCs in the Perimeter Network http://technet.microsoft.com/ja-jp/library/dd728035(WS.10).aspx 方式2:オフライン ドメイン ジョイン機能を使用する クライアントがWindows 7またはWindows Server 2008 R2 であればオフライン ドメイン ジョイン(以降ODJ:Offline Domain Join)機能を使用して、ネットワークを使わないドメイン参加が可能です。 ODJの実行イメージは以下の通りです。…

0

【Management】RODC に DHCPサーバーをインストールするには

RODC(Read Only Domain Controller:読み取り専用ドメインコントローラー)の最も特筆すべき特徴は、当然ながら「書き込めない」ということです。 これにより、ドメインコントローラーの安全性がググッと高まることは間違いないのですが、「完璧にうまい話」というのは無いもので、そこにはトレードオフが発生します。 その1例として挙げられるのが、RODC への DHCPサーバーのインストールです。 DHCPサーバーを初めてインストールするときには、Active Directoryに以下の2つのドメインローカルグループを作成しようとします。 DHCP Users DHCP Administrators ※DHCPグループの詳細は、以下を参照してください。 DHCP グループ http://technet.microsoft.com/ja-jp/library/cc737716(WS.10).aspx この動作は RODC に DHCPサーバーをインストールしようとしたときも同様です。 しかしながら、RODCには書き込みができないため、以下のエラーが発生します。 対策は2つあります。 対策1)事前にRWDC側で2つのドメインローカルグループを作成しておき、RODCに複製しておく 対策2)DHCPサーバーインストール後に2つのドメインローカルグループを作成し、RODCに複製する インストールが終わったら、DHCP Users と DHCP Administrators に、必要に応じてメンバーを登録します。ちなみに、ドメインやコンピューターの管理者はDHCPの管理権限も持っているので、メンバーシップを追加する必要はありません。 それでは、よいManagement生活を!

0

【Management】RODCを導入するなら SYSVOL複製には DFSR がお勧めです

RODC(Read Only Domin Controller)のメリットの1つに、AD DSに関する全ての情報が読み取り専用であるという点が挙げられます。アカウント情報、スキーマ情報をはじめとして、SYSVOLや AD統合ゾーンとして格納されているDNSレコードも読み取り専用です。 このことがRODCの安全性を高めているわけですが、SYSVOLに関して注意しなければならない点があります。 いくらSYSVOLが読み取り専用であっても、ユーザーが管理者権限を持っていればSYSVOLフォルダに対して「作成」「削除」「変更」ができてしまいます。もちろん、RODC上のSYSVOLに対してです。 当然、 「え?それじゃ読み取り専用じゃナイじゃんか?」 という疑問が出てきますよね。 RODCのSYSVOLが読み取り専用と言われる所以は、 「RODCのSYSVOLへの変更は、他のDCに複製されない」 という機能が備わっているからです。 ここで注意していただきたいのが、管理者によるSYSVOLへの変更がもたらす影響は、FRS と DFSR とで異なる点です。 FRSはご存知ですよね。Windows Server 2003 以前では、SYSVOLの複製にはFRS(File Replication Service)が使われていましたが、Windows Server 2008からは、SYSVOLの複製に DFSR を使用できるようになりました。 ただし、以下の記事にも書かれているとおり、Domain Controller への昇格時に、ドメイン機能レベルが「Windows Server 2008 レベル」になっていなければなりません。 【Windows Server 2008】 Sysvol 複製を FRS から DFSR に移行するには Dfsrmig.exe コマンドを使用する http://blogs.technet.com/junichia/archive/2008/01/24/windows-server-2008-sysvol-frs-dfsr.aspx では、タイトルにあるように、なぜ DFSR が FRS に比べてお勧めなのか。 もちろん「新しいから」とか「複製が早いから」という理由もありますが、より完全なRODCに近づけるのが DFSR なのです。 その理由を以下に挙げておきますので、今後の設計の参考にしてください。…

0

【IDM】Windows Server 2003/XP を RODC に対応させるための修正モジュール

Windows Server 2008 から実装されたRODC(読み取り専用ドメインコントローラ)ですが、RODCが設置されているドメインのメンバーまたはドメインコントローラである Windows Server 2003 や Windows XPが正しく動作しないことがあります。 以下の症状が見られる場合には、修正パッチが提供されていますので適用してみてください。 ソース Description of the Windows Server 2008 read-only domain controller compatibility pack for Windows Server 2003 clients and for Windows XP clients http://support.microsoft.com/kb/944043/en-us ※上記リンクの日本語訳で、WOWが「おっと」と訳されている部分があります。既にフィードバックしてしまったので、見るなら今です!(笑) 症状1 クライアントがRODCのみにアクセス可能なネットワークにおいて、グループポリシーのWMIフィルタが正しく適用されない。加えて、Gpsvc.log ファイルに以下のメッセージが出力されている。 GPSVC(410.8ec) 15:17:45:808 FilterCheck: Found WMI Filter id of: filter ID GPSVC(410.8ec) 15:18:21:838 FilterCheck: Filter doesn’t exist. Evaluating…

0

【PowerShell】Out-GridView って便利!「Excel に貼り付け」とかが不要になる!

