windows server 2003のドメインについて

今2003を勉強しているのですが
「ドメインコントローラセキュリティポリシ」と「ドメインセキュリティポリシ」の違いがわかりません。
「ドメインコントローラセキュリティポリシ」はActiveDirectoryユーザとコンピュータのドメインコントローラのＯＵのグループポリシーの事ですよね。違ってますか？
合ってると解釈してだったら「ドメインセキュリティポリシ」はいったい何なんですか？設定は似たような感じがしますが。
わかりやすく各セキュリティポリシーの役割と違い、運用の仕方などを教えてください。それに関するＨＰでも構いません。
マイクロソフトのＨＰに行ってはみたものの用件を得ない説明で余計混乱しました。
よろしくお願いします。

No.10 ベストアンサー 回答者： pppstation 回答日時： 2008/03/11 14:56

No1～No7さん

＞DNSドメインとActiveDirectoryドメインの違いの把握ですね！！
ADはDNSの機構を使用してドメインコントローラや、PCの名前解決を行っているだけです
根本の認識を改められたほうがよいかと思います

フォレスト：ドメインツリーの集合体を示す（AD内で明示的に設定する項目はない。外部設計上の概念みたいなもの）
同一フォレスト内であっても、別のドメインツリーに所属するドメインと相互認証を行う場合は信頼関係を構築することが必要となる

ドメインツリー：ルートドメインを筆頭に子ドメイン、孫ドメインと
続くツリー構造のドメインのこと
ドメインツリー内ではお互いのドメインで信頼関係を結ぶ必要がなくなるというメリットがある

ドメイン：ドメインについての認識はされていると思いますので省略する

ドメインコントローラ：ドメインを管理するサーバーPCのこと
管理するのは自ドメインのみで、子ドメイン、親ドメインを含む
ほかのドメインの管理は基本的にしない

子ドメインのDNSドメイン名の命名規則など：親ドメインがaaa.co.jpとなっている場合、
子ドメインはbbb.aaa.co.jpという形でサブドメイン名を付ける形態になる
さらにその子ドメインになるとccc.bbb.aaa.co.jpという形でbbbの子という形でのドメイン名を付ける

これ以上で何かご質問があれば別にスレッドを立ててくださるようお願いいたします

この回答へのお礼

詳しいご説明ありがとうございます。私が疑問に思ってい事がぼんやりですけど分かってきました。何度も読み直して自分のモノにします。また調べて分からない事がありましたらスレッド立てる事になると思いますので解説お願いします。この度はありがとうございました。

お礼日時：2008/03/12 22:14

No.11 回答者： noname#56715 回答日時： 2008/03/11 22:18

ご指摘ありがとうございます

No.9 回答者： pppstation 回答日時： 2008/03/11 12:57

連続書き込みを失礼いたします

この書き込みでは運用例などを記載します
先の書き込みにもありますがポリシーの適用順は
ルート＞OU＞子OU＞孫OU
という形で、ルートに近い階層から順次適用されます
重複する設定項目等がある場合は後から適用されるポリシーで「上書き」されます

よって、ドメイン全体に共通したポリシーをルートで定め、
各部署単位での共通ルールというのがあるのであれば、OUごとにポリシーを定めます
この際、ドメインポリシーで設定されている項目
（例：パスワードは8文字以上、など）を設定していた場合に
子OU（この場合は各部署のOUですかね）でパスワードを12文字以上とポリシーで定めた場合、
コンピュータに反映される設定は「パスワード12文字以上」という設定になります。
ポリシーの適用順、同一設定項目に関するものは、あとから適用されるもので上書きされます

ポリシーの設定項目で、「未構成」と「無効」の違いがわからない
という方もいらっしゃいますが、
「未構成」はその名の通り設定をつつかない、自分より上位のポリシーで設定されているものがあればその設定を引き継ぐ
といった意味があります
「無効」は上位のポリシーがどんな設定になっていても、自分のポリシーで「無効」とマーキングします
このようなルールであるという認識をもたれた上で設計を行っていく必要があります
あまり多量のポリシーを設定しますとログインに時間がかかるようになりますので
できるだけシンプルな設計にするように心がけてください
（1ポリシーの読み込みに約150kbのデータ通信をします）

No.8 回答者： pppstation 回答日時： 2008/03/11 12:46

ドメインコントローラセキュリティポリシー＝ドメインコントローラーに適用されるポリシー

（質問者様の認識で合致します）
ドメインセキュリティーポリシー＝ドメイン全体に適用されるポリシー
つまり、ActiveDirectoryユーザーとコンピュータのルートに位置するポリシーになります
（ユーザーOUや、ドメインに属するPC、メンバサーバーなども含む）

よってドメインコントローラにのみ適用したいポリシーなどがある場合はドメインコントローラセキュリティポリシーで設定を行います

例：DCとクライアントコンピュータでパスワードの運用規定が異なる場合などにパスワードポリシーをそれぞれ設定する、など
ドメインポリシーよりドメインコントローラポリシーのほうが優先されますので
ドメインポリシーで仮に何かの設定がされていても、ドメインコントローラポリシーの設定が上書きして使用されます（ドメインコントローラに対しては）

