• ベストアンサー

windows server 2003のドメインについて

今2003を勉強しているのですが 「ドメインコントローラセキュリティポリシ」と「ドメインセキュリティポリシ」の違いがわかりません。 「ドメインコントローラセキュリティポリシ」はActiveDirectoryユーザとコンピュータのドメインコントローラのOUのグループポリシーの事ですよね。違ってますか? 合ってると解釈してだったら「ドメインセキュリティポリシ」はいったい何なんですか?設定は似たような感じがしますが。 わかりやすく各セキュリティポリシーの役割と違い、運用の仕方などを教えてください。それに関するHPでも構いません。 マイクロソフトのHPに行ってはみたものの用件を得ない説明で余計混乱しました。 よろしくお願いします。

質問者が選んだベストアンサー

  • ベストアンサー
回答No.10

No1~No7さん >DNSドメインとActiveDirectoryドメインの違いの把握ですね!! ADはDNSの機構を使用してドメインコントローラや、PCの名前解決を行っているだけです 根本の認識を改められたほうがよいかと思います フォレスト:ドメインツリーの集合体を示す(AD内で明示的に設定する項目はない。外部設計上の概念みたいなもの) 同一フォレスト内であっても、別のドメインツリーに所属するドメインと相互認証を行う場合は信頼関係を構築することが必要となる ドメインツリー:ルートドメインを筆頭に子ドメイン、孫ドメインと 続くツリー構造のドメインのこと ドメインツリー内ではお互いのドメインで信頼関係を結ぶ必要がなくなるというメリットがある ドメイン:ドメインについての認識はされていると思いますので省略する ドメインコントローラ:ドメインを管理するサーバーPCのこと 管理するのは自ドメインのみで、子ドメイン、親ドメインを含む ほかのドメインの管理は基本的にしない 子ドメインのDNSドメイン名の命名規則など:親ドメインがaaa.co.jpとなっている場合、 子ドメインはbbb.aaa.co.jpという形でサブドメイン名を付ける形態になる さらにその子ドメインになるとccc.bbb.aaa.co.jpという形でbbbの子という形でのドメイン名を付ける これ以上で何かご質問があれば別にスレッドを立ててくださるようお願いいたします

sei_sato
質問者

お礼

詳しいご説明ありがとうございます。私が疑問に思ってい事がぼんやりですけど分かってきました。何度も読み直して自分のモノにします。また調べて分からない事がありましたらスレッド立てる事になると思いますので解説お願いします。この度はありがとうございました。

その他の回答 (10)

noname#56715
noname#56715
回答No.11

ご指摘ありがとうございます

回答No.9

連続書き込みを失礼いたします この書き込みでは運用例などを記載します 先の書き込みにもありますがポリシーの適用順は ルート>OU>子OU>孫OU という形で、ルートに近い階層から順次適用されます 重複する設定項目等がある場合は後から適用されるポリシーで「上書き」されます よって、ドメイン全体に共通したポリシーをルートで定め、 各部署単位での共通ルールというのがあるのであれば、OUごとにポリシーを定めます この際、ドメインポリシーで設定されている項目 (例:パスワードは8文字以上、など)を設定していた場合に 子OU(この場合は各部署のOUですかね)でパスワードを12文字以上とポリシーで定めた場合、 コンピュータに反映される設定は「パスワード12文字以上」という設定になります。 ポリシーの適用順、同一設定項目に関するものは、あとから適用されるもので上書きされます ポリシーの設定項目で、「未構成」と「無効」の違いがわからない という方もいらっしゃいますが、 「未構成」はその名の通り設定をつつかない、自分より上位のポリシーで設定されているものがあればその設定を引き継ぐ といった意味があります 「無効」は上位のポリシーがどんな設定になっていても、自分のポリシーで「無効」とマーキングします このようなルールであるという認識をもたれた上で設計を行っていく必要があります あまり多量のポリシーを設定しますとログインに時間がかかるようになりますので できるだけシンプルな設計にするように心がけてください (1ポリシーの読み込みに約150kbのデータ通信をします)

