オラクる。

oracle専門ブログにしてみようかな~っと

2013年09月

Windows Server 2008R2から登場したActive Directoryのゴミ箱機能を利用してみました。
これを使うことで、ADから削除したオブジェクトを復元することが出来ます。
なお、フォレストレベル、ドメインレベル、ともにWindows Server2008R2以上である必要があります。

・機能の有効化

1.スタートメニューから「管理ツール」→「Windows PowerShell用のActive Directoryモジュール」を選択します。

AD_000373
 
2.PowerShellのコマンドラインから以下のコマンドを入力し、機能を有効化します。

PS C:\Users\Administrator.AD1.001> Enable-ADOptionalFeature -Identity 'Recycle B
in Feature' -Scope ForestOrConfigurationSet -Target '<ドメイン名>'
警告: 'CN=Partitions,CN=Configuration,DC=contoso,DC=com' で 'Recycle Bin
Feature'
を有効にすると、元に戻せません。続行すると、'CN=Partitions,CN=Configuration,DC=
contoso,DC=com' で 'Recycle Bin Feature' を無効にすることはできなくなります。

確認
この操作を実行しますか?
対象 "Recycle Bin Feature" に対して操作 "Enable" を実行しています。
[Y] はい(Y)  [A] すべて続行(A)  [N] いいえ(N)  [L] すべて無視(L)  [S] 中断(S)
[?] ヘルプ(既定値は "Y"): 
 
3.ログオフして、再度ログインします。

・復元の手順

1.試しにユーザオブジェクトを削除してみます。

AD_000394

 2.PowerShellのコマンドラインから以下のコマンドを入力し、削除したオブジェクトが表示されていることを確認します。

PS C:\Users\Administrator.AD1.001> Get-ADObject -LDAPFilter "(Name=*)" -SearchBase "cn=Deleted Objects,DC=contoso,DC=com" -IncludeDeletedObjects

Deleted           : True
DistinguishedName : CN=Deleted Objects,DC=contoso,DC=com
Name              : Deleted Objects
ObjectClass       : container
ObjectGUID        : 8d225e99-4c4e-433a-afc7-aaea91fd1c64

Deleted           : True
DistinguishedName : CN=user4\0ADEL:80bfd4bd-ff7b-470c-adc7-428166c82a4d,CN=Dele
                    ted Objects,DC=contoso,DC=com
Name              : user4
                    DEL:80bfd4bd-ff7b-470c-adc7-428166c82a4d
ObjectClass       : user
ObjectGUID        : 80bfd4bd-ff7b-470c-adc7-428166c82a4d
 
3.Restore-ADObjectコマンドでオブジェクトを復元します。

PS C:\Users\Administrator.AD1.001> Get-ADObject -Filter {displayName -eq "user4"} -IncludeDeletedObjects | Restore-ADObject

4.削除されたオブジェクトが復元されたことを確認します。

AD_000395


コマンドベースなので、ちょっと面倒くさい・・・
通常のゴミ箱感覚で気軽に操作できたらいいですね
 

RODCをServer Coreにインストールしてみました。
Server CoreにADをインストールする場合は、応答ファイルを作成する必要があります。
今回は、あらかじめRODCインストール時の設定をエクスポートして利用しています。 
↓下記のような感じです。

[DCInstall]
; Read-Only Replica DC promotion
ReplicaOrNewDomain=ReadOnlyReplica
ReplicaDomainDNSName=contoso.com
; RODC Password Replication Policy
PasswordReplicationDenied="BUILTIN\Administrators"
PasswordReplicationDenied="BUILTIN\Server Operators"
PasswordReplicationDenied="BUILTIN\Backup Operators"
PasswordReplicationDenied="BUILTIN\Account Operators"
PasswordReplicationDenied="CONTOSO\Denied RODC Password Replication Group"
PasswordReplicationAllowed="CONTOSO\Allowed RODC Password Replication Group"
SiteName=Default-First-Site-Name
InstallDNS=Yes
ConfirmGc=Yes
CreateDNSDelegation=No
UserDomain=contoso.com
UserName=*
Password=*
ReplicationSourceDC=AD1.contoso.com
DatabasePath="C:\Windows\NTDS"
LogPath="C:\Windows\NTDS"
SYSVOLPath="C:\Windows\SYSVOL"
; Set SafeModeAdminPassword to the correct value prior to using the unattend file
SafeModeAdminPassword=
; Run-time flags (optional)
; CriticalReplicationOnly=Yes
; RebootOnCompletion=Yes

赤字部分はエクスポート時は何も記載されていません。
インストール直前に別途記載する必要があります。

さて、dcpromon /unattend:<応答ファイル名> でインストール開始です。

C:\Users\Administrator.AD2>dcpromo /unattend:c:\temp\attend.txt
Active Directory ドメイン サービス バイナリがインストールされているかどうかを確
認しています...
Active Directory ドメイン サービスのセットアップ

環境およびパラメーターを検証しています...

