「ローカル管理者」のパスワード管理、どうする?――LAPSを使ってみよう!:Active Directoryによるローカル管理者のパスワード管理(1) 過去に大規模な情報漏えい事件の要因にもなった「PCのローカル管理者パスワード」を効率的に管理するためのツール「Local Administrator Password Solution(LAPS)」の使い方を紹介します。 「ローカル管理者のパスワード」、どうやって管理する? 2015年、日本年金機構において大規模な個人情報漏えい事件が発生しました。その詳細は2015年8月20日に内閣サイバーセキュリティセンターが発表した「日本年金機構の個人情報流出事案に関する原因究明調査結果(pdf)」にまとめられています。この報告書の中で、短時間に広範囲の端末へ被害が拡大した技術的要因の1つは、「ローカル管理者権限のID・パスワードが同一であったことを悪
Gartner 社から発表された Magic Quadrant(マジック クアドラント) によれば、Azure AD Premium が IDaaS(Identity and Access Management as a Service)部門で Leader 枠に位置づけられています。 Gartner からリリースされているレポート(無償で読めます)によれば、IAM 分野における IDaaS の採用率は 2020 年までに 40% に上るとみられており、今後ますますクラウド上での IAM に注目が集まりそうです。 Gartner による分析では、IAM を大きな 3 つの機能の集合体であるととらえており、これらの機能が B2B や B2C を問わずさまざまなシナリオで動作することが前提となっています。 IGA(Identity and Governance Management) 少なくと
そうなると、当然出てくる疑問があります。 「ママ、もしかしたらオンプレミスの Active Directory っていらなくなるんじゃない?」 「うーん、どうなのかしら?」 「だってさ、OpenID Connect もしゃべれないのよ!」 「そうね。Authorization Code Grant も Public Client だけだしねぇ。」 「そうそう! こんなんじゃ、誰もオンプレミスで OAuth 2.0 なんて使わないじゃない!」 「今晩、パパに相談してみようかしら」 おっしゃるとおり、Windows Server 2012 R2 では Azure AD のように OpenID Connect がサポートされていませんし、 OAuth 2.0 のグラントタイプも Authorization Code Grant for Public Client のみです。 このまま放置すると、
カリスマITトレーナーが見てきたActive Directory 15年の変遷:過去、現在、そして未来へ! AD進化の歴史を振り返る(1/4 ページ) @IT誕生と同じ2000年に登場し、今年で15周年を迎える「Active Directory」。Windows 2000 Serverの“目玉機能”として搭載され、今現在も企業IT基盤として重要な役割を果たしている。15周年を機会に、あらためてActive Directoryの進化を確認してみたい。 マイクロソフトの「Active Directory」はビジネスを支えるIT基盤として、15年という長期間、多くの企業で使われてきた。その間、新たな機能の追加や拡張で時代の要請やビジネス環境の変化に対応してきたが、基本的な部分に大きな変更はない。それだけ当初の設計が優秀だったということだろう。 本稿では、IT管理者の方々がそうしたActive D
「グループポリシー」で設定できることは多々あるが、どんな組織でも必ず考慮しなければならないのがセキュリティだ。今回は、セキュリティの強化でぜひ活用したいグループポリシー設定を紹介する。 連載目次 セキュリティ設定にグループポリシーが有効な理由 グループポリシーはActive Directoryドメインに参加しているユーザー/コンピューターに、さまざまな設定を一括で適用できる機能である。特に、複数の設定を一つにまとめた「グループポリシーオブジェクト(GPO)」を対象のドメインにリンクすれば、ドメインに参加している全てのユーザー/コンピューターにその設定が反映される。つまり、組織内(ドメイン内)の全ユーザー/コンピューターに漏れなく設定を強制することができるのだ。 これは、組織でセキュリティを考える上では非常に重要である。なぜなら、セキュリティ対策は一部のコンピューターだけではなく、組織の管理
