読者です 読者をやめる 読者になる 読者になる

Windows Serverをゆるゆると愛でる

Windows Server(主にActive Directory関連)について割とヌルく取り上げるブログです。

ドメインの機能レベルを考える(8)Windows Server 2012 R2

こんにちは。
ドメインの機能レベルについてあーだこーだ書くブログ、8回目はWindows Server 2012 R2です。リリースから2年以上経過し、かなり安定して動作しているのではないかと思います。Windows Server 2012と違ってスタートボタンもあるのでサーバーOSとして「比較的」(あくまでWindows Server 2012と比べて)使いやすいものになっていると思います。私が普段一番使用するOSでもあります...。
Windows Server 2012 R2で追加される機能は3つ。3つとも認証に関するものです。

1. Protected Usersグループの追加

新たなセキュリティグループとしてProtected Usersグループが追加されています。名前のとおりユーザーの保護強化を目的としたセキュリティグループです。このセキュリティグループに含めた場合、以下のような制限が付与されます。

  • NTLM認証による認証が不可
  • Kerberos事前認証においてDES及びRC4が使用不可
  • 制約付き委任または制約なし委任の状態でユーザーアカウントの委任不可
  • 4時間経過したユーザーチケット(TGT)は再認証が必要

また、Windows 8.1のローカルにパスワードがキャッシュされなくなります。

2. 認証ポリシー
3. 認証ポリシーサイロ

この2つは同時に扱うべき内容だと思いますのでまとめて。
認証ポリシーと認証ポリシーサイロはフォレストレベルで定義されるポリシーとそれを構成するコンポーネントです。特権を持つ資格情報の使用を特定のユーザー、コンピューター、特定のサービスに関係すするシステムに限定するためのものです。サイロの構成はGUIだとActive Directory管理センターまたはWindows PowerShellコマンドレットで行います。認証ポリシー自体はKerberosプロトコルにおけるTGTの有効期間(lifetime)属性とアクセス制御条件(ユーザーの場合どのデバイスへのサインインを許可されているかなど)を決定するためのものです。認証ポリシーサイロはそれらのポリシーが定義されているコンテナーで、この中にユーザーアカウントやコンピューターアカウント、サービスアカウントを割り当てることによって認証ポリシーを適用します。例えばフォレストの管理を特定のユーザー・デバイスでのみ行いたい場合にこの認証ポリシーサイロを構成することによってそれ以外からのアクセスを防御することができます。

 

次回は番外編というか、MSの公式文書がないのでWindows Server 2016の機能レベルに関するブログの日本語訳でも。一応日本語訳はあるのですが機械翻訳がなかなか穏やかではない状態なので。