歯ごたえのある資料
How the Active Directory Replication Model Works
http://technet.microsoft.com/en-us/library/cc772726(WS.10).aspx
Active Directory の物理的構造
http://technet.microsoft.com/ja-jp/library/cc985309.aspx
Showing posts with label ActiveDirectory. Show all posts
Showing posts with label ActiveDirectory. Show all posts
Saturday, August 1, 2009
Saturday, February 14, 2009
Adobe Reader の自動アップデートを Active Directory から無効にする
Adobe Reader 及び、Adobe Acrobat の自動アップデートを
アクティブディレクトリのグループポリシーを利用して 無効にする方法を紹介します。
対象:Adobe Reader 7.0, 8.0, 9.0; Adobe Acrobat 7.0, 8.0, 9,0
1. 下記の内容で ADM テンプレートファイルを作成する
DisableAutomaticUpdates_Adobe.adm
3. GPO を対象のコンピュータが含まれる OU にリンクする
参考
How to disable automatic updates in Adobe Acrobat, Adobe Acrobat 3D and Adobe Reader
http://kb.adobe.com/selfservice/viewContent.do?externalId=kb402050
Adobe さんも disableupdates.reg と合わせて上記のようなスクリプトを提供してくれると好感度アップなんですが。
アクティブディレクトリのグループポリシーを利用して 無効にする方法を紹介します。
対象:Adobe Reader 7.0, 8.0, 9.0; Adobe Acrobat 7.0, 8.0, 9,0
1. 下記の内容で ADM テンプレートファイルを作成する
DisableAutomaticUpdates_Adobe.adm
CLASS MACHINE2. レジストリ設定をグループポリシーを用いて展開する を参考に上記 ADMファイル を GPO に取り込む
CATEGORY "DisableAutomaticUpdates"
POLICY "AcrobatReader7.0"
KEYNAME "SOFTWARE\Adobe\Acrobat Reader\7.0\FeatureLockdown"
VALUENAME "bUpdater"
VALUEON NUMERIC 0
END POLICY
END CATEGORY
CATEGORY "DisableAutomaticUpdates"
POLICY "AdobeAcrobat7.0"
KEYNAME "SOFTWARE\Adobe\Adobe Acrobat\7.0\FeatureLockdown"
VALUENAME "bUpdater"
VALUEON NUMERIC 0
END POLICY
END CATEGORY
CATEGORY "DisableAutomaticUpdates"
POLICY "AcrobatReader8.0"
KEYNAME "SOFTWARE\Policies\Adobe\Acrobat Reader\8.0\FeatureLockdown"
VALUENAME "bUpdater"
VALUEON NUMERIC 0
END POLICY
END CATEGORY
CATEGORY "DisableAutomaticUpdates"
POLICY "AdobeAcrobat8.0"
KEYNAME "SOFTWARE\Policies\Adobe\Adobe Acrobat\8.0\FeatureLockdown"
VALUENAME "bUpdater"
VALUEON NUMERIC 0
END POLICY
END CATEGORY
CATEGORY "DisableAutomaticUpdates"
POLICY "AcrobatReader9.0"
KEYNAME "SOFTWARE\Policies\Adobe\Acrobat Reader\9.0\FeatureLockdown"
VALUENAME "bUpdater"
VALUEON NUMERIC 0
END POLICY
END CATEGORY
CATEGORY "DisableAutomaticUpdates"
POLICY "AdobeAcrobat9.0"
KEYNAME "SOFTWARE\Policies\Adobe\Adobe Acrobat\9.0\FeatureLockdown"
VALUENAME "bUpdater"
VALUEON NUMERIC 0
END POLICY
END CATEGORY
3. GPO を対象のコンピュータが含まれる OU にリンクする
参考
How to disable automatic updates in Adobe Acrobat, Adobe Acrobat 3D and Adobe Reader
http://kb.adobe.com/
Adobe さんも disableupdates.reg と合わせて上記のようなスクリプトを提供してくれると好感度アップなんですが。
Wednesday, February 11, 2009
How to disable Adobe automatic updates via Active Directory
*SYMPTOM*
1. Create a ADM template file.
2. Import ADM template file to Group Policy Object(GPO).
Following article will let you know how to import ADM files.
