Windows Server 8のActive Directory：前進

年次のMicrosoft MVPサミットから戻ってきたばかりで、受賞者は開発者や講演者とコミュニケーションを取りました。 「ディレクトリサービス」セクション（私が専門とするカテゴリ）では、抜本的な変更について聞いたことはほとんどありませんでした。 通常、新しいオペレーティングシステムのリリースと、それがどれだけの大きさの関心を引くべきか。 しかし、今年、「新しいリリース」と「大きなリリース」の定義は、ADに安全に帰することができます。 Windows Server 8に組み込まれている認証とセキュリティの主要な変更点を確認します。



これらの変更は、革新的なものではなく進化的なものであることに注意してください。 Active Directoryでよく知られていることを拡張します。 マイクロソフトのプログラムマネージャーであるNathan Muggli氏はかつて次のように述べています。 当然、世界の企業の75％が位置するボートを揺することを望んでいる人はいません。 しかし、進化的な変更はもちろん必要であり、将来の製品改善の方向性を示すことができます。 Windows 8のIDとセキュリティでは、これらの変更にはデータ管理、AD、仮想化が含まれます。

データ管理

Windows Server 8の認証システムの変更について説明する前に、MicrosoftがWindows Server 2008 R2に追加した1つの変更、ファイル分類インフラストラクチャ（FCI）を指摘したいと思います。 おそらくあなたのように、この新しい機能は、識別システムではなくファイルシステムの機能であるため、私を避けました。 FCIが識別システムにどのように関連付けられるかについては少し後で説明しますが、最初にFCIについて説明します。

FCIを使用すると、ファイルサーバーのファイル分類プロパティを決定し、ファイルが置かれているフォルダーまたはこのファイルの内容に応じてファイルを自動的に分類し、ファイルの管理、たとえばアクセス可能な期間の設定を行うことができますファイルに、ファイルの分類に基づいて標準コマンドを設定し、ファイルサーバー上の分類プロパティの分布を示すレポートを生成します。 FCIを使用しない場合、エンドユーザー（コンテンツの所有者）が手動でファイルを分類したり、いくつかのアプリケーション（基幹業務）がファイルの分類プロパティを自動的に設定したりできます。 FCIを使用して、ファイルのコンテンツから社会保障番号などの機密キーワードまたはパターンを検索し、ファイルを機密データおよび個人データを含むものとして自動的に分類することもできます。



これで何が便利ですか？ FCIを使用すると、管理者は、たとえば、ファイルの分類と指定したポリシーに基づいて、高価なオンラインストレージから安価なストレージにデータを自動的に移動できます。 または、一定時間後にファイルにアクセスできないようにすることができます。 最初にこの機能をインストールし、次に管理ツールから実行することにより、ファイルサーバーリソースマネージャー（FSRM）ユーティリティからFCI設定を操作できます。 これは、クォータ、スクリーニング、およびストレージレポートを制御できるユーティリティと同じです。 この議論に関連するのは、FCIがWindows Server 8の真に主要なIDおよびセキュリティ機能であるダイナミックアクセス制御の基盤の1つであることです。



DACはサーバー8の最も強力な新機能の1つです。最も一般的なレベルでは、情報管理に関連しています。ファイルサーバーにあるデータの分類、このデータに対する高度な制御の取得、実証（たとえば、監査中）あなたがそのような制御を行使すること。 これは、データの爆発的な増加、外部からの脅威の増加、およびセキュリティギャップの作成で会社が被るコストによって生成されるITインフラストラクチャの重要なニーズになりました。 FCIは、ファイルを分類してタグを割り当てるメカニズムを提供するため、DACポリシーのアプリケーションに影響するため、DAC要素です。

Active Directory

また、DACプロジェクトの利点はADです。 もちろん、ファイルサーバー上のデータにタグを付けて分類することは良いことですが、新しいレベルの粒度に基づいてこのデータへのアクセスを制御できない場合はあまり役に立ちません。 このレベルでアクセスを制御するには、ファイルサーバーとADのローカルセキュリティ機関（LSA）に大幅な変更を加える必要があります。 これらの変更は基本的に重要であり、ADの将来を示すものであるため、変更は後で行い、ADの変更を検討します。