回答No.8

ドメインコントローラセキュリティポリシー=ドメインコントローラーに適用されるポリシー (質問者様の認識で合致します) ドメインセキュリティーポリシー=ドメイン全体に適用されるポリシー つまり、ActiveDirectoryユーザーとコンピュータのルートに位置するポリシーになります (ユーザーOUや、ドメインに属するPC、メンバサーバーなども含む) よってドメインコントローラにのみ適用したいポリシーなどがある場合はドメインコントローラセキュリティポリシーで設定を行います 例:DCとクライアントコンピュータでパスワードの運用規定が異なる場合などにパスワードポリシーをそれぞれ設定する、など ドメインポリシーよりドメインコントローラポリシーのほうが優先されますので ドメインポリシーで仮に何かの設定がされていても、ドメインコントローラポリシーの設定が上書きして使用されます(ドメインコントローラに対しては) ポリシーの適用順ですが、 ルート>OU>子OU>孫OU という形でルートから順番に適用されます ご不明な点があれば補足をお願いいたします

noname#56715
noname#56715
回答No.7

もう一台Windows2003サーバが有れば、 現実として理解できるんだろうな (独り言)

noname#56715
noname#56715
回答No.6

またまた間違えました。 DNSドメインとActiveDirectoryドメインの違いの把握ですね!! 今までの投稿で、 ドメインセキュリティポリシーの設定 と ドメインコントローラセキュリティポリシーの設定 の違いが解りましたか?

noname#56715
noname#56715
回答No.5

ドメインとドメインコントローラの違い DNSサーバとActiveDiractoryサーバの違い 私もしっかりと把握したいと思います。

noname#56715
noname#56715
回答No.4

新しい子ドメインを作成する連続する名前空間を 1 つ以上のドメインと共有するドメインを作成する場合は、新しい子ドメインを作成します。つまり、新しいドメインの名前には、親ドメインのフル ネームが含まれることになります。たとえば、sales.microsoft.com は、microsoft.com の子ドメインになります。運用方法としては、フォレストのルート ドメインの子として新しいドメインを作成します。 [Active Directory のインストール ウィザード] を使用して親ドメインの下に新しいドメインを作成することで、新しい子ドメインを作成できます。新しい子ドメインの作成方法については、「新しい子ドメインを作成するには」を参照してください。 子ドメインを作成した後、Active Directory のフォールト トレランスと高い可用性のために、追加のドメイン コントローラを子ドメインに作成できます。詳細については、「追加のドメイン コントローラを複数作成する」を参照してください。 追加のドメイン コントローラを複数作成するドメインにドメイン コントローラが既にある場合は、そのドメインにドメイン コントローラを追加して、ネットワーク サービスの可用性および信頼性を向上することができます。追加のドメイン コントローラを追加すると、フォールト トレランスの提供、既存のドメイン コントローラ間での負荷分散、およびサイトに対するインフラストラクチャの追加提供に役立ちます。 1 つのドメイン内に複数のドメイン コントローラがあると、1 つのドメイン コントローラに障害が起きたり、ドメイン コントローラを切断する必要がある場合でも、ドメインを動作させ続けることができます。複数のドメイン コントローラを使用すると、クライアントが、ネットワークにログオンするときに、ドメイン コントローラに容易に接続できるようになるので、パフォーマンスも向上します。ネットワークを通して、またはバックアップ メディアから、追加のドメイン コントローラを追加できます。 ドメイン コントローラを追加する前に、既存のドメインに追加のドメイン コントローラを設定するために必要な要件と Active Directory について完全に理解する必要があります。詳細については、「チェックリスト : 既存のドメインに追加のドメイン コントローラを作成する」、および「追加のドメイン コントローラを作成するには」を参照してください。

sei_sato
質問者

お礼

詳しいご説明ありがとうございます。私が疑問に思ってい事がぼんやりですけど分かってきました。何度も読み直して自分のモノにします。また調べて分からない事がありましたらスレッド立てる事になると思いますので解説お願いします。この度はありがとうございました。

