none
active directoryの脱却方法について RRS feed

  • 質問

  • 今オンプレのwindows server 2012 R2 2台でactive directoryを構成し、社内の端末(Mac、windows 10)の認証をしているのですが、脱却する場合はどのような作業が発生するのでしょうか?

    AADへの移行ではなく、AD自体の脱却です。

    今までADアカウントでログインしていた端末はADなくなればGPOが適用されなくなると思いますが、ログイン自体は出来ると思うのであまり負荷高くなく脱却出来る気もします。

    現状、ADが届かない社外からのログインは出来ています。
    それでも別途ローカルアカウントの用意が必要になるのでしょうか?

    影響度や実際の手順がよく分からず、アドバイスを頂きたいです。
    2020年7月16日 0:19

回答

  • チャブーンです。

    この件ですが、他の方からも意見が出ていますが、端的にいうと「今のままの状態」で永く使うのは難しいです。

    • ユーザー資格情報キャッシュによるユーザープロファイルの永続使用は不可能
      この状態では「パスワードの変更」が一切できません。今の時代、セキュリティリスクを考えると、このような運用は行えません。唯一の解決策は「ローカルアカウント」を作成して、それにユーザープロファイルを移行することです。
    • ファイルサーバー他他サーバーとの一元認証が不可
      Active Directoryを外した場合、ファイルサーバーと自分のアカウントのSSO認証ができなくなります。キャッシュであっても同じ扱いです。キャッシュが(社内に戻ると)キチンと動くのは社内のドメインコントローラーが再認証し、キャッシュを最新化するからで、ドメインコントローラーがなければできなくなるなるからです。
    • Macとの連携も不可
      MacがWindowsと連携して動作するのはActive DirectoryのLDAPやKerberosの機能と連携できるためです。これらがなくなれば、当然連携はできません。

    なのでワークグループにするのはそもそも奨められない、ということになりますが、それでもしたいというなら、以下の方法になるでしょう。

    • Windowsのワークグループ移行
      ドメインが存在する状態で、Windowsにローカルアカウントを作成し、したのような「プロファイル移行ツール」でプロファイルを移行します。そのあとドメインを離脱すればシアワセになれるでしょう。
      https://www.forensit.com/domain-migration.html
    • Macのワークグループ移行
      ドメインが存在する状態で、ターミナルからsudoでも使ってローカルアカウントを作成します。プロファイル移行ツールはありませんので、$HOMEにあるデータから必要な情報をあらかじめ抜いておく必要があります。基本的に新規利用のイメージになります。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2020年7月21日 12:18
    モデレータ
  • ADの廃止がやりたいことになります。

    プリンタはAD認証を使っておらず、DHCPはL3SWにて行い、WSUSもなく、ファイルサーバはgoogleドライブを利用している状況で、ADとしては単に端末にログインするだけの機能しかない状態です。
    ただ、ADにてDNS設定しているので、廃止する場合は社内でAD認証を使わない端末にDNS設定している「8.8.8.8」をAD認証端末にも追記して対応しようと考えています。

    AD廃止に伴う「すべての端末において設定の変更」は上記DNSくらいかと思いますが、
    他にもAD廃止後にADアカウントを使い続ける場合の弊害はあるのでしょうか?
    ローカルアカウントを全て作り直す必要があるとしたら、AD廃止は困難と考えています。

    • 回答としてマーク TR707 2020年8月5日 17:13
    2020年7月16日 6:04

すべての返信

  • ADからの「脱却」という言い方はふつう使わないので、どのような意味で用いられているのかわかりません。
    何を想定しているのか不明ですが、たぶんADの廃止なのでしょう。

    ADに何をやらせていたかにもよりますが、とりあえずすべての端末において設定の変更が必要になります。

    DNSはどうしますか?DHCPもADサーバにやらせてたのではないですか?
    プリントサーバやファイルサーバは認証できなきゃ使えません

    ドメインアカウントのままでのサインインはしばらくはできるかもしれませんがそれだけです。

    DNSがなくなったらインターネットにもつながらなくなります。

    業者さんにお任せするのが一番いいです。

    2020年7月16日 4:31
  • ADの廃止がやりたいことになります。

    プリンタはAD認証を使っておらず、DHCPはL3SWにて行い、WSUSもなく、ファイルサーバはgoogleドライブを利用している状況で、ADとしては単に端末にログインするだけの機能しかない状態です。
    ただ、ADにてDNS設定しているので、廃止する場合は社内でAD認証を使わない端末にDNS設定している「8.8.8.8」をAD認証端末にも追記して対応しようと考えています。