ファイルサーバー（および今後のOSリリースでアクセス制御リスト（ACL）をサポートする他のすべてのリソース）で高度なアクセス制御をサポートするには、ADはクレームをサポートする必要があります。 アプリケーションに精通していない場合、それらは単に認証の別の側面を表します。アプリケーションは、信頼できるソース（たとえば、ローカル認証局（CA）がレコード（たとえば、アカウント）に関して送信する情報（たとえば、メール）） 。 アプリケーションはすでに共通語の「クラウドID」であり、それらはフェデレーションテクノロジーの基本コンポーネントであり、クラウドサービスでローカルIDを安全に拡張することができます。 しかし、ADのServer 8以前は、アプリケーションは聞かれませんでした;属性をアプリケーションに変換するために、Active Directoryフェデレーションサービス（AD FS）のみに依存する必要がありました。 これらのアプリケーションのほとんどは、従来の組織アプリケーションがそれらを理解していなかったため、外部サービスによって消費されていました。 今では状況が変わり、ADもそれらに適応するように変化しています。 ADのこの変更は非常に重要であり、すべてのAD管理者はクラウドベースのIDが将来の作業の一部になることを理解する必要があります。



ADに関連するServer 8の機能強化に関して、AD開発チームが行った最大の改善は、ADの展開にかかる時間と労力を節約することでした。 ADフォーラムに時間を費やした人は誰でも、Adprep、Dcpromo、ドメインコントローラーの複製と仮想化、およびDNS展開関連のソリューションに関する展開の問題が最も一般的であることを知っています。 これらの変更は間違いなく進化のカテゴリに分類され、現在のAD機能向けに強化されています。



ドメインコントローラーの役割の更新と強化も大幅に改善されました。 ADチームは、組み立てられたMVPに「AdprepとDcpromoは死んでいる」と発表しました。 Dcpromoは、サーバーマネージャーと完全に統合されるActive Directoryドメインサービス構成ウィザードになりました。 ウィザードは使いやすいですが、より重要なことは、構成ウィザードにより作業の大部分が見えないようにして、プロモーションを可能な限り簡単にすることです。



ウィザードは、Adprep / forestprepおよび/ domainprepプロセスを自動的に処理します（必要に応じて手動で開始することもできます）。 元ADコンサルタントのDean Wellsは、現在Microsoft ADチームのメンバーであり、Adprepプロセスを管理者に公開するのは間違いであると指摘しました。 深刻な分析を増やすプロセス（質問に答えるために：「必要ですか？」）実装を開始する前に、AD環境で問題が発生した場合、増加は終了することすら考えませんでした。 また、一時的なネットワークの問題に対する耐性が強化されており、IFMオプションがいくつか改善されており、リモートで完全に対話できます。

仮想化

ADの展開を簡素化するもう1つの側面は、一種の「ボディアーマー」を備えた仮想ドメインコントローラーの作成で、これによりドメインコントローラーの複製のセキュリティが確保されます。 イメージバックアップまたは以前のスナップショットから仮想ドメインコントローラーを復元すると、標準の回復手順とは異なり、復元されたドメインコントローラーには次に関する情報が含まれていないため、ドメインまたはフォレスト内の分散データベース全体のリンク整合性が破損するリスク（USNリターン）が発生しました復元された。 Windows Server 8のActive Directoryドメインサービスは、ハイパーバイザーに関連付けられた一意の64ビット識別子（GUIDと同様）であるVM-Gen IDを導入しました。 VM-Gen IDの目的は、スナップショットをキャプチャして仮想マシンに転送することです。 この通知では、USNの返送を防ぐために、ドメインコントローラーで保護対策（識別子の記録の失敗-RID-やアピールIDのリセットなど）が行われます。 つまり、回復が容易になりました。



これらの仮想化に対して安全な機能強化により、安全でサポートされたオプションとなったドメインコントローラーを複製することには利点があります。 クローンを作成すると、ドメインの役割を増やすプロセスを最小限に抑えることができます。なぜなら、現在のドメインコントローラーから新しいドメインコントローラーを簡単に複製できるのに、なぜ新しいプロモーションを起動する問題に悩まされるからです。 さらに、それは非常に迅速です。



ドメインコントローラーのクローンを作成することには、まだ理解されていない分野でも大きな利点があります。破壊された場合の再植林です。 フォレストを復元する最新のサポートされている構成では、ドメインコントローラーのフォレストシード（ドメインごとに1つ）を復元し、ユーザーをサポートするのに十分なドメインコントローラーが環境にある限り、他のドメインコントローラーでDcpromoを実行します。 問題は、ネットワークロールの昇格を行う代わりにIFMからインストールする場合でも、Dcpromoには時間がかかることです。 森林の伐採は管理者にとって悪夢であり（履歴書を作成するイベントではない場合）、修復に費やす毎秒は数千または数百万ドルの損失を意味します。 ドメインコントローラーのクローンを作成すると、シードフォレストドメインコントローラーのクローンを簡単に作成できます。これは、IFMまたはネットワーク拡張よりもはるかに高速な操作です。 保存が可能な場合にのみ、Server 8 ADへの移行を正当化できます。