開発者のためのActive Directory講座
21 likes7,141 views
Windows PowerShellを使用するとActive Directoryと付き合いやすくなります というお話
![29
[フゔル名を指定して実行]-「powersell」
WINDOWS POWERSHELL ADモジュールを使用するための準備
PS > import-module ActiveDirectory
PS > Get-Command -module ActiveDirectory
[スタート]-[すべてのプログラム]-[管理ツール]-[Windows
PowerShell用のActive Directoryモジュール]
OR](https://image.slidesharecdn.com/ad-091123012754-phpapp01/85/Active-Directory-29-320.jpg)
![46
引数を受け取る方法
バッチ
VBScript
PowerShell
C:¥> <スクリプト名> My name is “Junichi Anno” .
Echo %1 / %2 / %3 / %4
Shift
Echo %1 / %2 / %3 / %4
Set FullName=%3
Echo %FullName:"=%
Set Args = Wscript.Arguments
If Args.Count <> 0 Then
For Each n in Args
Wscript.Echo n
Next
End If
foreach ( $a in $args )
{
Write-Output $a
}
Write-Output $args[3]
%1 ~ %9 までの変数で受け取る
My / name / is / "Junichi Anno“
name / is / "Junichi Anno" / .
Junichi Anno
My
name
is
Junichi Anno
.
My
name
is
Junichi Anno
.
Junichi Anno](https://image.slidesharecdn.com/ad-091123012754-phpapp01/85/Active-Directory-46-320.jpg)
![47
名前付き引数
引数を所定の名前の変数に格納することで、文法チェック等が行いやすくなる
WSHとPowerShell でスッチの識別文字が異なることに注意
VBScript
PowerShell
If WScript.Arguments.Named.Exists("userid") then
strUserID = WScript.Arguments.Named.Item("userid")
End If
If WScript.Arguments.Named.Exists("password") then
strPassword = WScript.Arguments.Named.Item("password")
End If
param([string] $UserID = “nouserid", [string] $Password = "nopassword")
Write-Output $userid
Write-Output $Password
C:¥> script.vbs /userid:anno /password:hogehoge
C:¥> script.ps1 -userid anno -password hogehoge](https://image.slidesharecdn.com/ad-091123012754-phpapp01/85/Active-Directory-47-320.jpg)
![48
変数の扱いと値の代入
バッチ
WSH
PowerShell
Set LastName=Anno
Set FirstName=Junichi
Set FullName=“%FirstName% %LastName%”
Set FullName=%FullName:"=%
Echo %FullName%
Echo %FullName:n=x%
Echo %FullName:~8%
Echo %FullName:~8,1%
Echo %FullName:~-4,3%
If /I %FullName:~-1,1%==o Echo OK
Junichi Anno
Juxichi Axxo
Anno
A
Ann
OK
FirstName = "Junichi"
LastName = "Anno"
FullName = FirstName & " " & LastName
Wscript.Echo Split(FullName," ")(0) Junichi
$FirstName = "Junichi"
$LastName = "Anno"
$FullName = $FirstName + " " + $LastName
Write-Output $FullName
$arrFullName = $FullName.Split(" ")
Write-Output $arrFullname[0]
Junichi Anno