noname#56715
noname#56715
回答No.3

間違えましたすいません!! いい勉強になります!! 必要なドメイン コントローラの数を決定する 単一の LAN (local area network : ローカル エリア ネットワーク) を使用する小規模な組織では、1 つのドメインに 2 つのドメイン コントローラを配置するだけで、高い可用性とフォールト トレランスが得られる場合があります。ネットワークに多数のサイトを持つ大規模な組織の場合は、高い可用性とフォールト トレランスを提供するために、各サイトに 1 つ以上のドメイン コントローラが必要になります。 ネットワークが複数のサイトに分割されている場合は、各サイト内に少なくとも 1 つのドメイン コントローラを配置して、ネットワーク パフォーマンスを改善するようにします。ユーザーがネットワークにログオンするときに、そのログオン プロセスの一部として、ドメイン コントローラに接続する必要があります。クライアントが、別のサイトに配置されたドメイン コントローラに接続する必要がある場合は、ログオン プロセスに時間がかかる可能性があります。詳細については、「サイト間のレプリケーション」を参照してください。 ドメイン Active Directory では、管理者によって定義されたコンピュータ、ユーザー、およびグループのオブジェクトの集合を指します。これらのオブジェクトは、共通のディレクトリ データベース、セキュリティ ポリシー、および他のドメインとのセキュリティ関係を共有します。 DNS では、DNS 名前空間内のツリーまたはサブツリーを指します。多くの場合、DNS ドメインの名前は Active Directory ドメインと一対一に対応していますが、DNS ドメインと Active Directory ドメインとを混同しないようにしてください。 関連項目 : Active Directory, ディレクトリ データベース, ドメイン ネーム システム (DNS), オブジェクト ドメイン コントローラ Active Directory のフォレスト内で、Active Directory データベースの書き込み可能なコピーを格納し、Active Directory レプリケーションに参加し、ネットワーク リソースへのアクセスを制御するサーバー。管理者は、フォレストにある任意のドメイン コントローラでユーザー アカウント、ネットワーク アクセス、共有リソース、サイト トポロジ、およびその他のディレクトリ オブジェクトを管理できます。 関連項目 : Active Directory, 認証, ディレクトリ, フォレスト, 共有リソース 追加のドメイン コントローラを作成するには [スタート] ボタン、[ファイル名を指定して実行] の順にクリックし、「dcpromo /adv」と入力して [Active Directory のインストール ウィザード] を開きます。このウィザードでは、バックアップ ファイルを復元して追加のドメイン コントローラを作成するオプションが選択されています。 [オペレーティング システムの互換性] ページの情報を読み、[次へ] をクリックします。 Windows Server 2003 を実行しているサーバーに Active Directory を初めてインストールする場合は、[互換性に関するヘルプ] をクリックして詳細を確認してください。 [ドメイン コントローラの種類] ページで、[既存のドメインの追加ドメイン コントローラ]、[次へ] の順にクリックします。 [ドメイン情報のコピー中] ページで、次のいずれかの操作を行います。 [ドメイン コントローラからネットワーク経由]、[次へ] の順にクリックします。 [復元されたバックアップ ファイルから] をクリックし、復元するバックアップ ファイルの場所を入力するか、[参照] をクリックし復元されたファイルを検索します。次に [次へ] をクリックします。 [ネットワーク資格情報] ページで、この操作に使用するユーザー アカウントのユーザー名、パスワード、およびユーザー ドメインを入力し、[次へ] をクリックします。 このユーザー アカウントは、移行先ドメインの Domain Admins グループのメンバであることが必要です。 [データベースとログのフォルダ] ページで、データベースとログのフォルダをインストールする場所を入力するか、[参照] をクリックして場所を選択し、[次へ] をクリックします。 [共有システム ボリューム] ページで、Sysvol フォルダをインストールする場所を入力するか、[参照] をクリックして場所を選択し、[次へ] をクリックします。 [ディレクトリ サービス復元モード Administrator パスワード] ページで、このサーバーの Administrator アカウントに割り当てるパスワードを入力し、確認を行ってから、[次へ] をクリックします。 ディレクトリ サービス復元モードでコンピュータを起動するときは、このパスワードを使用します。 [概要] ページを確認し、[次へ] をクリックしてインストールを開始します。 コンピュータを再起動します。 注 この手順を実行するには、Active Directory の Domain Admins グループまたは Enterprise Admins グループのメンバであるか、適切な権限が委任されている必要があります。セキュリティを考慮するうえで最適な方法として、この手順を実行するときに [別のユーザーとして実行] を使うことを検討してください。 /adv スイッチが必要なのは、バックアップ ファイルを復元してドメイン コントローラを作成するときだけです。ネットワークを通して追加のドメイン コントローラを作成するときには不要です。 手順 3. で、ネットワークを通してドメイン情報をコピーするオプションを選択した場合は、このドメイン コントローラの所属先となるドメインのディレクトリ データすべてが、ネットワーク接続を通してコピーされます。必要に応じて、重要でないレプリケーションをキャンセルすることもできます。 手順 3. で、バックアップ ファイルの復元によってドメイン情報をコピーするオプションを選択する場合は、このメンバ サーバーを追加のドメイン コントローラとして追加するドメインにある、Windows Server 2003 を実行しているドメイン コントローラのシステム状態データのバックアップをあらかじめ作成しておく必要があります。次に、システム状態のバックアップを、Active Directory をインストールするサーバー上でローカルに復元する必要があります。[バックアップ] を使用してこれを行うには、[Restore files to: Alternate location] オプションを選択します。バックアップの復元の詳細については、"関連項目" を参照してください。 バックアップを作成したドメイン コントローラにアプリケーション ディレクトリ パーティションが含まれていた場合、そのアプリケーション ディレクトリ パーティションは新しいドメイン コントローラに復元されません。新しいドメイン コントローラにアプリケーション ディレクトリ パーティションを手動で作成する方法については、"関連項目" を参照してください。 グローバル カタログとなっているドメイン コントローラから取ったシステム状態データを復元した場合は、この新しいドメイン コントローラをグローバル カタログにすることもできます。 スマート カードを使用して、管理者資格情報を確認することもできます。スマート カードの詳細については、"関連項目" を参照してください。 Windows Server 2003, Web Edition を実行しているコンピュータに Active Directory をインストールすることはできませんが、メンバ サーバーとして Active Directory ドメインにコンピュータを参加させることができます。Windows Server 2003, Web Edition の詳細については、"関連項目" を参照してください。 ありがとう!!本当にいい勉強になります!!

