エンタープライズ環境下での Active Directory の運用 TIPS

Transcript

1. #MECMJP #ADIsNotDead エンタープライズ環境下での Active Directory の運用 TIPS 2024/04/12 Yutaro Tamai

   Japan Microsoft Endpoint Configuration Manager UG Active Directory 勉強会 第 1 回目

2. #MECMJP #ADIsNotDead 自己紹介 ◆名前 玉井 裕太郎 (Yutaro Tamai) ◆趣味 自宅サーバー

   (TDC : Tamai Data Center) にて、Hyper-V を用いて、 Configuration Manager や Microsoft 365 等の検証をすること。 最近は、Azure Virtual Desktop (AVD) や Windows 365 も含めて。 また、エンタープライズ環境下での Surface の検証も含む。 ◆所属 SCUGJ (windows Server & Cloud User Group Japan) コアメンバー Japan EMS Users Group スタッフ Japan Microsoft Endpoint Configuration Manager UG 主催 ◆仕事 保険会社の IT 部門の社員 ◆Blog https://sccm.jp/ ◆Award Microsoft MVP (Enterprise Mobility > Security (Microsoft Intune), Windows and Devices (Surface)) 4 回目の受賞 @tamai_pc カテゴリが変更となりました

3. #MECMJP #ADIsNotDead My home lab environment

4. #MECMJP #ADIsNotDead My home lab environment Aruba AP が 2

   台構成 になりましたw

5. #MECMJP #ADIsNotDead 紹介する環境、情報について ◆紹介する情報は 2024/04/07 時点の情報になります。 ◆Minisforum MS-01 (ミニ ワークステーション)

   上に Hyper-V を導入して、仮想マシン上でデモをします。 ◆デモ環境の OS は、Windows Server 2022 です。 ◆紹介する情報は個人の見解のため、マイクロソフト の公式見解および所属する会社の公式見解では ありません。

6. #MECMJP #ADIsNotDead エンタープライズ環境下での Active Directory 運用 • 通常の運用要件だけでなく、様々な個別要件があり、 運用に工夫が必要。 •

   大規模ならではの考慮が必要な場合もあり。。。

7. #MECMJP #ADIsNotDead Active Directory 運用シナリオ 1. 標準で用意されている管理テンプレート以外を使いたい (例 : Microsoft

   Edge や Microsoft 365 Apps (Microsoft Office) を 管理したい) 2. 特定の条件のマシンだけにグループ ポリシーを適用したい 3. 特定 OU 内の特定マシンやユーザーだけに グループ ポリシーを適用したい 4. 特定のマシンやユーザーだけ特定のグループ ポリシー を適用させたくない

8. #MECMJP #ADIsNotDead 1. 標準で用意されている管理テンプレート以外を使いたい

9. #MECMJP #ADIsNotDead 標準で用意されている管理テンプレート以外を使いたい • 運用の中では、標準で用意されている管理テンプレート以外の管理 をしたい場合があります。 • 例えば、Microsoft Edge や

   Microsoft 365 Apps (Microsoft Office) 等 • まず、セントラル ストアを作成されることをお勧めします。 Microsoft Japan Windows Technology Support Blog - 管理用テンプレートの更新 https://jpwinsup.github.io/blog/2022/06/23/ActiveDirectory/GroupPolicy/administrative-templates/ Microsoft Learn Windows でグループ ポリシー管理用テンプレート用のセントラル ストアを作成および管理する方法 https://learn.microsoft.com/ja-jp/troubleshoot/windows-client/group-policy/create-and-manage-central-store

10. #MECMJP #ADIsNotDead セントラル ストア管理ではない場合 ローカル コンピューターから取得したという表記

11. #MECMJP #ADIsNotDead セントラル ストアの作成 SYSVOL 配下の Policies フォルダー PolicyDefinitions フォルダーを作成する

12. #MECMJP #ADIsNotDead セントラル ストア管理の場合 セントラル ストアから取得したという表記

13. #MECMJP #ADIsNotDead 必要に応じて、セントラル ストアに admx ファイルを配置しましょう

14. #MECMJP #ADIsNotDead Demo

15. #MECMJP #ADIsNotDead 2.特定の条件のマシンだけにグループ ポリシーを適用したい

16. #MECMJP #ADIsNotDead 特定の条件のマシンだけにグループ ポリシーを適用したい • WMI フィルターという機能を利用しましょう！ • WMI クエリというクエリを書いてあげる必要があります。

17. #MECMJP #ADIsNotDead 例えば。。。 • 特定のグループ ポリシーを特定の条件のマシンのみに 適用したい • 例 :

    物理マシンのみに電源設定をしたい • 例 : 特定 OS Build のみに適用したい • 例 : 特定のソフトウェア バージョンのマシンのみに適用したい

18. #MECMJP #ADIsNotDead WMI クエリ サンプル 1 <サンプル> • 物理マシンかどうかを判定する (物理マシンのみに適用)

    名前空間 : root¥CIMv2 クエリ : SELECT Model FROM Win32_ComputerSystem WHERE not Model like '%Virtual%' • OS Build で判定する (Windows 10 version 22H2 のクライアント マシンのみに適用) 名前空間 : root¥CIMv2 クエリ : SELECT Version, ProductType from Win32_OperatingSystem WHERE Version = "10.0. 19045" and ProductType="1"

19. #MECMJP #ADIsNotDead WMI クエリ サンプル 2 <サンプル> • Microsoft Edge

    のバージョンで判定する (Microsoft Edge バージョン 123.0.2420.81 以上を検出) 名前空間 : root¥CIMv2 クエリ : SELECT * FROM Win32_InstalledWin32Program WHERE Name='Microsoft Edge' and Version>='123.0.2420.81’ • 特定のモデルのみ判定する (Surface Pro モデルだけ検出) 名前空間 : root¥CIMv2 クエリ : SELECT Model FROM Win32_ComputerSystem WHERE Model like ‘Surface Pro%’

20. #MECMJP #ADIsNotDead WMI フィルターの適用

21. #MECMJP #ADIsNotDead では、どうやって WMI クエリを作成する？ • WMI Explorer を使いましょう！ •

    昔は codeplex サイトにありましたが、現在は GitHub から ダウンロード可能 • https://github.com/vinaypamnani/wmie2

22. #MECMJP #ADIsNotDead Demo

23. #MECMJP #ADIsNotDead シナリオ 3 と 4 は次回以降に扱うのでお楽しみに。

24. #MECMJP #ADIsNotDead まとめ • エンタープライズ環境下では様々な運用シナリオがあります。 • 今回紹介した TIPS が少しでもお役に立てば幸いです。 •

    機会があれば他の TIPS も紹介出来ればと思います。 #ADIsNotDead