Junichi](https://image.slidesharecdn.com/ad-091123012754-phpapp01/85/Active-Directory-48-320.jpg)
開発者のためのActive Directory講座
- 1. 救世主降臨! ACTIVE DIRECTORY + POWERSHELL が開発者を救う!? 開発者のための最新ACTIVE DIRECTORY講座 マイクロソフト株式会社 エバンジェリスト 安納 順一 Anno Junichi http://blogs.technet.com/junichia/
- 4. 4 ある日の会話(ほぼ実話) 登場人物 PM :プロジェクトマネージャー(ンフラ担当SEが兼任) DEV :業務ゕプリ設計/開発担当 PM 「例の業務ゕプリだけど、認証はどうするの?」 DEV 「もちろん実装しますよ。ローカルにDBもてばいいんですよね?」 PM 「だめだよ。Active Directory で認証するようにしよ」 DEV 「えぇ、使ったことないですよ。Active Directory なんて」 PM 「別に難しくないよ」 DEV 「実績が無いので開発コストが増えますよ?」 PM 「どれくらい?」 DEV 「5人月とか?」 PM 「そんな馬鹿なぁ!それに予算FIXしてるのに、いまさら無理だって~」 DEV 「Active Directoryから同期してくればいいじゃないですか」 PM 「じゃ、同期する部分作ってくれる?」 DEV 「そんなのバッチ作れば済むじゃないですか」 PM 「…」
- 6. 6 AGENDA はじめに マクロソフト製品群におけるAD DSの位置づけ ITシステムにおけるAD DSの位置づけ AD DSは開発者の救世主となるか? 開発者にとっての AD DS AD DS「さわりかた」超基礎 開発者のための AD DS 最新トピック 2010年度版 New! AD Recycle Bin で削除したオブジェクトを復活 Windows PowerShell と AD DS まずは AD の構造から AD DS用コマンドレットの使い方 Appendix
- 10. 10 ITシステムにおける AD DS の位置づけ 業務ゕプリA(Linux) 業務ゕプリB(Windows) フゔルサーバー(Windows) メールサーバー(Linux) Active Directory Domain Service 認証/ユーザー情報問合せ (ADO/ADSI)
- 12. 12 開発者視点での AD DS のメリット Windowsクラゕントにログオンしているユーザーは、すでに「資格情 報」を保持しているため、ユーザーIDを改めて入力させる必要は無いし、 パスワードの保存も必要ない。 管理者のみが行える操作、ユーザーが行える操作、部門によって行える操 作等の判断は、Active Directory の組織情報やタトル、所属グループ等 から判断すればよく、ローカルで管理する必要は無い。 ID統制には大切な視点! 矛盾のないID管理は、可能な限り重複管理を避 けることから始まります! 氏名や所属など、ユーザー情報はAD DSに格納されているので、ローカル DBに保存する必要が無い。ただし、情報漏えいに関して注意も必要(後 述)。
- 13. 13 (参考)AD DSの注意すべき点 AD DSのリポジトリは LDAP であり、AD DSで認証を受けたユー ザー(Authenticated Users)は、ほぼ全てのユーザー情報を「参 照」することができる。 ※Anonymous はゕクセスできません 電話番号や住所、生年月日等、プラバシーにかかわる情報に ついてはActive Directory 管理者側の意識的な対応が必須! ※特定のAttributeへのゕクセス権を本人のみにする等
- 14. 14 ちなみに…AD DSの構築って簡単なの? YES! 構築するだけならば超簡単 ※運用はそれなりの苦労を伴いますが… 別紙「Windows Server 2008 60分クッキング」をご覧ください
- 15. 15 AD DS のツリー構造(要はLDAPなのです) OU=営業部 OU=第一営業課 DC=Contoso,DC=com CN=Users OU=第二営業課 CN=Tanaka CN=Yamada CN=Suzuki sAMAccountName = Tanaka employeeID = 999999 Title = Manager Division = 営業部第一営業課 DisplayName = 田中 一郎 SurName = 田中 givenName = 一郎 homeDirectory = ¥¥Server¥Home¥Tanaka phoneNumber = +81-90-9999-9999 IsMember = 第一営業課,営業部 CN=Yasuda