noname#56715
noname#56715
回答No.2

サーバの役割管理のところの「ヘルプとサポート」です。

noname#56715
noname#56715
回答No.1

ヘルプとサポート→Active Directory→新しいフォレストを作成する ここを読むと、なんとなく違いがわかるよ。 ドメインコントローラは、フォレスト内のすべてのドメインを管理する。 ドメインは、フォレスト内の任意のドメイン。 と私は理解したが?

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. その他(ITシステム運用・管理)

関連するQ&A

  • WINDOWS SERVER 2003ドメインでのグループポリシーに関

    WINDOWS SERVER 2003ドメインでのグループポリシーに関しての質問です。 この正月に、社内の組織変更が大幅にあり、ユーザーの入れ替えが大きく発生します。 で、グループポリシーで設定した制限等を解除したいのですが反映されません。 何点もあるので具体例はなかなか出せないのですが、たとえば あるユーザーに対してスタートメニューにある「windowsUpdate」を表示させないようにしたのですが、そのユーザーの属するOUに対するポリシーを「未構成」にしても反映されません。 多少調べると、レジストリを書き換えてしまうようなポリシーに対しては「未構成」ではなく「無効」にしなくてはいけないとの記述があったのですが、とすれば、すべての制限項目に対して「有効」から「無効」にしたポリシーを全コンピューターと全ユーザーに対して適応させてからそのポリシーを消去して再度ユーザー構成に合わせた社内の組織変更後に合わせたポリシーを作成しなおしていくしか方法はないのでしょうか? そのほかにもUSBメモリの制限などコンピューターに対する制限も多々設定しております。 その場合も上記の方法しかないのでしょうか? これを超えるなにか効率的な方法はありませんでしょうか? 社内のLAN構成としてはおおまかに ドメインコントローラー・・・・・・2台(OSはすべてServer2003R2Standard) ファイルサーバー・・・・・・・・・8台(OSはすべてServer2003R2Standard) クライアントコンピューター・・・12台(OSはすべてXP Pro SP2) となっております。 どなたかお助けください。。。

  • OUのグループポリシーを適用させるには

    例えば、ドメインのグループポリシーでパスワードのポリシーを設定して、OU単位でドメインとは異なるパスワードのポリシーを設定したいのですが、OUで設定したパスワードのポリシーが適用されません。 色々と調査した所、ドメインのグループポリシーとOUのグループポリシーの両方が設定された場合は、OUのグループポリシーが適用されると書いてあるのですが・・・。 調査内容------------------------------- (1)ローカル・コンピュータのポリシー (2)サイトのポリシー (3)ドメインのポリシー (4)親OUのポリシー (5)子OUのポリシー (1)から(5)の順序でグループポリシーが適用される。 ---------------------------------------

  • ADでのWSUSの運用について

    現在ActiveDirectoryでのWSUS運用を計画していて、 ADにOUを作成してOU毎にWindowsupdateの管理を分けて 運用をしたいと思っています。 現在はADに特にOUはないのですが、新たに「WSUS_TEST」という OUを作成して、このOUのグループポリシーにWSUSの設定をしたい と考えています。 その際にOU「WSUS_TEST」に所属させるのは、AD内のComputersにある コンピュータを移動して所属させればよいのでしょうか? (Users内のユーザーは参加させる必要なし?) Domain名 |-Computers |-Uses |-WSUS_TEST(←新しく作ったOU。ここにComputersから移動させる?) |-etc… またこのOUのグループポリシーのWindowsUpdateの箇所の設定 (参照サーバの指定やWSUSのグループ指定、再起動の設定等) をしてあげれば、このOUにだけWSUSの設定が反映される 認識でよいでしょうか? すいませんがご教授くださいませ。

