Active Directory | re-Think things

Computer コンテナのリダイレクト

2010/08/25 コメントを残す

先日、Windows Server 2008 R2 にアップグレードしたのですが、書こうと思っていたネタがあったので
忘れる前に書いておきます。

Active Directory ドメイン作成時に作成される Users コンテナおよび Computer コンテナですが、
これらは、OU ではなく、OU ではないので、グループポリシーも適応できないという事態になります。
なので、通常は、グループポリシーを効かせるために、ドメインコンピューター用の OU や、ユーザー用の OU を
作成して、そこに、オブジェクトを移動/格納します。
ただ、いちいち、作成し終わった後で、移動するのは面倒なので、デフォルトで OU 下に作成されるように
設定を変更することができます。

Computers コンテナを OU にリダイレクトする
デフォルトでコンピューターをメンバー追加した際に登録される OU をひとつ作成しておきます。
次に、system32 フォルダーにある redircmp コマンドを使います。

redircmp ou=OU名, dc=ドメイン名, dc=com

なお、OU にスペースが含まれている場合には、

redircmp “ou=O U 名, dc=ドメイン名, dc=com”

とします。
コマンドが正常終了すると、

リダイレクトは成功しました

と表示されます。
Users コンテナを OU にリダイレクトする
1. のコマンドの替わりに、redirusr コマンドを使います。使い方は同じです。

なお、OU をリダイレクトさせるのは、少なくてもドメイン機能レベルが「Windows Server 2003」に
なっている必要があります。

OU にリダイレクトする設定を行ったら、一応、確認をしておきましょう。
コンピューターをコマンドラインからメンバー追加するには、

net computer \\コンピューター名 /add

と入力します。きちんと、設定した OU にコンピューターが追加されているかを確認しておきましょう。
ユーザーの追加は、net user コマンドを使います。

明日（8/25）から、Microsoft tech･ed Japan 2010 です。もちろん、行きます。

カテゴリー: Windows Tagged with Active Directory

ドメインコントローラーの時刻を外部のタイムサーバーに同期させる

2009/04/14 2件のコメント

自分用のまとめという意味も込めてネタにします。

これ、Windows Server 2008 でも自分で設定しなければならないんですよね。
ぜひ、UI を用意してほしい機能の 1 つです。
DCPromo の延長で設定できても良いと思います。
サーバーマネージャーの中にも欲しいですよね。

文句を言っても、今はやるしかないので設定しましょう。
レジストリを操作します。
なお、外部タイムサーバーと同期するドメインコントローラーだけで操作します。
ドメイン内の 1 台の GC が適当かと思います。

タイムサーバーにするドメインコントローラーのレジストリエディタで次のハイブを開く
HKEY_LOCAL_MACHINE
　\SYSTEM
　　\CurrentControlSet
　　　\Services
　　　　\W32Time
　　　　　\Parameters
Type という名前があるので、その値を NT5DS から NTP に変更する。
NtpServer という名前があるので、その値を外部タイムサーバーの DNS名, 0x1 にする。
例) myntpserver.sample.com, 0x1
レジストリエディタで次のハイブを開く
HKEY_LOCAL_MACHINE
　\SYSTEM
　　\CurrentControlSet
　　　\Services
　　　　\W32Time
　　　　　\Config
AnnounceFlags という名前があるので、その値を 5 に変更する。
なお、AnnounceFlags 「5」の意味ですが、権限のあるタイムサーバーを表します。
レジストリエディタで次のハイブを開く
HKEY_LOCAL_MACHINE
　\SYSTEM
　　\CurrentControlSet
　　　\Services
　　　　\W32Time
　　　　　\TimeProviders
　　　　　　\NtpServer
Enabled という名前があるので、その値を 1 に変更する。
サービスコントロールマネージャーから Windows Time サービスを再起動します。
もしくは、コマンドプロンプトから
net stop w32time && net start w32time
で Windows Time サービスを再起動します。

他に時刻同期のタイミングを調整するレジストリもありますが、その辺のチューニングは
参考 URL をご覧になってください。

Windows Server 2003 で権限のあるタイムサーバーを構成する方法
http://support.microsoft.com/kb/816042/ja

Windows Server 2008 でも同様です。

カテゴリー: Windows Tagged with Active Directory, 時刻同期

Windows Server 2008 Active Directory を追加する

2008/09/21 コメントを残す

とある Windows Server 2003 Active Direvtory 環境に Windows Server 2008 DC を追加することになりました。
せっかくなので、これをネタにしてみましょう。
なお、Windows Server 2003 AD ですが、DC 1 台のシンプル環境です。

何をするのかというと

既存の Active Directory に対してスキーマ拡張を行う
Windows Server 2008 DC を追加
管理マスタを Windows Server 2008 DC に移動

です。
なお、TechNet の「Installing an Additional Windows Server 2008 Domain Controller」を参考にしました。

(1) 既存の Active Directory に対してスキーマ拡張を行う

まず、Windows Server 2008 のインストール DVD を用意します。
この DVD にある adprep フォルダ（\sources\adprep）を既存の DC の適当なフォルダにコピーして
adprep コマンドを実行します。
実際には、次の 3 つのコマンドを実行します。今回の環境は 1 台の DC なので、全部、DC 上で実行します。

フォレストに対する変更（フォレストのスキーママスタで、1 回実行する）
adprep /forestprep
ドメインに対する変更（Windows Server 2008 の DC を追加する各ドメインのインフラストラクチャマスタで実行する）
adprep /domainprep /gpprep
RODC のための変更（フォレストの任意の DC で、1 回実行する）
adprep /rodcprep