PowerShell 2.0 には Out-GridView というあたらしいコマンドレットが実装されています。 これ、すごく便利です。出力をGridViewという特別なGUIで表示できます。 シンプルな例として、dir コマンドによるファイル一覧を出力してみます。 通常は、以下の用に出力されます。 PS C:\> dir ここに、Out-GridViewへのフィルタをかましてみましょう。 PS C:\> PS C:\> dir | Out-GridView 上のような画面が表示されます。 これ、単なる「表示」だけじゃなく、フィルターもかませられるんですねぇ。 画面上にある「Add Criteria」をクリックしてください。以下のように、現在の属性一覧が表示されます。 いずれかをチェックすると、以下のように、フィルターとして画面に表示されます。 コレを使って、大量に表示される一覧から情報を絞り込むことができます。たとえば、以下のように。 上の例では、条件式として「Contains」を選択していますが、ほかにも、「does not contain」や「is empty」などが使えます。使える式は文字列や数値、日付など属性のタイプによって異なります。 さて、ここで、「同じ属性に対して、複数の条件を使いたいんだけど?」という要求が出てきますよね。 ご安心ください。[add criteria」でもう一度同じ属性をチェックすれば、以下のように 「or」 条件を付加することが可能です。 テキストファイルを読み込んで検索..なんてことも、もちろん可能です。   PowerShell 2.0 の新機能については、同僚 田辺氏のスライドもご覧ください!http://www.slideshare.net/shigeya/windows-powershell-v2-1267605

0

【TechEd】大変!7月30日は○○○○の締め切りです!

さて問題です。○○○○には何が入るでしょう? 答えは、TechEdセッションで使用する「スライド」です。はい、あと1週間足らずで、Tech・Ed 2009 で使用するセッションスライドを完成させ、事務局に提出しなければなりません。 はい、大変なのは、当の私です。 でもって、明日から8月2日まで出張という…。 どうしよう…、あぁ、こんなとき、ド○えもん がいてくれたらなぁ。 ということで、もうずいぶん前になりますが、TechEdのセッションスケジュールが公開されました。 私が担当するのは以下の2つです。 Track 1 . 次世代プラットフォーム T1-305 待ちに待った機能が登場! Windows Server 2008 R2 Active Directory とグループ ポリシーの新機能 8 月 28 日 (金) 15:15-16:25  ルーム B Track 6 . IT とビジネスの可能性 T6-303 Active Directory をインターネットから利用したいエンジニアのための 4 つのシナリオと設計指針 8 月 27 日 (木) 13:40-14:50 ルームB もう、気合入りまくっていますし、テンションも上がりっぱなしです。サーモグラフィーで私を見たら、きっと真っ赤です。 でもスライドのことを考えると…1ヶ月前に戻りたいです。

1

【ご父兄のみなさまへ】お子様のTech・Edご参加につきまして(ご案内)

ご父兄のみなさま (定額給付金だとちょッとつらい)「Tech・Ed Japan 2009」のご案内  梅雨空が恨めしいこのごろ、父兄のみなさまにおかれましては益々ご健勝のこととお慶び申し上げます。 さて、7月といえば8月でございますが、8月といえばTech・Ed(テック・エド)と世間の相場は決まっているとかいないとか。10年前に他界した祖母の遺言に書かれたTechEdの文字は、とても力強く、そしてやさしさに満ちたものでした。 昨年のTech・Ed は多くのお子様にご参加いただき、大変盛況のうちに終了いたしました。一回りたくましく成長したお子様の姿をご覧になられたご父兄のみなさまからは、多くの感謝のことばをいただいております。 ーよせられた感謝の言葉(一部)- 「個人用印鑑 実印/銀行印/認印の印鑑3本セット(桐箱入り) 天然特選象牙製 を買うかどうか悩んでいたのですがTech・Edにしてよかったです!」 「新松戸駅から徒歩5分、1K 高い天井ロフト付 に引っ越すかどうか悩んでいたのですが、TechEdに参加してよかったです!」 「めずらしいデザインのブーツ カーフ仔牛革 の ピンクかブルーのどちらを買うか悩んでいたのですが、テックエドに参加してよかったです!」 「あの人と結婚するべきかどうか悩んでいたのですが、Tech・Edに参加してよかったです!」 「初孫の名前をどうしようか悩んでいたのですが、テックエドに参加してよかったです!」 また、是非来年も開催してほしいとのご要望を、実に多くみなさまよりいただきました。 そこで、来る8月26日(水)から28日(金)の3日間、みなとみらい パシフィコ横浜にて恒例 Tech・Ed を開催する運びとなりました。 今年のTech・Edでは、より多くのお子様に楽しんでいただくため、とてもお得な特典をご用意しております。 7月17日までにお申し込みいただければ早期割引で \83,530-(税込) 参加者全員にTechNet Direct サブスクリプション 進呈 (\39,000 – 相当) 参加者全員に 製特高級バッグ をプレゼント(\??相当) もちろん、昨年ご参加いただいたお子様も楽しめるよう、工夫されたプログラムにてお待ち申し上げております。 お子様の Tech・Ed へのご参加を希望されるご父兄のみなさまは、いますぐ、インターネットよりお申し込みください。   ※ご注意:上記文章にはフィクションが含まれているとかいないとか

2