Active Directoryドメインサービス(以下、ADDS)を学び始めると、「FSMOロール」という言葉が出てきます。 FSMOロールは、Flexible Single Master Operationsの略称で、少し難しい印象を持ったり、名前だけを見ると覚えるのが大変そうに感じたりするかもしれません。 ですが、FSMOロールはADDSが正しく動作するために必要な重要な仕組みのひとつのため、避けては通れません。 本記事では、設定方法や細かい技術の話は行わず、「FSMOロールとは何か」といった基本的な考え方を中心に解説します。 FSMOロールとは FSMOロールには5つの役割がある FSM…
以前、コマンドプロンプトを使って無線LAN(Wi-Fi)の接続先を制限する方法を紹介した。 gd-pishi.hatenablog.com 同様の設定をActive Directoryのグループポリシーで配信する方法があるので、簡単に紹介する。なお、以降の手順はWindowsServer 2022 Standardで行っている。 手順 1.Active Directoryのグループポリシー管理エディターを開き、「コンピューターの構成」→「ポリシー」→「Windowsの設定」→「セキュリティの設定」→「ワイヤレス ネットワーク(IEEE 802.11)ポリシー」を選択する。 2.「ワイヤレス ネ…
パスワードポリシーにて有効期限が設定されているActive Directoryドメインサービス(以降、AD)環境において、一部ユーザーに対してパスワードを無期限に変更したいケースがありました。 本記事では、特定のOUに所属するユーザーの「パスワードを無期限にする」にチェックを入れるWindows PowerShell(以降、PowerShell)コマンドレットについて記載します。 事前準備 PowerShellコマンドレット 終わりに 事前準備 コマンドレットを実行する端末にPowerShell用のADモジュールがインストールされている必要があります。 以下はADモジュールインストールの参考U…
デジタルペンテスト部でペネトレーションテストを担当している小松奈央です。 突然ですが、皆さんの会社ではコンピューターアカウントの棚卸しをしていますか? 従業員の退職時にユーザーアカウントを削除するなど、ユーザーアカウントはしっかり管理している企業が多いと感じます。 一方で、従業員が使用していたクライアント端末に紐づくコンピューターアカウントは削除されず、大量のコンピューターアカウントが残存しているケースをよく見かけます。 これらのコンピューターアカウントに脆弱なパスワードが設定されている場合、ネットワークに侵入した攻撃者によって権限昇格や横展開に悪用される可能性があります。 そこで本記事では、…
管理者側で、Active Directoryドメインサービス(以降、AD)ユーザーのログオン日時(ADドメインへ認証した日時)やパスワード変更日時を把握したいケースがあります。 本記事では、ADユーザーのログオン日時とパスワード変更日時を確認するためのWindows PowerShell(以降、PowerShell)コマンドレットについて記載します。 事前準備 PowerShellコマンドレット 終わりに 事前準備 コマンドレットを実行する端末にPowerShell用のADモジュールがインストールされている必要があります。 ADモジュールのインストール方法はこちらのサイトを参照してください。 …
Active Directory ドメインサービス(以降、AD)の複数のユーザーに対して、一括でパスワード変更を強制させたいケースがあるかと思います。 本記事では、特定のOUに所属するユーザーの「ユーザーは次回ログオン時にパスワード変更が必要」にチェックを入れるWindows PowerShell(以降、PowerShell)コマンドレットについて記載します。 事前準備 PowerShellコマンドレット 終わりに 事前準備 コマンドレットを実行する端末にPowerShell用のADモジュールがインストールされている必要があります。 learn.microsoft.com PowerShell…
はじめに 「AWSってActive Directoryのクラウド版みたいなもんでしょ?」 オンプレのAD管理に慣れた人なら、そう思うかもしれない。実際、IAMにはユーザーもグループもあるし、権限管理の概念も似ている。 でも実は全然違う。そしてこの「似てるけど違う」が、セキュリティインシデントの温床になる。 最近いくつかのクラウド侵害事例を調べていて、「ああ、これADの感覚で設定してたらハマるやつだ」と思ったポイントを3つまとめてみる。 1. グループに入れれば安心、じゃない ADだと 1. セキュリティグループを作る 2. ユーザーを追加する 3. グループに権限を付与する 4. (原則として…
結論ファースト:TGSとTGTの決定的な違い Kerberos認証の全体像と「登場人物」 TGT (Ticket Granting Ticket) とは? TGS (Ticket Granting Service) とは? Kerberos認証の3ステップ ステップ1:AS認証(TGTの取得) ステップ2:TGS認証(サービスチケットの取得) ステップ3:サービスアクセス(サービスチケットの提示) なぜTGTとTGSという2段階の仕組みが必要なのか? 1. シングルサインオン(SSO)の実現 2. 認証負荷の分散と責務の分離 3. パスワード漏洩リスクの最小化 まとめ Windows Acti…
Active Directoryで、たまに作成したユーザーがどのOUに登録されているか分からなくなってしまうことがある。Active Directory管理センターから調べる方法もあるが、今回はPowerShellで調べる方法を簡単に紹介する。 コマンド例 Get-ADUserコマンドレットを使う。 例えばユーザー「user01」がどのOUに登録されているかを調べるには、以下のコマンドを実行する。 Get-ADUser -identity user01 DistinguishedNameに、登録されているOUが表示される。 おわりに OUが何個もあるとユーザーをどのOUに登録したか忘れがちにな…
過ごしやすくなってまいりました、ここ北海道。 夜、窓を開けて寝ると寒いくらいで、 風に「秋の匂い」が混じって来ました。 気が付けば、鈴虫が鳴いてますよ。 あたしの季節が過ぎて行く。 なんちて。 皆様、お久しぶりでございました。 お財布がピーピー泣いている、ちょちょ山でございます。 近頃、力一杯、更新が滞っておりました。 ほぼ一ヶ月半放置プレイ。 忙しくてね・・・ ちょっと。 ちょっと奥さん。 奥さんじゃない人も。 その経緯を語らせてくださいよ。 今回は、長いですよ。 専門用語絨毯爆撃、ジャーゴニズム大爆発です。 8月上旬。 お盆休み前に何とか仕事をこなしておこうとしたら、 そんな時に限って、職…
devblogs.microsoft.com
atmarkit.itmedia.co.jp
devblogs.microsoft.com
blog.animereview.jp
www.publickey1.jp
atmarkit.itmedia.co.jp
atmarkit.itmedia.co.jp
dev.classmethod.jp
journal.mycom.co.jp