The Lazy Admin: Creating Custom ADM Templates
3. Link the GPO to OUs which contain your client computers.
*APPLIES TO*
- Adobe's automatic software updates routinely paralyze my companies' LAN.
- The number of client computers is too huge to manually disable the updates.
- A temporal command prompt screen at log on makes my users confused, so I can't let batch scripts run as a log on scripts.
- Disable automatic updates of Adobe Reader and Adobe Acrobat via ADM template (, Active Directory Group Policy).
1. Create a ADM template file.
DisableAutomaticUpdates_Adobe.adm
CLASS MACHINE
CATEGORY "DisableAutomaticUpdates"
POLICY "AcrobatReader7.0"
KEYNAME "SOFTWARE\Adobe\Acrobat Reader\7.0\FeatureLockdown"
VALUENAME "bUpdater"
VALUEON NUMERIC 0
END POLICY
END CATEGORY
CATEGORY "DisableAutomaticUpdates"
POLICY "AdobeAcrobat7.0"
KEYNAME "SOFTWARE\Adobe\Adobe Acrobat\7.0\FeatureLockdown"
VALUENAME "bUpdater"
VALUEON NUMERIC 0
END POLICY
END CATEGORY
CATEGORY "DisableAutomaticUpdates"
POLICY "AcrobatReader8.0"
KEYNAME "SOFTWARE\Policies\Adobe\Acrobat Reader\8.0\FeatureLockdown"
VALUENAME "bUpdater"
VALUEON NUMERIC 0
END POLICY
END CATEGORY
CATEGORY "DisableAutomaticUpdates"
POLICY "AdobeAcrobat8.0"
KEYNAME "SOFTWARE\Policies\Adobe\Adobe Acrobat\8.0\FeatureLockdown"
VALUENAME "bUpdater"
VALUEON NUMERIC 0
END POLICY
END CATEGORY
CATEGORY "DisableAutomaticUpdates"
POLICY "AcrobatReader9.0"
KEYNAME "SOFTWARE\Policies\Adobe\Acrobat Reader\9.0\FeatureLockdown"
VALUENAME "bUpdater"
VALUEON NUMERIC 0
END POLICY
END CATEGORY
CATEGORY "DisableAutomaticUpdates"
POLICY "AdobeAcrobat9.0"
KEYNAME "SOFTWARE\Policies\Adobe\Adobe Acrobat\9.0\FeatureLockdown"
VALUENAME "bUpdater"
VALUEON NUMERIC 0
END POLICY
END CATEGORY
2. Import ADM template file to Group Policy Object(GPO).
Following article will let you know how to import ADM files.
The Lazy Admin: Creating Custom ADM Templates
3. Link the GPO to OUs which contain your client computers.
*APPLIES TO*
- Adobe Reader: 7.0, 8.0, 9.0
- Adobe Acrobat: 7.0, 8.0, 9.0
Friday, January 16, 2009
GP を 未構成にする、有効にする、無効にする
gpedit.mmc を利用してグループポリシーオブジェクト(GPO)の設定を行う場合、
各グループポリシー(GP)に対して未構成、有効、無効、と3種類のステータスを選択できます。
未構成:現状のレジストリ設定のまま
有効:設定を有効にするようレジストリを設定する
無効:設定を無効にするようレジストリを設定する
有効時、無効時の動作については、ADMテンプレート内でそれぞれ定義します。
未構成 と 無効 の違い、ご存知でしたか?
各グループポリシー(GP)に対して未構成、有効、無効、と3種類のステータスを選択できます。
これらの違いはというと下記の通りです。
未構成:現状のレジストリ設定のまま
有効:設定を有効にするようレジストリを設定する
無効:設定を無効にするようレジストリを設定する
有効時、無効時の動作については、ADMテンプレート内でそれぞれ定義します。
未構成 と 無効 の違い、ご存知でしたか?
