none
ActiveDirectory機能全般についての質問 RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    ActiveDirectoryサーバーの導入を検討しているのですが、

    何点か事前に教えていただければと思います。

    ①ADサーバーの醍醐味としてはアクセス権やパスワードなどの一元管理ということで合っていますでしょうか。

    (ADを導入されている会社でもADに参加していない人もいるという話をよくききます。

    ADを入れても、基本的にはファイルサーバーのアクセス権さえローカルについていれば

    社内グループウェアへのアクセスやインターネット接続の制御などはできないでしょうか。

    ②ファイルサーバーでアクセス権を設定する場合、ADにファイルサーバーが参加したら

    アクセス権設定の表示欄にADにいるユーザーが見えるという形であっているでしょうか。

    ③ADサーバーが障害で落ちてしまったとします。その場合ファイルサーバーへのアクセスがADユーザーに

    限定されている場合、キャッシュ等でアクセスすることはできるでしょうか?またキャッシュ期間の設定は可能でしょうか。

    (例 ・すでにADサーバーに認証を問い合わせ、ログインしているユーザーはどのくらいの間ADユーザーとしてのログインが続けられるか。

       ・これからADサーバーへ認証するクライアントは、サーバーが落ちてしまったら認証は不可能か)

    ④同じADユーザーで複数の端末からログオンすることは可能でしょうか。また制限をつけることもできますでしょうか。

    ⑤ADと同時にDNSサーバーを同居している場合、ADに参加しなくてもクライアントからDNSの動的更新は可能でしょうか。

    ご存知の方いらっしゃいましたら、ご教授いただければとおもいます。宜しくお願いします。

    2012年2月12日 0:53
    |

回答

  • Question
    サインインして投票
    1
    サインインして投票

    ①ADサーバーの醍醐味としてはアクセス権やパスワードなどの一元管理ということで合っていますでしょうか。

    何を「醍醐味」と感じるかは、人によって違うと思いますが、挙げられているユーザ情報の一元管理のほか、グループポリシーによる各種設定の一元管理も主要な特徴として考えてよいと思います。

    (ADを導入されている会社でもADに参加していない人もいるという話をよくききます。ADを入れても、基本的にはファイルサーバーのアクセス権さえローカルについていれば社内グループウェアへのアクセスやインターネット接続の制御などはできないでしょうか。

    趣旨がよくわかりません。

    ②ファイルサーバーでアクセス権を設定する場合、ADにファイルサーバーが参加したらアクセス権設定の表示欄にADにいるユーザーが見えるという形であっているでしょうか。

    合っています。

    ③ADサーバーが障害で落ちてしまったとします。その場合ファイルサーバーへのアクセスがADユーザーに限定されている場合、キャッシュ等でアクセスすることはできるでしょうか?またキャッシュ期間の設定は可能でしょうか。(例 ・すでにADサーバーに認証を問い合わせ、ログインしているユーザーはどのくらいの間ADユーザーとしてのログインが続けられるか。

    ADサーバはサーバを複数用意する形で冗長化するのが基本ですが、その前提で。

    キャッシュでのアクセスは可能で、時間の変更も可能です。詳細は http://technet.microsoft.com/ja-jp/library/dd362970.aspx の「[サービス チケットの最長有効期間] と [チケットの最長有効期間]」を参照してください。

       ・これからADサーバーへ認証するクライアントは、サーバーが落ちてしまったら認証は不可能か)

    不可能です(これが可能だったら、認証サーバとしての意味がありませんので)。

    ④同じADユーザーで複数の端末からログオンすることは可能でしょうか。また制限をつけることもできますでしょうか。

    複数端末からログオンでき、標準で制限をつけることはできません(ログオン可能なワークステーションを制限することはできますが)。

    ⑤ADと同時にDNSサーバーを同居している場合、ADに参加しなくてもクライアントからDNSの動的更新は可能でしょうか。

    一言でいえば、クライアントの実装、サーバの設定、「ADに参加」の技術的な定義などに依存します、としかいえません。

    なお、大半の質問については、実際にADを作ればすぐにわかると思います。試用版などもありますし、実際に運用するとなれば、自分でさわって設計しないとどうしようもないと思いますので、まずは自分で環境を作って色々確認することをお勧めします。