- 16. 16 AD DS「さわりかた」の超基礎 ① ~WINDOWS POWERSHELL 編 PS C:>$env:UserName • 現在ログオンしているユーザーID PS C:>Import-Module ActiveDirectory • Active Directoryモジュールの読み込み PS C:>Get-Command –module ActiveDirectory | Out-GridView • Active Directory 関連コマンド一覧の参照 PS C:>$userid = $env:UserName PS C:>Get-ADUser $userid • 現在ログオンしているユーザーIDの情報 PS C:>$userid = $env:UserName PS C:>$objUser = Get-ADUser $userid –properties displayName PS C:>$displayName = $objUser.dislayName • ユーザーのプロパテゖを参照
- 17. 17 AD DS「さわりかた」の超基礎 ② ~WINDOWS POWERSHELL 編 PS C:>cd AD: PS AD:>dir Name ObjectClass DistinguishedName ------------------------------------------------------------------------- Contoso domainDNS dc=Contoso,dc=Com Configuration configuration cn=Configuration,dc=contoso,… Schema dMD cn=schema,cn=Configuration,… ・ ・ PS AD:¥>cd ‘.¥DC=Contoso,DC=Com’ PS AD:¥DC=Contoso,DC=Com>dir Name ObjectClass DistinguishedName ------------------------------------------------------------------------- Builtin BuiltinDomain cn=Builtin,dc=contoso,dc=com Computers container cn=Computers,dc=contoso,dc… ・ ・ • AD DSをブラウズ
- 18. 18 AD DS「さわりかた」の超基礎 ③ ~WINDOWS POWERSHELL 編 • ユーザーIDに test を含むユーザーを検索する PS C:¥>Get-ADUser –Filter {sAMAccountName –like “*test*”} | ft sAMAccountName • 無効化されたユーザーを検索する PS C:¥>Search-ADAccount –AccountDisabled -UserOnly • パスワードの有効期限が切れたユーザーを検索する PS C:¥>Search-ADAccount –PasswordExpired -UserOnly • ゕカウントの有効期限が切れたユーザーを検索する PS C:¥>Search-ADAccount –AccountExpired -UserOnly • ロックされたユーザーを検索する PS C:¥>Search-ADAccount –LockOut -UserOnly • パスワードが無期限のユーザーを検索する PS C:¥>Search-ADAccount –PasswordNeverExpired -UserOnly
- 19. 19 AD DS「さわりかた」の超基礎 ④ ~WINDOWS POWERSHELL 編 • 1年間ログオンしていないユーザーを検索する ※ただし最近作成したユーザーは除外する PS C:¥>Search-ADAccount –AccountInactive –TimeSpan 365 -usersonly | Foreach-Object {(Get-ADUser $_.Name –Properties WhenCreated)} | Where-Object {$_.WhenCreated –lt “2009/11/18 17:00:00”} 今 2009/11/18 17:00:00 除外 今から365日前 この間にログオンしていないユーザー
- 20. 開発者のための AD DS 最新トピック 2010年度版 伝えたいのはコレ! 「Active Directory Recycle Bin」
- 21. 21 NEW! ACTIVE DIRECTORY RECYCLE BIN 機能 削除したユーザーを完全復活! 既定で180日間保持(変更可能) 削除状態からの復旧であればAuthoritative Restoreは不要 属性情報の紛失時には使えない Linked-Value も完全復活 グループメンバーシップやグループメンバー など 留意事項(ご参考) Active Directory フォレスト機能レベル Windows Server 2008 R2 規定では無効(有効にしたら元には戻せない) DITの容量が10~15%程度増加(目安) 操作は Windows PowerShell を使用
- 22. 22 削除済 リサクル済有効 NEW! ACTIVE DIRECTORY RECYCLE BIN 「削除済」からの完全復旧 消滅 削除 操作 Garbage Collection ・ ・ ・ ・ ・ ・
- 23. 23 なぜ AD Recycle Bin が 開発者に向けたトップストーリーなのか?