Thursday, January 15, 2009
レジストリ設定をグループポリシーを用いて展開する
ドメイン内のクライアントコンピュータへレジストリ設定を漏れなく行う方法、というと、真先に
思いつくのはスタートアップスクリプトを用いてレジストリキーの設定を行う方法ではないでしょうか。
思いつくのはスタートアップスクリプトを用いてレジストリキーの設定を行う方法ではないでしょうか。
この方法ですとユーザーがログオンするたびに黒い窓が一瞬表示されてしまい、場合によっては、
ユーザーからの問い合わせを多数受けることになります。
こんな時、 ADM テンプレートを用いてレジストリ設定を展開してみてはいかがでしょうか。
ADM テンプレートファイルの作成方法、適用方法については The Lazy Admin に分かりやすい
解説記事があります。
Creating Custom ADM Templates
http://thelazyadmin.com/blogs/thelazyadmin/archive/2005/07/05/Creating-Custom-ADM-Templates.aspx
どうしても日本語で、ということなら Microsoft の KBを参照してください。
システム ポリシー エディタで使用するカスタム ADM ファイルの記述方法
http://support.microsoft.com/kb/225087/ja
ユーザーからの問い合わせを多数受けることになります。
こんな時、 ADM テンプレートを用いてレジストリ設定を展開してみてはいかがでしょうか。
ADM テンプレートファイルの作成方法、適用方法については The Lazy Admin に分かりやすい
解説記事があります。
Creating Custom ADM Templates
http://thelazyadmin.com/blogs/
どうしても日本語で、ということなら Microsoft の KBを参照してください。
システム ポリシー エディタで使用するカスタム ADM ファイルの記述方法
http://support.microsoft.com/
http://technet.microsoft.com/ja-jp/library/cc739134.aspx
このテクニックのポイントは (The Lazy Adminの記事にて紹介されていますが) gpedit.mmc にて
ADMテンプレートを取り込んだ後、当該テンプレートを右クリック -> 表示 -> フィルタ を選択し、
完全に管理されているポリシー設定のみ表示します オプションのチェックを外すことです。
チェックを外す前までは、
HKEY_CURRENT_USER\Software\Policies (preferred location)
HKEY_LOCAL_MACHINE\Software\Policies (preferred location)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
上記以外のレジストリに対する設定項目はフィルタリングされ非表示となっており、当該設定を
選択し、有効にすることができなくなっています。
フィルタリングを外した後、表示されたポリシーをいつも通り有効にすれば望んだ通りの動作を
してくれるでしょう。
Microsoft さんのMSDNライブラリの文書には
Implementing Registry-based Policy
http://msdn.microsoft.com/en-us/library/aa374292(VS.85).aspx
このテクニックのポイントは (The Lazy Adminの記事にて紹介されていますが) gpedit.mmc にて
ADMテンプレートを取り込んだ後、当該テンプレートを右クリック -> 表示 -> フィルタ を選択し、
完全に管理されているポリシー設定のみ表示します オプションのチェックを外すことです。
チェックを外す前までは、
HKEY_CURRENT_USER\Software\
HKEY_LOCAL_MACHINE\Software\
HKEY_CURRENT_USER\Software\
HKEY_LOCAL_MACHINE\Software\
上記以外のレジストリに対する設定項目はフィルタリングされ非表示
選択し、有効にすることができなくなっています。
フィルタリングを外した後、表示されたポリシーをいつも通り有効にすれば望んだ通りの動作を
してくれるでしょう。
Microsoft さんのMSDNライブラリの文書には
Implementing Registry-based Policy
http://msdn.microsoft.com/en-
> Registry keys for your policy settings must be stored in one of
> the following Policy keys:
> 上記4つのレジストリキーが列挙
というように記載されていますが、上記以外のレジストリキーに対する設定を行うことができます。
グループポリシーの設定がどのように実現されているかを考えれば自然なことですね。
> the following Policy keys:
> 上記4つのレジストリキーが列挙
というように記載されていますが、
グループポリシーの設定がどのように実現されているかを考えれば
Saturday, November 22, 2008
Group Policy の公式ポータルサイト
そんなステキなものがあったのですね
http://technet.microsoft.com/en-us/windowsserver/grouppolicy/default.aspx
Windows Server 2003 SP1 のグループポリシー設定一覧エクセルシートなるものを見つけましたよ
http://www.microsoft.com/downloads/details.aspx?familyid=7821C32F-DA15-438D-8E48-45915CD2BC14&displaylang=en
Windows Server 2008 用のものはこちら