  • Active Directory ローカルコンピュータポリシーを初期状態に戻したい

    こんにちは 会社でW2K3 Server でActiveDirectoryを使用してドメインの管理を行っています。 調べたところ、 ActiveDirectoryのポリシーはDefault Domain Policyを直接変更せず、新規にポリシーを作成し、それをOUに付与する方法が望ましいようです。 今回、ドメインのポリシーを変更する予定でしたが、 一度既にDefault Domain Policyを変更しており、その設定内容が ローカルコンピュータポリシーに反映されています。 そのため、ローカルコンピュータポリシーが最終的に効いてしまい、どんなポリシーを作成しても有効になりません。 これをインストール時の綺麗な状態(初期状態)に戻すことは可能でしょうか? 或いは、現在のローカルコンピュータポリシーを無効になれば、 既存のOU単位で付与しているポリシーが有効になるのでしょうか? 宜しくお願いいたいます。

  • Windows Server 2008 R2でActive Direc

    Windows Server 2008 R2でActive Directoryを運用しています。 ドメイン作成時、既定で「Domain Controllers」などのOUが作成されますが、 ドメインコントローラーを格納するOUを別途作成すれば、 これは削除してしまっても問題ないのでしょうか?

  • セキュリティポリシー(ドメイン・ローカル)

    セキュリティポリシーについて教えて下さい。 ActiveDirectoryをインストールすると、ローカルセキュリティポリシーの代わりにドメインコントローラセキュリティポリシーが現れますが、これは、=ローカルセキュリティポリシーと考えてよいのでしょうか?また、domainへログオンした状態のクライアントでは、ローカルセキュリティポリシーに優先しドメインセキュリティポリシーが適用されるのでしょうか? それともローカルセキュリティポリシーは全く関係なくなるのでしょうか?また、このコンピュータ(ローカル)にログオンした場合はローカルセキュリティポリシーとドメインセキュリティポリシーの関係はどう適用されるのでしょうか?質問だらけで申し訳ありません。詳しい方がいらっしゃいましたら、ご教授ください。もしくは参考になるサイトを提示いただければ 自分で確認しますので、よろしくお願いいたします。

  • 2003server ドメインについて

    2003serverをDCに設定しております。 DC以外のマシンの起動画面はログオン先が「ドメイン」と「このコンピュータ」というふうにログオン先がドメインorローカルの選択ができるのにDCでは選択できないのは何故でしょうか?また、ワークグループからドメインに 移行したら、ローカルのAdministratorアカウントがそのままドメインコントローラのAdministratorアカウントになりました。となると、 DCにはローカルアカウントが存在しないという解釈でよいのでしょうか?

  • windows2003でのドメインのパスワードセキュリティポリシーについて

    windows2003でドメインサーバーを構築しました。 管理ツールの「Active Drectory ユーザーとコンピュータ」で ユーザを追加しようとしたところ、パスワードがセキュリティポリシー の要件を満たせないとのことでエラーとなりました。 私が入力したパスワードが単純すぎたようです。 そこで「既定のドメインコントローラセキュリティの設定」で アカウントポリシー>パスワードのポリシー、にて全ての ポリシーを未定義にしました。 これでパスワードがブランクにすることも可能になるはずです。 しかし相変わらずユーザーの追加時に複雑なパスワードを求められます。 OSを再起動しましたが、状況は変わりませんでした。 これはOSの不具合なのでしょうか。 それとも別のセキュリティポリシーを設定する必要があるのでしょうか?

  • ドメインコントローラのDNSについて

    Windows2008R2 を2台ドメインコントローラにして 運用中です ServerAを最初のドメインコントローラーに設定して DNSサーバとともに運用中です、 2台目のServerBにもDNSサーバーの機能を持たせたいと思い 役割の追加からDNSを選んで進めて行くとDCROMO.EXEを使用して DNSを追加してくださいと出ます、 DNS追加の目的は、ServerAがクラッシュしてもServerBのDNSを 使ってActivedirectoryを運用出来るようにするためです。 ここで質問を2点させていただきます 1、 DCROMO.EXEを使用してDNS追加する場合の注意点 2、 一般的な管理方法として、ドメインコントローラー2台を運用する際DNSはどのようにしているのでしょうか? どなたかお知恵をお貸しください。

  • Windows2003 ドメインセキュリティポリシー

    こんににちは。 Windows2003ADを構築するにあたり、 ドメインセキュリティポリシーと グループポリシーは別になるのでしょうか。 参考になるURLなどがあれば教えてください。 よろしくお願いします。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する