Windows Server 2003 勉強2日目(アクセス権、ポリシー、ActiveDirectoryについて)
フォルダやファイルに対するアクセス権
- ファイルやフォルダ等のオブジェクトに、ユーザーやグループ単位でアクセス権を設定することができる
- コンピュータの操作も制限することができる(ポリシーの話)
- アクセス権の設定の項目は、全て操作できるようになるフルコントロール、その他は見たまんまの意味の変更、読み取りと実行、フォルダの内容と一覧表示、読み取り、書き取りがある
- 許可よりも拒否が優先されるので、これを利用してグループとユーザー設定をすれば良い感じに設定ができる
- 特別なユーザーの、CREATOR USERというのを使えば「作った人は変更や削除できるが、それ以外の人は参照だけしかできない」といった設定もできる
- ディスクに対するアクセス権と共有のアクセス権の2種類がある。共有はネットワーク越しにファイルを操作する出入り口の部分に設定する
ドメインと特権
- ポリシーで動作設定と操作の制限を決めれる
移動ユーザー・プロファイルとアプリケーションの自動インストール
- Windowsはユーザーデータを「ユーザー・プロファイル」と呼ばれる場所に保存している
- ユーザー・プロファイルとして保存されるデータは次の通り
- アプリケーションのユーザーごとのデータ
- Cookie情報
- デスクトップに置かれたアイコン
- Internet Explorerのお気に入り
- スタートメニュー
- 最近使ったファイル
- マイドキュメント
- ほかのコンピュータでログインしても、これがあるので自分が設定した状態で使用することができる
- Windows Server 2003には、クライアントがログオフした時に自動的にアプリケーションをインストールする「アプリケーション配布」機能が備わっている
- これがあるおかげで、いちいちクライアントごとにアプリケーションをインストールしなくても済むので楽
ドメインのメリットまとめ
- ドメインコントローラーにあらかじめ設定をしておくと、認証が楽になる
- グループを作れば、グループごとにアクセス権を設定できるので楽
- ユーザー・プロファイルがあるので、ドメイン内ならほかのコンピュータでログインしても自分がした設定の状態で使用できる
- アプリケーション配布機能が備わっているので、アプリケーションをインストールするのが楽
- グループポリシーで、操作の制限をかけれる
Active Directoryについて
- いくつかのドメインをひとまとめにする方法がある
- 1つ目はドメイン・ツリーという考え方
- 2つ目はフォレストという考え方
- ドメイン・ツリーは、ドメイン名の後ろが同じでないと構成できない
- フォレストはドメイン名の後ろが同じじゃなくても、ひとまとめに扱えるようにできる
Active Directoryのインストール手順
- サーバの役割管理からサーバの構成ウィザードを起動
- ドメイン・コントローラ(Active Directory)を選択し、次へ
- バックアップを作るなら「既存の~」を選択、新しいドメインを作るなら「新しいドメインの~」を選択そ、次へ
- 新規ドメインを作るなら上を、既存のドメイン・ツリーの子ドメインを作るなら真ん中を、ほかのドメイン・コントローラと連結するフォレストとして構成するなら下を選択。見たとおり選べばいい、次へ
- ドメイン名の設定をし、次へ
- データの保存フォルダと共有フォルダの名前の設定し、次へ
- DNSの構成の設定をし、次へ
- アクセス許可の設定、下を選ぶのが無難らしい、次へ
- Active Directoryが壊れたとき、復旧するためのパスワードを設定しインストール完了
- 最後に、DNSは他のDNSサーバも使用できるが、Windows付属が無難
ものすごくおおざっぱだが、こんな感じ