ASUSTOR NASキットを導入しようとしている人のほとんどは3つに分類される。1つは初めてNASを導入する人。もう1つはすでに導入している他社製NASから乗り換える人。そして3つめがWindowsサーバから乗り換える人だ。 連載第2回ではWindowsサーバから乗り換える人が気をつけるべきポイントを紹介していく。 仕事で使うNAS 連載第1回:ビジネス向けNAS選びで注目したい8つのポイント Windowsサーバの用途をおさらいする Windowsサーバはさまざまなサーバ向けサービスを提供するサーバOSだ。それに対して、NASキットはその名のとおり「Network Attached Storage」専用機を出自としながら、多機能化を進めていったネットワークアプライアンスである。 今までWindowsサーバをどういった用途で使っていたかによってWindowsサーバを完全に置き換えるのか、
連載目次 Active Directoryドメインの再編とオブジェクトの移行 Active Directoryドメインの再編とオブジェクトの移行は、ドメインを新たに作成し、ツールを使って段階的にオブジェクトを移行する方法である。オブジェクトの移行に使用するのは、次の2つのツールになる。 オブジェクトの移行:Active Directory Migration Tool(Active Directory移行ツール:ADMT) パスワードの移行:Password Export Server(PES) 今回は、Windows Server 2012 R2で構成したドメインに、オブジェクトとパスワードを移行する。オブジェクトの移行ツールとして「ADMT 3.2」を使用するのだが、現状ではADMT 3.2はWindows Server 2012 R2に対応していない。そのため、いったんWindows
本連載では「Active Directoryとは?」「なぜ、Active Directoryを使う必要があるのか?」などをあらためて考察し、より効果的に運用するための方法を探っていく。 連載目次 Active Directoryを使う理由とは? 「十年一昔」とはよく使われる言葉だが、ITの世界における10年は十分過ぎるくらいに昔を指す。 2000年にリリースされたWindows 2000 Serverの目玉機能として登場した「Active Directory」は、現在までに多くの企業に導入されている。Windows Serverのアップグレードを繰り返しながら、10年以上経過しているところもあるのではないだろうか。初期導入からかなりの年月が経過したActive Directoryでは、最初に設計した担当者や運用管理者が入れ替わり、当初の設計意図とはかけ離れたものになっている可能性もある。
Windows AzureのActive Directory無料版やBiz Talkなどが正式版に:Windows Azure情報アップデート 米マイクロソフトは、「Windows Azure Active Directory」の無料版を正式に提供開始し、同プレミアム版のパブリックプレビューを始めると発表した。「Windows Azure Biz Talkサービス」と「Windows Azure Traffic Manager」も、正式版として提供することを明らかにした。 米マイクロソフトは2013年11月21日、Windows Azureで「Windows Azure Active Directory」の無料版を正式に提供開始し、同プレミアム版のパブリックプレビューを始めると発表した。さらに、クラウドベースの統合サービス「Windows Azure Biz Talkサービス」と、負荷分散
(2)DNSサーバ側の問題点の確認 次に、DNSサーバの状態について、以下のポイントを確認しましょう。 自動的に登録されるAAAAレコードと手動登録が必要なAAAAレコード 逆引きゾーンの必要性 DNSサーバ、dc001に登録されているリソースレコードを確認します。WindowsのActive Directory環境では、デフォルトでダイナミックDNS(DNS動的更新)機能が有効化されています。このため、リンクローカル以外のIPv6アドレスがWindowsコンピュータに自動または手動で割り当てられると、図2のようにAおよびAAAAリソースレコードも自動的に登録されます。しかし、ネットワークデバイスはダイナミックDNSに対応していないため、ネットワークデバイスのリソースレコードは登録されません。 次に、現在のゾーンを確認します。DNSでは、ホスト名を基にIPアドレスを調べるときに使うゾーンを
「各社員の PC の Windows の管理者パスワードは 16 文字くらいの複雑なものにしているので、たとえ 1 台の PC の HDD から NTLM ハッシュ (MD4 ハッシュ) が盗まれてもブルートフォース攻撃で元のパスワードは導出できず、安全だ。」と考えて、多数の各社員の PC に同一の管理者パスワードを設定している企業のシステム管理者は多い。しかし実際にはいずれか 1 台の PC から管理者パスワードの MD4 ハッシュが攻撃者に読み出された時点でアウトである。攻撃者にとって不正ログインに必要なのは MD4 ハッシュのみであり、平文パスワードを逆算する必要はない。MD4 ハッシュの入手に成功した攻撃者は、企業内で同一の管理者パスワードが設定されてある他の PC すべてに管理者権限で侵入することができるようになる。現状、企業の情報システム部門は、多数の社員用の Windows
