Active Directoryの時間ベースの(一時的な)グループメンバーシップ
Windows Server2016のActiveDirectoryのバージョンには、ADセキュリティグループにユーザーを一時的に追加できる興味深い機能が導入されています。この機能は、一時的なグループメンバーシップ(時間ベース)と呼ばれます。 。この機能は、ADセキュリティグループのメンバーシップに基づいてユーザーに一時的に権限を付与する必要がある場合に使用できます。指定された時間が経過すると、ユーザーはセキュリティグループから自動的に削除されます(管理者の介入なし)。
一時グループメンバーシップを使用するには、特権アクセス管理機能を有効にする必要があります。 ActiveDirectoryフォレスト内。 ADごみ箱(削除されたオブジェクトを復元できる)と同様に、PAMを有効にした後で無効にすることはできません。
ADフォレストがWindowsServer2016フォレスト機能レベル(またはそれ以上)で実行されていることを確認してください:
(Get-ADForest).ForestMode
AD PowerShellモジュールのコマンドを使用して、現在のフォレストで特権アクセス管理機能が有効になっているかどうかを確認します。
Get-ADOptionalFeature -filter "name -eq 'privileged access management feature'"
EnableScopesの値が必要です パラメータ。この例では空です。これは、特権アクセス管理機能がこのフォレストで有効になっていないことを意味します。
有効にするには、 Enable-ADOptionalFeatureを使用します コマンドを実行し、引数の1つとしてフォレスト名を指定します。
Enable-ADOptionalFeature 'Privileged Access Management Feature' -Scope ForestOrConfigurationSet -Target contoso.com
エラー「
Enable-ADOptionalFeature: The SMO role ownership could not be verified because its directory partition has not replicated successfully with at least one replication partner
」の場合 コマンドを実行すると「」が表示され、ドメインコントローラーとADレプリケーションのステータス、およびFSMOロール所有者の可用性を確認します。 ADレプリケーションを手動で強制します。
コマンドGet-ADOptionalFeature -filter "name -eq 'privileged access management feature'" | select EnabledScopes
を選択します EnableScopesフィールドが空でないことを確認します。
dsa.msc
からセキュリティグループに一時的に追加する )はサポートされていません。 PAMを有効にした後、特別な引数 MemberTimeToLive を使用して、ADグループにユーザーを追加することができます。 Add-ADGroupMemberコマンドレットの。 New-TimeSpan を使用して時間間隔(TTL)を設定すると便利です。 コマンドレット。ユーザーtest1を追加するとします。 ドメイン管理者へ 15分間のグループ化:
$ttl = New-TimeSpan -Minutes 5
Add-ADGroupMember -Identity "Domain Admins" -Members test1 -MemberTimeToLive $ttl
Get-ADGroupコマンドレットを使用して、ユーザーがグループメンバーになる時間を確認できます。
Get-ADGroup 'Domain Admins' -Property member –ShowMemberTimeToLive
コマンドの結果には、<TTL=187,CN=test1,CN=Users,DC=woshub,DC=loc>
グループメンバーのために。 TTL値は秒単位で表示されます。これは、このユーザーが一時的にDomainAdminsグループに追加されたことを意味します。 187秒後、彼は自動的にグループから削除されます
ユーザーKerberosチケットも期限切れになります。これは、KDCがADグループの一時的なメンバーシップを持つユーザーのTTL値の最小値に等しいライフタイムでチケットを発行するという事実のために実装されています。
次のKerberosチケットの更新時刻は、次のコマンドで確認できます。
klist
TGTチケットの次回の更新時刻は、更新時刻に表示されます。 パラメータ。
以前、ログオフせずにklistを使用してADグループメンバーシップを更新する方法を示しました。オンプレミスのActiveDirectoryからAzureADConnectを介してAzureADにグループ同期するハイブリッドシナリオを使用する場合は注意が必要です。この構成では、クラウド同期間隔の設定を考慮に入れる必要があります。
また、AD(Windows2003Foresフォレストの機能レベル以降)では、一時的なADグループを作成できます。このようなグループの場合、 dynamicObject クラスが使用されます。このようなグループの自動削除は、ActiveDirectoryのガベージコレクションプロセスによって実行されます。
たとえば、1か月後に自動的に削除される一時的なグループを作成するには(2592000 = 31 * 24 * 60 * 60
)、次のPowerShellスクリプトを使用します:
$OU = [adsi]"LDAP://OU=Groups,OU=Munich,OU=DE,DC=woshub,DC=loc"
$Group = $OU.Create("group","cn=MUN-FS01_Public_tmp")
$Group.PutEx(2,"objectClass",@("dynamicObject","group"))
$Group.Put("entryTTL","2678400")
$Group.SetInfo()
ADUCコンソールでグループ属性を開きます。 entryTTLに注意してください 属性。このADグループが何秒で削除されるかを示します。
以前は、一時的なADグループメンバーシップを実装するには、動的オブジェクト、さまざまなスクリプトとスケジュールされたタスク、または非常に複雑なシステム(Microsoft Forefront Identity Managerなど)を使用する必要がありました。現在、Windows Server 2016/2019では、この便利な機能をすぐに使用できます。
-
RSATをインストールせずにPowerShellActiveDirectoryモジュールを展開する
以前の記事の1つで、GPOログオンスクリプトでSet-ADComputerコマンドレットを使用して、現在ログインしているユーザー情報を各ADコンピューターオブジェクトのプロパティに保存する方法を示しました。コメンテーターの1人は、それを行うには、時間がかかる可能性のあるすべてのユーザーコンピューターにWindowsPowerShell用のActiveDirectoryを使用してRSATをインストールする必要があると合理的に指摘しました。 RSATをインストールせずにPowerShellActiveDirectoryモジュールコマンドレットを使用できるかどうかを試してみることにしました。 ユーザ
-
Windows 10 で Active Directory を有効にする方法
Active Directory は Windows Server Technical Preview を管理します。管理者が権限を付与し、ネットワーク上のリソースにアクセスするために使用するツールです。デフォルトでは、Windows PC にはインストールされません。ただし、Microsoft の公式 Web サイトからオンラインで入手して、デバイスにインストールすることができます。 Windows 10 で Active Directory を使用する方法について混乱していますか?答えが「はい」の場合、この記事は Windows 10 で Active Directory を有効にする方法