- 25. 25 ユーザーIDのプロビジョニング - AFTER Windows Server 2008 R2では 各種属性 所属グループ メンバーシップ
- 27. 27 参考 EVENTLOGを検索する PS > get-Eventlog security | where-object {$_.EventID –eq 5136}
- 28. WINDOWS POWERSHELL で RECYCLE BIN を操作してみる
- 29. 29 [フゔル名を指定して実行]-「powersell」 WINDOWS POWERSHELL ADモジュールを使用するための準備 PS > import-module ActiveDirectory PS > Get-Command -module ActiveDirectory [スタート]-[すべてのプログラム]-[管理ツール]-[Windows PowerShell用のActive Directoryモジュール] OR
- 32. 32 RECYCLE BINを使用するための準備 フォレストの機能レベルを「2008 R2」にする 「ゴミ箱」を有効にする PS> Set-ADForestMode –Identity contoso.com –ForestMode Windows2008R2Forest PS> Enable-ADOptionalFeature –Identity ‘Recycle Bin Feature’ –Scope ForestOrConfigurationSet –Target ‘contoso.com’
- 33. 33 削除されたオブジェクトを復旧する 削除されたオブジェクトを参照する オブジェクトを復旧する PS> Get-ADObject -filter {sAMAccountName -eq “user01”} -IncludeDeletedObject PS> Get-ADObject -filter {sAMAccountName -eq “user01”} -IncludeDeletedObject | Restore-ADObject
- 34. 34 オブジェクトを削除するとDELETED OBJECTSに移動 Deleted Objects コンテナに移動 IsDeleted属性が Trueに 全てのオブジェクトがフラットに並ぶ RDN(識別名)が書き換えられる <現在のRDN>¥0ADEL:<GUID> ¥0ADEL:… ¥0ADEL:… ¥0ADEL:… ¥0ADEL:… ¥0ADEL:... ¥0ADEL:…
- 36. 36 ツリーの復旧 1. 親を復旧 2. 親が「Finance_Department」であるものを復旧 3. 親が「Admins」であるものを復旧 Get-ADObject -ldapFilter:"(msDS-LastKnownRDN=Finance)" –IncludeDeletedObjects | Restore-ADObject Get-ADObject -SearchBase "CN=Deleted Objects,DC=contoso,DC=com" -Filter {lastKnownParent -eq "OU=Finance,DC=contoso,DC=com"} -IncludeDeletedObjects | Restore-ADObject Get-ADObject -SearchBase "CN=Deleted Objects,DC=contoso,DC=com" -Filter {lastKnownParent -eq "OU=Admins,OU=Finance,DC=contoso,com"} -IncludeDeletedObjects | Restore-ADObject
- 37. 37 削除済オブジェクト の ライフタイム を変更する リサイクル済オブジェクトのライフタイムを変更する (参考)ラフタムを変更するには Set-ADObject -Identity “CN=Directory Service, CN=Windows NT, CN=Services, CN=Configuration, DC=mydomain, DC=com” –Partition “CN=Configuration,DC=mydomain,DC=com” –Replace:@{“msDS-DeletedObjectLifetime” = 60} Set-ADObject -Identity “CN=Directory Service, CN=Windows NT, CN=Services, CN=Configuration,DC=mydomain, DC=com” –Partition “CN=Configuration,DC=mydomain,DC=com” –Replace:@{“tombstoneLifetime” = 365}
- 38. 38 業務に与えるンパクト データ復旧時のシステム停止時間を大幅に削減 従来 Authoritative Restore によるバックゕップからの復元 Snapshot から取り出し(Windows Server 2008) 今後 Windows PowerShell によって簡単に復元 簡易的なユーザーIDプロビジョニングシステムの実現 導入コストの大幅な軽減 中小規模システムへのプロビジョニングの適用が可能に
- 39. 39 VISUAL STUDIO から POWERSHELL を呼び出す .Net Framework ンフラSEは ここも欲しい! 仮想マシン Visual Studio ここがないと 自動化できない
- 40. 40 まとめ • PowerShell により Active Directory が近くなりました • Active Directory べったりのゕプリは引きが強い! • ンフラSEはみなさんを待っています! Silverlight を駆使し、無駄にグリグリまわる管理ツールの開発を!