ウィザードはフォレストのドメインの一覧にアクセスできません。エラー:
ログオン失敗: ユーザー名を認識できないか、またはパスワードが間違っています。

C:\Users\Administrator.AD2>dcpromo /unattend:c:\temp\attend.txt
Active Directory ドメイン サービス バイナリがインストールされているかどうかを確
認しています...
Active Directory ドメイン サービスのセットアップ

環境およびパラメーターを検証しています...

----------------------------------------
次のアクションが実行されます:
このサーバーをドメイン "contoso.com" の追加の Active Directory ドメイン コントロ
ーラーとして構成します。

サイト: Default-First-Site-Name

追加オプション:
  読み取り専用ドメイン コントローラー: "はい"
  グローバル カタログ: はい
  DNS サーバー: はい

DNS 委任の更新: いいえ

ソース DC: AD1.contoso.com

パスワード レプリケーション ポリシー:
  許可: CONTOSO\Allowed RODC Password Replication Group
  拒否:  BUILTIN\Administrators
  拒否:  BUILTIN\Server Operators
  拒否:  BUILTIN\Backup Operators
  拒否:  BUILTIN\Account Operators
  拒否:  CONTOSO\Denied RODC Password Replication Group

データベースの場所: C:\Windows\NTDS
ログ ファイルの場所: C:\Windows\NTDS
SYSVOL フォルダーの場所: C:\Windows\SYSVOL

DNS サーバー サービスはこのコンピューターにインストールされます。
DNS サーバー サービスはこのコンピューターに構成されます。
このコンピューターは、この DNS サーバーを優先 DNS サーバーとして使用するように構
成されます。
----------------------------------------

開始しています...

DNS インストールの実行中...

次の操作を行うには Ctrl+C キーを押してください: キャンセル

DNS のインストール終了を待っています
.
DNS サーバー サービスが認識されるのを待っています... 0

DNS サーバー サービスの開始を待っています... 0

グループ ポリシー管理コンソールのインストールが必要かどうか確認しています...
.
ドメイン contoso.com のドメイン コントローラー AD1.contoso.com が見つかりました

.
サービス NETLOGON を停止しています

.
既存のフォレストを検査しています...
.
Active Directory ドメイン サービスをホストするためにローカル コンピューターを構
成しています
.
リモート AD DC AD1.contoso.com に、この Active Directory ドメイン コントローラー
の NTDS 設定オブジェクトを作成しています...

スキーマ ディレクトリ パーティションをレプリケートしています
.
構成コンテナーをレプリケートしました。
.
読み取り専用ドメイン コントローラーの状態オブジェクトをチェックしています。
.
読み取り専用ドメイン コントローラーのシークレットをレプリケートしています。

コンピューターの DNS コンピューター名のルートを contoso.com に設定しています

.
machine\system を保護しています

サービス NTDS を構成しています

.
ドメイン コントローラーの操作が完了しました


このコンピューターに DNS サーバー サービスを構成しています...

必要に応じて Active Directory Web サービスを有効にしています...

暗号化ファイル システム サービスの構成中です...
.
ドメイン "contoso.com" のこのコンピューターに Active Directory ドメイン サービス
がインストールされました。

この Active Directory ドメイン コントローラーは、サイト "Default-First-Site-Name
" に割り当てられています。サイトは Active Directory サイトとサービス管理ツールで
管理できます。

Windows Server 2008 および Windows Server 2008 R2 ドメイン コントローラーでは、
セキュリティ設定 "Windows NT 4.0 と互換性のある暗号化アルゴリズムを許可する" の
既定値が、より安全な設定に変更されています。この既定値は、Microsoft Windows およ
び Microsoft 以外の SMB クライアントが Windows Server 2008 または Windows Server
 2008 R2 ドメイン コントローラーに対してセキュリティ チャネル セッションを確立す
るときに、セキュリティの弱い NT 4.0 形式の暗号化アルゴリズムを使用することを許可
しないものです。このため、Windows Server 2008 または Windows Server 2008 R2 ドメ
イン コントローラーが提供するセキュリティ チャネルを必要とする操作やアプリケーシ
ョンは、セッションを確立できない場合があります。

この変更で影響を受けるプラットフォームは、Windows NT 4.0、Microsoft 以外の SMB
クライアント、強力な暗号化アルゴリズムをサポートしないネットワーク接続ストレージ
 (NAS) デバイスなどが含まれます。Windows Vista Service Pack 1 より古いバージョン
の Windows を実行しているクライアントでの操作にも、Active Directory 移行ツールや
 Windows 展開サービスで実行されるドメイン参加操作などに影響があります。