    • 回答の候補に設定 田中夢 2012年2月20日 1:35
    • 回答としてマーク 田中夢 2012年2月27日 1:55
    2012年2月12日 12:12
    |

すべての返信

  • Question
    サインインして投票
    1
    サインインして投票

    ①ADサーバーの醍醐味としてはアクセス権やパスワードなどの一元管理ということで合っていますでしょうか。

    何を「醍醐味」と感じるかは、人によって違うと思いますが、挙げられているユーザ情報の一元管理のほか、グループポリシーによる各種設定の一元管理も主要な特徴として考えてよいと思います。

    (ADを導入されている会社でもADに参加していない人もいるという話をよくききます。ADを入れても、基本的にはファイルサーバーのアクセス権さえローカルについていれば社内グループウェアへのアクセスやインターネット接続の制御などはできないでしょうか。

    趣旨がよくわかりません。

    ②ファイルサーバーでアクセス権を設定する場合、ADにファイルサーバーが参加したらアクセス権設定の表示欄にADにいるユーザーが見えるという形であっているでしょうか。

    合っています。

    ③ADサーバーが障害で落ちてしまったとします。その場合ファイルサーバーへのアクセスがADユーザーに限定されている場合、キャッシュ等でアクセスすることはできるでしょうか?またキャッシュ期間の設定は可能でしょうか。(例 ・すでにADサーバーに認証を問い合わせ、ログインしているユーザーはどのくらいの間ADユーザーとしてのログインが続けられるか。

    ADサーバはサーバを複数用意する形で冗長化するのが基本ですが、その前提で。

    キャッシュでのアクセスは可能で、時間の変更も可能です。詳細は http://technet.microsoft.com/ja-jp/library/dd362970.aspx の「[サービス チケットの最長有効期間] と [チケットの最長有効期間]」を参照してください。

       ・これからADサーバーへ認証するクライアントは、サーバーが落ちてしまったら認証は不可能か)

    不可能です(これが可能だったら、認証サーバとしての意味がありませんので)。

    ④同じADユーザーで複数の端末からログオンすることは可能でしょうか。また制限をつけることもできますでしょうか。

    複数端末からログオンでき、標準で制限をつけることはできません(ログオン可能なワークステーションを制限することはできますが)。

    ⑤ADと同時にDNSサーバーを同居している場合、ADに参加しなくてもクライアントからDNSの動的更新は可能でしょうか。

    一言でいえば、クライアントの実装、サーバの設定、「ADに参加」の技術的な定義などに依存します、としかいえません。

    なお、大半の質問については、実際にADを作ればすぐにわかると思います。試用版などもありますし、実際に運用するとなれば、自分でさわって設計しないとどうしようもないと思いますので、まずは自分で環境を作って色々確認することをお勧めします。

    • 回答の候補に設定 田中夢 2012年2月20日 1:35
    • 回答としてマーク 田中夢 2012年2月27日 1:55
    2012年2月12日 12:12
    |
  • Question
    サインインして投票
    0
    サインインして投票
    こんにちは。
    フォーラム オペレーターの田中夢です。
     
    たかはしもとのぶ さん
    参考になるアドバイスをありがとうございます。
     
    ness2013 さん
    質問を投稿されてからしばらく経過しましたが、その後 たかはしもとのぶ さんの投稿をご覧になっていただけましたか?
     
    今回のご質問につきましては、たかはしもとのぶ さんのアドバイスを投稿を参考にしていただけのではないかと思われますので、勝手ながら私のほうで  [回答としてマーク] とさせていただきますね。
     
     
    また、下記のサイトに Active Directory についての情報が記載されています。他にも検索すると沢山の参考資料が見つかると思いますので、検索してみてくださいね。
     
    <参考情報>
    - Active Directory
    http://www.microsoft.com/japan/windowsserver2008/r2/technologies/ad-main.mspx
     
    - Active Directory とは
    http://technet.microsoft.com/ja-jp/activedirectory/ff699017.aspx
     
    - Active Directory 関連ドキュメント
    http://technet.microsoft.com/ja-jp/activedirectory/ff631086.aspx
     
     
    今後とも TechNet フォーラムをどうぞよろしくお願いします。
    ---------------------------------------------------------------------
    日本マイクロソフト株式会社 フォーラム オペレーター 田中夢
    2012年2月27日 1:55
    |