ポリシーの適用順ですが、
ルート＞OU＞子OU＞孫OU
という形でルートから順番に適用されます

ご不明な点があれば補足をお願いいたします

No.7 回答者： noname#56715 回答日時： 2008/03/11 08:00

もう一台Windows2003サーバが有れば、

現実として理解できるんだろうな
（独り言）

No.6 回答者： noname#56715 回答日時： 2008/03/11 06:39

またまた間違えました。

DNSドメインとActiveDirectoryドメインの違いの把握ですね！！


今までの投稿で、
ドメインセキュリティポリシーの設定
と
ドメインコントローラセキュリティポリシーの設定
の違いが解りましたか？

No.5 回答者： noname#56715 回答日時： 2008/03/11 06:24

ドメインとドメインコントローラの違い

DNSサーバとActiveDiractoryサーバの違い
私もしっかりと把握したいと思います。

No.4 回答者： noname#56715 回答日時： 2008/03/11 06:19

新しい子ドメインを作成する連続する名前空間を 1 つ以上のドメインと共有するドメインを作成する場合は、新しい子ドメインを作成します。

つまり、新しいドメインの名前には、親ドメインのフル ネームが含まれることになります。たとえば、sales.microsoft.com は、microsoft.com の子ドメインになります。運用方法としては、フォレストのルート ドメインの子として新しいドメインを作成します。

[Active Directory のインストール ウィザード] を使用して親ドメインの下に新しいドメインを作成することで、新しい子ドメインを作成できます。新しい子ドメインの作成方法については、「新しい子ドメインを作成するには」を参照してください。

子ドメインを作成した後、Active Directory のフォールト トレランスと高い可用性のために、追加のドメイン コントローラを子ドメインに作成できます。詳細については、「追加のドメイン コントローラを複数作成する」を参照してください。


追加のドメイン コントローラを複数作成するドメインにドメイン コントローラが既にある場合は、そのドメインにドメイン コントローラを追加して、ネットワーク サービスの可用性および信頼性を向上することができます。追加のドメイン コントローラを追加すると、フォールト トレランスの提供、既存のドメイン コントローラ間での負荷分散、およびサイトに対するインフラストラクチャの追加提供に役立ちます。

1 つのドメイン内に複数のドメイン コントローラがあると、1 つのドメイン コントローラに障害が起きたり、ドメイン コントローラを切断する必要がある場合でも、ドメインを動作させ続けることができます。複数のドメイン コントローラを使用すると、クライアントが、ネットワークにログオンするときに、ドメイン コントローラに容易に接続できるようになるので、パフォーマンスも向上します。ネットワークを通して、またはバックアップ メディアから、追加のドメイン コントローラを追加できます。

ドメイン コントローラを追加する前に、既存のドメインに追加のドメイン コントローラを設定するために必要な要件と Active Directory について完全に理解する必要があります。詳細については、「チェックリスト : 既存のドメインに追加のドメイン コントローラを作成する」、および「追加のドメイン コントローラを作成するには」を参照してください。

この回答へのお礼

詳しいご説明ありがとうございます。私が疑問に思ってい事がぼんやりですけど分かってきました。何度も読み直して自分のモノにします。また調べて分からない事がありましたらスレッド立てる事になると思いますので解説お願いします。この度はありがとうございました。

お礼日時：2008/03/12 22:16

No.3 回答者： noname#56715 回答日時： 2008/03/11 06:00

間違えましたすいません！！

いい勉強になります！！

必要なドメイン コントローラの数を決定する
単一の LAN (local area network : ローカル エリア ネットワーク) を使用する小規模な組織では、1 つのドメインに 2 つのドメイン コントローラを配置するだけで、高い可用性とフォールト トレランスが得られる場合があります。ネットワークに多数のサイトを持つ大規模な組織の場合は、高い可用性とフォールト トレランスを提供するために、各サイトに 1 つ以上のドメイン コントローラが必要になります。

ネットワークが複数のサイトに分割されている場合は、各サイト内に少なくとも 1 つのドメイン コントローラを配置して、ネットワーク パフォーマンスを改善するようにします。ユーザーがネットワークにログオンするときに、そのログオン プロセスの一部として、ドメイン コントローラに接続する必要があります。クライアントが、別のサイトに配置されたドメイン コントローラに接続する必要がある場合は、ログオン プロセスに時間がかかる可能性があります。詳細については、「サイト間のレプリケーション」を参照してください。

ドメイン
Active Directory では、管理者によって定義されたコンピュータ、ユーザー、およびグループのオブジェクトの集合を指します。これらのオブジェクトは、共通のディレクトリ データベース、セキュリティ ポリシー、および他のドメインとのセキュリティ関係を共有します。
DNS では、DNS 名前空間内のツリーまたはサブツリーを指します。多くの場合、DNS ドメインの名前は Active Directory ドメインと一対一に対応していますが、DNS ドメインと Active Directory ドメインとを混同しないようにしてください。