Active Directoryの機能拡張などを公開、クラウド輸出規制の法解釈が明確に 2013年6月下旬~7月中旬の更新情報 7月中旬に開催したパートナー企業向けカンファレンス「Microsoft Worldwide Partners Conference 2013」で、クラウドサービス関連の最新情報やWindows Azureの新機能などを発表しました。一方、日本国外のデータセンターで提供されているクラウドサービスを利用する際の解釈が公開され、許可申請の要否が明確になりました。 Active Directoryの機能拡張、SQL DBのプレミアム版を公開 全世界のマイクロソフトパートナー企業に向けたカンファレンス「Microsoft Worldwide Partners Conference 2013」を米ヒューストンで2013年7月7~11日(現地時間)で開催しました。マイクロソフト
Active Directoryサーバー機能搭載のOSS Samba 4.0リリース、Microsoftもテストに協力 Samba Teamは2012年12月11日(現地時間)、Samba 4.0を正式リリースした。4.0ではActive Directoryサーバー機能を搭載した。Sambaは、LinuxなどのUNIX互換OS上で、Windows互換ファイルサーバー機能およびディレクトリサーバー機能を提供するオープンソースソフトウエア(OSS)。 「Active Directory互換サーバー機能は、Microsoftが公開したドキュメントと、同社のエンジニアによる相互運用性テストへの協力を得て開発された」(Samba Team)。既存のActive Directoryサービスに統合できるという。MicrosoftのWidnows Server担当開発ディレクターThomas Pfenni
Active Directory (AD) のドメインコントローラー (DC) をハードウェア老朽化に伴い、新規ハードウェアを購入しセットアップを行うというシナリオを実施する際に必要となる基本的な作業について少しまとめてみたいと思います。 ■初期の構成 本当は DC を複数台用意したほうが良いのですが今回は 1 台のみ準備をしています。 OS は Windows Server 2003 R2 を使用しています。 この環境に DC を追加して入れ替える流れを見ていきます。 Windows Server 2000 ~ Windows Server 2008 R2 までは [dcpromo] を実行して AD のインストールウィザードを開始します。 Windows Server 2012 以降はサーバーマネージャーを実行します。 ■AD の準備 同一の OS のバージョンを使用した DC を追加
Join the official community for Google Workspace administrators In the Google Cloud Community, connect with Googlers and other Google Workspace admins like yourself. Participate in product discussions, check out the Community Articles, and learn tips and tricks that will make your work and life easier. Be the first to know what's happening with Google Workspace. ______________ Learn about more Goo
本連載では、主にWindows Vista/Windows 7/Windows Server 2008/Windows Server 2008 R2を対象としています。Windows XPやWindows 2000 Server/Windows Server 2003については、以下の旧記事を参照してください。 連載「Windowsネットワーク時刻同期の基礎とノウハウ」(2005年版) 前回は、NTPの動作原理とWindows OSにおける時刻同期機能の基礎について解説した。今回はActive Directory環境とワークグループ環境それぞれで、各Windowsマシンがどのように時刻同期を行うのか、どのように設定すれば理想的な時刻同期を実現できるのか、具体例を挙げながら解説する(Windows Server 2008 R2のNTPサーバを対象とする)。 Windows Server 20
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く