    AD廃止に伴う「すべての端末において設定の変更」は上記DNSくらいかと思いますが、
    他にもAD廃止後にADアカウントを使い続ける場合の弊害はあるのでしょうか?
    ローカルアカウントを全て作り直す必要があるとしたら、AD廃止は困難と考えています。

    • 回答としてマーク TR707 2020年8月5日 17:13
    2020年7月16日 6:04
  • ADを廃止してなぜADアカウント(ドメインアカウント)が使えると考えられているのかが疑問です。

    iwasaさんが書かれているとおり、一定期間は(デフォルトは、10回だったと思います)、ドメインアカウントでのログオンはできますが、期間が過ぎれば使えなくなるのでローカルアカウントの設定は、必須です。

    DNSにつきましてもTR707さんの環境が提示されていないので書かれていることでできるのかどうか誰もわからないと思います。

    通常のドメイン環境(AD環境)の場合、DNSは、DC(ドメインコントローラー)を設定すると思います。

    追記 外部DNSへは、DCのDNSでプロバイダのDNSへフォワーダを行うのが定石のようにおもいます。

    1台でも新規でworkgroup設定で試されることをお勧めします。





    • 編集済み Mr.Spock 2020年7月16日 8:32
    2020年7月16日 6:35
  • 廃止する場合は社内でAD認証を使わない端末にDNS設定している「8.8.8.8」をAD認証端末にも追記して対応しようと考えています。

    本題からそれますが、8.8.8.8 はGoogleが提供しているDNSですね。

    「つかえりゃいいじゃん」ということならそれまでですが、個人ならともかく、企業としてはトラフィックや負荷の分散のためにもプロバイダが提供するDNSを使うものです。

    「奇跡の分散システム」とも呼ばれるDNSの仕組みはみんなで守りたいものです


    • 編集済み iwasa 2020年7月16日 7:34
    2020年7月16日 7:29
  • フォーラムにご投稿くださいましてありがとうございます。

    この後の状況はいかがでしょうか。

    同じ問題を持っている人々に役に立つために参考になった投稿には「回答としてマーク」をご設定ください

    ご不明な点がございましたら、お気軽にお問い合わせください

     

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2020年7月21日 0:47
    モデレータ
  • グループポリシーなど ADDC 固有の機能は利用せず、単にアカウント管理(と認証)を行いたいのであれば、AzureAD Join に移行するのが良いかもしれません。

    ただしこの場合、他の方も書かれているようにオンプレミスのデバイス(ファイルサーバーやプリンター)に対する認証をどうするかは要検討でしょう(AD に参加できる NAS やプリンターは一般的ですが、AzureAD に参加できる NAS やプリンターは寡聞にして知りません)。


    Hebikuzure aka Murachi Akira

    2020年7月21日 0:54
  • チャブーンです。

    この件ですが、他の方からも意見が出ていますが、端的にいうと「今のままの状態」で永く使うのは難しいです。

    • ユーザー資格情報キャッシュによるユーザープロファイルの永続使用は不可能
      この状態では「パスワードの変更」が一切できません。今の時代、セキュリティリスクを考えると、このような運用は行えません。唯一の解決策は「ローカルアカウント」を作成して、それにユーザープロファイルを移行することです。
    • ファイルサーバー他他サーバーとの一元認証が不可
      Active Directoryを外した場合、ファイルサーバーと自分のアカウントのSSO認証ができなくなります。キャッシュであっても同じ扱いです。キャッシュが(社内に戻ると)キチンと動くのは社内のドメインコントローラーが再認証し、キャッシュを最新化するからで、ドメインコントローラーがなければできなくなるなるからです。
    • Macとの連携も不可
      MacがWindowsと連携して動作するのはActive DirectoryのLDAPやKerberosの機能と連携できるためです。これらがなくなれば、当然連携はできません。

    なのでワークグループにするのはそもそも奨められない、ということになりますが、それでもしたいというなら、以下の方法になるでしょう。

    • Windowsのワークグループ移行
      ドメインが存在する状態で、Windowsにローカルアカウントを作成し、したのような「プロファイル移行ツール」でプロファイルを移行します。そのあとドメインを離脱すればシアワセになれるでしょう。
      https://www.forensit.com/domain-migration.html
    • Macのワークグループ移行
      ドメインが存在する状態で、ターミナルからsudoでも使ってローカルアカウントを作成します。プロファイル移行ツールはありませんので、$HOMEにあるデータから必要な情報をあらかじめ抜いておく必要があります。基本的に新規利用のイメージになります。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2020年7月21日 12:18
    モデレータ