この設定の詳細については、サポート技術情報 (KB) の記事 942564 (http://go.microso
ft.com/fwlink/?LinkId=104751) を参照してください。

操作を完了するにはこのコンピューターを再起動する必要があります。

 無事インストール完了です。
再起動後、サーバはRODCに変化します。

Server coreにRODC・・・とてもセキュアなADです。 

Active Directoryを削除してみましょう。
削除にはdomain adminの権限が必要ですが、ドメインの最後のドメインコントローラーを削除する場合はenterprise adminも必要です。

AD_000397
 
インストール時と同様にdcpromoを実行します。

AD_000398

ウィザードが起動します。

AD_000399
 
削除しようとしているドメインコントローラーがグローバルカタログサーバーの場合、メッセージが出力されます。
クライアントがアクセスできる、その他のグローバルカタログサーバーが存在するかを確認します。

AD_000400
 
最後のドメインコントローラーの場合はチェックを入れます。

AD_000401
 
ドメインコントローラーから、ドメインのメンバーに格下げされます。
そのため、新しくLocal Administratorのパスワードを設定します。

AD_000402
 
設定内容を確認して、「次へ」でドメインコントローラーの削除が開始されます。

AD_000403

インストール時の画面と全く同じ

AD_000404

削除が完了しました。
この後の再起動は必須です。
再起動後はドメインのメンバーです。 

RODCの管理を行ないたい時、通常はdomain admins権限を与えますが、その場合ドメインコントローラー自体の管理者権限を与えてしまいます。
しかし、例えばRODCとファイルサーバが同居する場合でファイルサーバのみの管理を行ないたい場合、ドメインコントローラー自体の管理者権限は与えたくないけど、ドライバーの更新などの管理作業は行ないたい場合、「管理者の役割の分離機能」が有効です。
この機能を使うことで、ドメインコントローラーの管理者権限を与えずに、サーバの管理を行なうことが出来ます。

例えば、user2というユーザーにドメインコントローラーの管理を行なえない、管理者権限を与えてみたいと思います。
下記のようにコマンドを入力します。

C:\Users\administrator.CONTOSO>dsmgmt
dsmgmt: local roles
local roles: add contoso\user2 administrators
ローカルの役割を正しく更新しました。
local roles: show role administrators
        CONTOSO\user2

では、user2とdomain admins権限を与えたuser1の権限の違いを確認し見てみましょう。

AD_000395

user1はdomain admins権限を与えられていて

AD_000394

user2には与えられていない

AD_000395

AD_000396
 
user1の場合、サーバの管理作業も行えるし、ドメインコントローラーの管理作業も行なえます。
オブジェクトの新規作成を行なうためのメニュー項目が表示されています。

AD_000393

AD_000394
 
user2はサーバの管理作業は行なえるが、ドメインコントローラーの管理作業は行なえません。
user1と違って、オブジェクトの新規作成を行なうメニュー画面が表示されていません。 

通常、RODCにパスワードはレプリケートされません。
ユーザアカウントのパスワードは読み込み可能なドメインコントローラーにアクセスする必要があります。
そのため、RODCと読み込み可能ドメインコントローラー間でネットワークが切断されるとドメインにアクセスすることが出来なくなります。

しかし、設定でパスワードをRODCにレプリケートさせることが出来ます。
それがパスワードレプリケーションポリシーの設定です。
レプリケート元の読み込み可能ドメインコントローラーで設定します。

 AD_000385

「Active Directoryユーザーとコンピューター」を起動し、「Domain Controllers」からRODCを選択し、プロパティを選択します。

AD_000386

「パスワードレプリケーション」タブで現在、RODCへのパスワードのレプリケートを許可している、ユーザー、グループ、コンピューターアカウントがわかります。

AD_000387

パスワードをレプリケートしたいアカウントを追加したい場合は、追加ボタンを押下します。
まずは、許可するのか拒否するのかを選びます。

AD_000388

 ユーザー、グループ、コンピューターを入力します。

AD_000389
 
追加されました。

AD_000390
 
また、Allowed RODC Password Replication Groupにアカウントを追加することで、レプリケートを許可することも可能です。

AD_000391
 
また、レプリケートされたアカウントの一覧は詳細設定ボタンを押下して、「ポリシーの使用」タブを選択することでわかります。
 
AD_000392

「ポリシーの結果」タブでは、そのアカウントがパスワードのレプリケートを許可されているのか?を調べることが出来ます。 

このページのトップヘ