関連項目 : Active Directory, ディレクトリ データベース, ドメイン ネーム システム (DNS), オブジェクト

ドメイン コントローラ
Active Directory のフォレスト内で、Active Directory データベースの書き込み可能なコピーを格納し、Active Directory レプリケーションに参加し、ネットワーク リソースへのアクセスを制御するサーバー。管理者は、フォレストにある任意のドメイン コントローラでユーザー アカウント、ネットワーク アクセス、共有リソース、サイト トポロジ、およびその他のディレクトリ オブジェクトを管理できます。
関連項目 : Active Directory, 認証, ディレクトリ, フォレスト, 共有リソース

追加のドメイン コントローラを作成するには
[スタート] ボタン、[ファイル名を指定して実行] の順にクリックし、「dcpromo /adv」と入力して [Active Directory のインストール ウィザード] を開きます。このウィザードでは、バックアップ ファイルを復元して追加のドメイン コントローラを作成するオプションが選択されています。
[オペレーティング システムの互換性] ページの情報を読み、[次へ] をクリックします。
Windows Server 2003 を実行しているサーバーに Active Directory を初めてインストールする場合は、[互換性に関するヘルプ] をクリックして詳細を確認してください。

[ドメイン コントローラの種類] ページで、[既存のドメインの追加ドメイン コントローラ]、[次へ] の順にクリックします。
[ドメイン情報のコピー中] ページで、次のいずれかの操作を行います。
[ドメイン コントローラからネットワーク経由]、[次へ] の順にクリックします。
[復元されたバックアップ ファイルから] をクリックし、復元するバックアップ ファイルの場所を入力するか、[参照] をクリックし復元されたファイルを検索します。次に [次へ] をクリックします。
[ネットワーク資格情報] ページで、この操作に使用するユーザー アカウントのユーザー名、パスワード、およびユーザー ドメインを入力し、[次へ] をクリックします。
このユーザー アカウントは、移行先ドメインの Domain Admins グループのメンバであることが必要です。

[データベースとログのフォルダ] ページで、データベースとログのフォルダをインストールする場所を入力するか、[参照] をクリックして場所を選択し、[次へ] をクリックします。
[共有システム ボリューム] ページで、Sysvol フォルダをインストールする場所を入力するか、[参照] をクリックして場所を選択し、[次へ] をクリックします。
[ディレクトリ サービス復元モード Administrator パスワード] ページで、このサーバーの Administrator アカウントに割り当てるパスワードを入力し、確認を行ってから、[次へ] をクリックします。
ディレクトリ サービス復元モードでコンピュータを起動するときは、このパスワードを使用します。

[概要] ページを確認し、[次へ] をクリックしてインストールを開始します。
コンピュータを再起動します。
注

この手順を実行するには、Active Directory の Domain Admins グループまたは Enterprise Admins グループのメンバであるか、適切な権限が委任されている必要があります。セキュリティを考慮するうえで最適な方法として、この手順を実行するときに [別のユーザーとして実行] を使うことを検討してください。
/adv スイッチが必要なのは、バックアップ ファイルを復元してドメイン コントローラを作成するときだけです。ネットワークを通して追加のドメイン コントローラを作成するときには不要です。
手順 3. で、ネットワークを通してドメイン情報をコピーするオプションを選択した場合は、このドメイン コントローラの所属先となるドメインのディレクトリ データすべてが、ネットワーク接続を通してコピーされます。必要に応じて、重要でないレプリケーションをキャンセルすることもできます。
手順 3. で、バックアップ ファイルの復元によってドメイン情報をコピーするオプションを選択する場合は、このメンバ サーバーを追加のドメイン コントローラとして追加するドメインにある、Windows Server 2003 を実行しているドメイン コントローラのシステム状態データのバックアップをあらかじめ作成しておく必要があります。次に、システム状態のバックアップを、Active Directory をインストールするサーバー上でローカルに復元する必要があります。[バックアップ] を使用してこれを行うには、[Restore files to: Alternate location] オプションを選択します。バックアップの復元の詳細については、"関連項目" を参照してください。
バックアップを作成したドメイン コントローラにアプリケーション ディレクトリ パーティションが含まれていた場合、そのアプリケーション ディレクトリ パーティションは新しいドメイン コントローラに復元されません。新しいドメイン コントローラにアプリケーション ディレクトリ パーティションを手動で作成する方法については、"関連項目" を参照してください。
グローバル カタログとなっているドメイン コントローラから取ったシステム状態データを復元した場合は、この新しいドメイン コントローラをグローバル カタログにすることもできます。
スマート カードを使用して、管理者資格情報を確認することもできます。スマート カードの詳細については、"関連項目" を参照してください。
Windows Server 2003, Web Edition を実行しているコンピュータに Active Directory をインストールすることはできませんが、メンバ サーバーとして Active Directory ドメインにコンピュータを参加させることができます。Windows Server 2003, Web Edition の詳細については、"関連項目" を参照してください。


ありがとう！！本当にいい勉強になります！！

No.2 回答者： noname#56715 回答日時： 2008/03/11 01:56

サーバの役割管理のところの「ヘルプとサポート」です。