ここは知っておくべき!Windows Server 2008技術TIPS

第3回 Active Directoryでの新機能

この記事を読むのに必要な時間:およそ 3.5 分

「きめ細かなパスワードポリシー」とは

従来の2003までのActive Directoryの場合,パスワードポリシーはドメイン単位でのみ設定ができました。

たとえば,一般ユーザであっても管理者であっても,同じレベルでパスワードの長さや変更期間を設定する必要がありました。管理者だけは頻繁にパスワードを変えてセキュリティ性を高めたいと考える場合には,ドメインを分けるしかありませんでした。

2008では「きめ細かなパスワードポリシー」という機能によって1つのドメイン内でも複数のパスワードポリシーを定義することが可能となっています。対象となるオブジェクトは,ユーザオブジェクトやグローバルグループ単位で,コンピュータオブジェクトやOUは対象外となっています。

ただし,設定は少し手間がかかります。方法としてはADSIエディタ,もしくはLdifdeツールを使う2つが用意されています。

ADSIエディタを使う場合

①「adsiedit.msc」でエディタを起動
②ドメインに接続し,「CN=System」,「CN=Password Settings Container」を順に選択
③オブジェクトを作成し,「msDS-PasswordSettings」クラスを選択
④目的の属性を設定
 例:
 msDS-MinimumPasswordLength(パスワードの長さ)
 msDS-MaximumPasswordAge(パスワードの有効期限)
⑤属性の編集から,適用するユーザやグループを選択

図6 ADSIエディタ

図6 ADSIエディタ

Ldifdeツールを使う場合

①以下のようなldifファイルを作成(一部省略)
dn: CN=PSO1, CN=Password Settings Container,CN=System, DC=dc1, DC=test, DC=com
changetype: add
objectClass: msDS-PasswordSettings
msDS-MaximumPasswordAge:-1728000000000 ※	→有効期間2日
msDS-MinimumPasswordAge:-864000000000 ※	→変更期間10日
……
msDS-PSOAppliesTo:CN=user1,CN=Users,DC=dc1,DC=test,DC=com
時間関連の値はI8形式という100ナノ秒間隔を負の値で指定のこと。
②次のコマンドをコマンドプロンプトで入力し,ldifファイルをインポートする
ldifde ?i ?f  XXXXX.ldf

「ふりがな」機能とグループポリシーのキーワードフィルタリング

続けて細かい変更点ですが,とても便利だと感じた2つの機能をご紹介します。

日本のActive Directory環境向けに「ふりがな」機能が追加されました。従来のActive Directoryではふりがなに対応していなかったために,正しくユーザオブジェクトを並べ替えることができなかったり,検索に手間取っていました。

2008ではユーザオブジェクトのプロパティに「フリガナ」タブが追加され,並べ替えや検索の対象となっています。

図7 ふりがなの設定

図7 ふりがなの設定

また,グループポリシー管理エディタ(gpedit)では,キーワードによるフィルタリングができるようになりました。GPOのタイトルや説明文などに対して,フィルタを実行できるので大量のGPOから設定したいオブジェクトを手早く見つけることが可能です。

図8 gpeditフィルタリング設定

図8 gpeditフィルタリング設定

フィルタを実行した場合には,各ポリシーのフォルダがフィルタ表示されていることがアイコンによってわかるようになっています。

図9 フィルタ実行後の表示

図9 フィルタ実行後の表示

今回ご紹介した新機能の他にも「ディレクトリのアクセス監査」といった,オブジェクトに対する新旧2つの値をログとして残すことが可能となったり,AD DSが再起動できるようになっています。

著者プロフィール

安藤奈帆子(あんどうなほこ)

マイクロソフト認定トレーナー(パソナテック所属)として,ITプロフェッショナル向けコースを担当するほか,教育企画・開発を担当。

Microsoft Certified Trainer Award 2006新人賞 受賞
Microsoft Certified Trainer Award 2009優秀賞 受賞

パソナテックMicrosoft University
URLhttp://www.pasonatech.co.jp/msu/

コメント

コメントの記入