http://www.microsoft.com/downloads/details.aspx?familyid=2043B94E-66CD-4B91-9E0F-68363245C495&displaylang=en
マイクロソフトの本家サイトには便利リソースがいっぱいです。
http://technet.microsoft.com/en-us/windowsserver/grouppolicy/default.aspx
Windows Server 2003 SP1 のグループポリシー設定一覧エクセルシートなるものを見つけましたよ
http://www.microsoft.com/downloads/details.aspx?familyid=7821C32F-DA15-438D-8E48-45915CD2BC14&displaylang=en
Windows Server 2008 用のものはこちら
http://www.microsoft.com/downloads/details.aspx?familyid=2043B94E-66CD-4B91-9E0F-68363245C495&displaylang=en
マイクロソフトの本家サイトには便利リソースがいっぱいです。
Friday, November 21, 2008
Adobe Reader のオートアップデートを停止させる方法
Adobe Reader 7, Adobe Reader 8, Acrobat 8 のオートアップデートを停止する方法
http://kb.adobe.com/selfservice/viewContent.do?externalId=kb402050&sliceId=1
GUI操作 及び、レジストリ設定による停止方法が紹介されています。
グループポリシー を利用すれば簡単に管理端末のオートアップデートを停止することができますね。
# くれぐれも手動でのセキュリティアップデートをお忘れなく
こちらもあわせてどうぞ
Adobe の自動アップデートを AD を使って無効にする
http://kb.adobe.com/
GUI操作 及び、レジストリ設定による停止方法が紹介されています。
グループポリシー を利用すれば簡単に管理端末のオートアップデートを停止することができますね。
# くれぐれも手動でのセキュリティアップデートをお忘れなく
こちらもあわせてどうぞ
Adobe の自動アップデートを AD を使って無効にする
Sunday, October 19, 2008
Wednesday, October 1, 2008
Active Directory における時刻同期
- Active Directory では Kerberos を使用しているため、DCとクライアント間で時刻同期が必須
- フォレスト内にあるDCの時刻は、
フォレストルートドメインのPDCエミュレータの時刻に同期
=> フォレストルートドメインのPDCエミュレータは外部のタイムサーバと時刻同期が必要 - クライアントの時刻はドメインログオン時、
参加ドメインのPDCエミュレータの時刻に同期
- WindowsにおけるNTPクライアントは Windows Time サービス
- 手動による時刻同期を行うには
net time /set
w32tm /resync
Sunday, July 27, 2008
Windows Server 2003 R2 の adprep.exe と Service for UNIX
R2で拡張されたADのスキーマとSFUのスキーマはぶつかってしまってしまう、と。
2003 R2 のadprep.exeとService for UNIXについて
http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?mode=viewtopic&topic=33794&forum=6&start=8
2003 R2 のadprep.exeとService for UNIXについて
http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?mode=viewtopic&topic=33794&forum=6&start=8
マイクロソフト サーバー製品のログ監査ガイド
マイクロソフト サーバー製品のログ監査ガイド
http://www.microsoft.com/japan/technet/itsolutions/cits/mo/default.mspx
おまけ
EventSentry の内部統制用ログフィルタ、CPUに負荷が掛かりすぎて実用にならないかも。要実機検証。
DC、FSのログ収集保管は
- 上記ログ監査ガイドにしたがって設定
- イベントログのサイズを拡張
- バイナリのままコピーして保存
という作戦で。
イベントログの最大値にはこれまたいろいろありまして...。
http://www.microsoft.com/japan/technet/itsolutions/cits/mo/default.mspx
おまけ
EventSentry の内部統制用ログフィルタ、CPUに負荷が掛かりすぎて実用にならないかも。要実機検証。
DC、FSのログ収集保管は
- 上記ログ監査ガイドにしたがって設定
- イベントログのサイズを拡張
- バイナリのままコピーして保存
という作戦で。
イベントログの最大値にはこれまたいろいろありまして...。
Saturday, July 26, 2008
ドメインコントローラ の キャパシティプランニング
DCのキャパシティ プランニング方法は リソースキット に掲載されている。
ではその妥当性を確認するには?
ADTest.exe
http://www.microsoft.com/downloads/details.aspx?FamilyID=4814fe3f-92ce-4871-b8a4-99f98b3f4338&displaylang=en
ADTest.exe はDCへのクライアントアクセスをエミュレートし、DCに負荷をかけて実機検証を可能にするツール。
ADTest.exe で負荷をかけつつ、パフォーマンスモニタでDCの状態を監視、なのかな?
