にわか管理者のためのWindows Server 2012入門
Windows Server 2012はWindows Server 2008の機能強化を引き継いで、リモートブランチでの運用を想定した「読み取り専用ドメインコントローラ」(以下RODC : Read Only Domain Controller)の機能を用意している。Windows Server 2012でも基本的にはWindows Server 2008と同じ考え方で運用できそうだが、導入手順に若干の違いがあるので、そこに重点を置いて解説する。
RODCの構成
RODCは「読み取り専用」で、既存のドメインコントローラから一方通行でActive Directoryデータベースを受け取って動作する。だから、少なくとも1台は(RODCではない)ドメインコントローラが必要になる。そこに追加ドメインコントローラを加える際に、RODCにするかどうかを指定するという流れである。
そのため、「Active Directoryドメインサービス構成ウィザード」を起動して、最初の画面で[既存のドメインにドメインコントローラーを追加する]を選択、[ドメイン]には、追加先となるActive DirectoryのドメインDNS名を入力するところまでは同じだが、その次の画面で[読み取り専用ドメインコントローラー(RODC)]のチェックをオンにしなければならない点が異なる。
すると、その次に現れる画面はRODCに特有のもので、「管理者アカウントの委任設定」「パスワードのレプリケートを許可するアカウント」「パスワードのレプリケートを拒否するアカウント」の指定を行う。
その後は、Active Directoryデータベースのコピー元指定、データベース/ログ/システムボリュームのパス指定、確認画面、前提条件のチェックと進むことになるが、これは通常の追加ドメインコントローラと同じである。
パスワードレプリケーションポリシーについて
既定値では[Allows RODC Password Replication Group]だけにパスワードのレプリケート(複製)を許可しており、これはWindows Server 2008と同じである。このグループに所属しているメンバーについては、ログオン時に入力したパスワードのキャッシュ情報をRODCが保持するという意味になる。
一方、明示的に拒否対象として既定値で登録してあるグループは、以下のものである。
・BUILTIN\Administrators
・BUILTIN\Server Operators
・BUILTIN\Backup Operators
・BUILTIN\Account Operators
・<ドメイン名>\Denied RODC Password Replication Group
もちろん、許可と拒否のいずれについても、[追加][削除]をクリックすると表示するダイアログでユーザーやグループを指定して、対象を変更することができる。
※ 本記事は掲載時点の情報であり、最新のものとは異なる場合がございます。予めご了承ください。
連載目次
関連リンク
ダウンロードBOXに入れる
記事をダウンロードBOXに追加します。よろしいですか?
ブックマーク
記事をブックマークに追加します。よろしいですか?
-
[2021/01/19 08:00] サーバ/ストレージ
-
[2021/01/15 08:00] サーバ/ストレージ
-
[2021/01/14 09:00] 開発ソフトウェア
-
$side_seminar_count = $i+1; ?>
-
1/26(火)15:00~17:00
予期せぬ攻撃にも動じないために「セキュリティレジリエンス向上の具体策」
$side_seminar_count = $i+1; ?>
-
1/27(水)15:00~16:50
Kubernetes時代のインフラ構築指針~オンプレミス回帰のその先へ~
$side_seminar_count = $i+1; ?>
-
2021年1月27日(水)14:00~15:00
DXの実現につながるビジネスモデル「サブスクリプション」 実現・運用・収益化のコツ
$side_seminar_count = $i+1; ?>
-
2021年1月27日(水) 13:30~15:30
Palo Alto Networks Forum vol.5 Virtual
$side_seminar_count = $i+1; ?>
-
2021年1月28日(木)13:30~16:40
建設業界のDX促進の方法論 ~安全・安心を維持し事業改善を~
今注目のIT用語の意味を事典でチェック!