# 今度の検証の際、実際に使ってみます。
おまけ
DCのステータス監視用スクリプト
参考: http://www.microsoft.com/japan/technet/scriptcenter/scripts/ad/monitor/admovb07.mspx
ではその妥当性を確認するには?
ADTest.exe
http://www.microsoft.com/downloads/details.aspx?FamilyID=4814fe3f-92ce-4871-b8a4-99f98b3f4338&displaylang=en
ADTest.exe はDCへのクライアントアクセスをエミュレートし、DCに負荷をかけて実機検証を可能にするツール。
ADTest.exe で負荷をかけつつ、パフォーマンスモニタでDCの状態を監視、なのかな?
# 今度の検証の際、実際に使ってみます。
おまけ
DCのステータス監視用スクリプト
出典: http://www.wisesoft.co.uk/Scripts/vbscript_monitor_domain_controller_performance.aspxstrComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
Set colDatabases = objWMIService.ExecQuery _
("Select * from Win32_PerfFormattedData_NTDS_NTDS")
For Each objADDatabase in colDatabases
Wscript.Echo "DS threads in use: " & objADDatabase.DSThreadsInUse
Wscript.Echo "LDAP bind time: " & objADDatabase.LDAPBindTime
Wscript.Echo "LDAP client sessions: " & objADDatabase.LDAPClientSessions
Next
参考: http://www.microsoft.com/japan/technet/scriptcenter/scripts/ad/monitor/admovb07.mspx
Tuesday, July 15, 2008
壊れたDomain Controllerの後処理
ADSI Edit にてAD内のお掃除のみならず、グループポリシーの掃除もする必要あります
-> DefaultDomainControllers
壊れたDCに関するパーミッションを削除
-> Default Domain Controllers Policy -> コンピュータの構成 -> Windowsの設定 ->
セキュリティの設定 -> ローカル ポリシー -> ユーザーの権利
GPの掃除をしないとディレクトリサービスのログにGPがうまくマップされない
とかいう内容のエラーが永遠と。
肝心のイベントIDは失念。
-> DefaultDomainControllers
壊れたDCに関するパーミッションを削除
-> Default Domain Controllers Policy -> コンピュータの構成 -> Windowsの設定 ->
セキュリティの設定 -> ローカル ポリシー -> ユーザーの権利
GPの掃除をしないとディレクトリサービスのログにGPがうまくマップされない
とかいう内容のエラーが永遠と。
肝心のイベントIDは失念。
Windows Server 2003 Active Directory Operations Guide
マイクロソフトさんが提供してくれているADのオペレーションガイド(操作手順書)。
恊働者の皆様が英語を読めたなら、コレをそのまま運用手順書に使えるのですが...。
Windows Server 2003 Active Directory Operations Guide
http://www.microsoft.com/downloads/details.aspx?FamilyID=6A238DF8-115C-4E1A-89F1-EE9BC9486C0F&displaylang=en
恊働者の皆様が英語を読めたなら、コレをそのまま運用手順書に使えるのですが...。
Windows Server 2003 Active Directory Operations Guide
http://www.microsoft.com/downloads/details.aspx?FamilyID=6A238DF8-115C-4E1A-89F1-EE9BC9486C0F&displaylang=en
Thursday, June 26, 2008
Windows Server 2003 Active Directory Operations Guide
Windows Server 2003 Active Directory Operations Guide
http://www.microsoft.com
http://www.microsoft.com
Sunday, June 8, 2008
MacとActive Directory
Apple社がMacをActive Directory(AD)に参加させる方法の無料オンラインセミナーを開いています。
# 閲覧には登録が必要
Best Practice for Integrationg Mac OS X into Active Directory
http://seminars.apple.com/seminarsonline/activedir/apple/index.html
内容は次のとおり。
# 閲覧には登録が必要
Best Practice for Integrationg Mac OS X into Active Directory
http://seminars.apple.com/seminarsonline/activedir/apple/index.html
内容は次のとおり。
- ADへの参加
- ADプラグインの導入
- グループポリシーの管理
- ホームディレクトリの構成
- Mac OS X クライアント と Mac OS X サーバ の違い
Subscribe to:
Posts (Atom)