- 41. APENDIX
- 43. 43 POWERSHELLをつかってみよう ~POWERSHELL に関する書式情報の取得方法 使い方に関する情報を得るには 使えるコマンドレット一覧取得 Get-Command ンストールされているゕプリによってコマンドレットは増減する コマンドレットの詳細な書式と例を表示 Get-Help <コマンドレット> -detailed コマンドレットのメソッドとプロパテゖ等を表示 <コマンドレット> | get-member <コマンドレット> | get-member | sort-object Name | format-list ※ COMのメンバーも取得できる New-Object -com scripting.filesystemobject | Get-Member
- 44. 44 POWERSHELLを使ってみよう Sample : 指定したフォルダのフゔル一覧 Get-ChildItem c:¥tmp | Where-Object {!( $_.Attributes –band 16 )} | Select-Object Name,Attributes sample03.ps1 PowerShell コンソールから コマンドプロンプトから (参考)継続行 について あきらかに継続することがわかる場合には、行の継続は自動的に判断してくれる PowerShell コンソールから入力した場合も同様 $_.Attributes and 010000 = True ※-band はビット演算子 and
- 46. 46 引数を受け取る方法 バッチ VBScript PowerShell C:¥> <スクリプト名> My name is “Junichi Anno” . Echo %1 / %2 / %3 / %4 Shift Echo %1 / %2 / %3 / %4 Set FullName=%3 Echo %FullName:"=% Set Args = Wscript.Arguments If Args.Count <> 0 Then For Each n in Args Wscript.Echo n Next End If foreach ( $a in $args ) { Write-Output $a } Write-Output $args[3] %1 ~ %9 までの変数で受け取る My / name / is / "Junichi Anno“ name / is / "Junichi Anno" / . Junichi Anno My name is Junichi Anno . My name is Junichi Anno . Junichi Anno
- 47. 47 名前付き引数 引数を所定の名前の変数に格納することで、文法チェック等が行いやすくなる WSHとPowerShell でスッチの識別文字が異なることに注意 VBScript PowerShell If WScript.Arguments.Named.Exists("userid") then strUserID = WScript.Arguments.Named.Item("userid") End If If WScript.Arguments.Named.Exists("password") then strPassword = WScript.Arguments.Named.Item("password") End If param([string] $UserID = “nouserid", [string] $Password = "nopassword") Write-Output $userid Write-Output $Password C:¥> script.vbs /userid:anno /password:hogehoge C:¥> script.ps1 -userid anno -password hogehoge
- 48. 48 変数の扱いと値の代入 バッチ WSH PowerShell Set LastName=Anno Set FirstName=Junichi Set FullName=“%FirstName% %LastName%” Set FullName=%FullName:"=% Echo %FullName% Echo %FullName:n=x% Echo %FullName:~8% Echo %FullName:~8,1% Echo %FullName:~-4,3% If /I %FullName:~-1,1%==o Echo OK Junichi Anno Juxichi Axxo Anno A Ann OK FirstName = "Junichi" LastName = "Anno" FullName = FirstName & " " & LastName Wscript.Echo Split(FullName," ")(0) Junichi $FirstName = "Junichi" $LastName = "Anno" $FullName = $FirstName + " " + $LastName Write-Output $FullName $arrFullName = $FullName.Split(" ") Write-Output $arrFullname[0] Junichi Anno Junichi
- 49. 49 入出力方法 これを抑えておけば、ひとまずたいていのことはできます バッチ 画面への出力 :Echo “Hello World” 画面からの入力 :「choice」 コマンド または 「set /p」コマンド フゔルへの出力 :dir > list.txt または dir >> list.txt フゔルから入力 : for /f "delims=" %i in ('type c:¥tmp¥list.txt') do @echo %i WSH(VBScript) 画面への出力 :Wscript.Echo “Hello World” 画面からの入力 :Stdin.ReadLine フゔルへの出力 :fso.OpenTextFile(“c:¥list.txt”, 2 or 8) フゔルから入力 :fso.OpenTextFile(“c:¥list.txt”, 1) PowerShell 画面への出力 :Write-Output “Hello” 画面からの入力 :$InputData = Read-Host フゔルへの出力 :Out-File -filepath C:¥tmp¥list.txt -inputobject $Record フゔルから入力 : $file = Get-Content -Path c:¥tmp¥list.txt
- 50. 2. AD DS その他の 新機能
- 51. 51 その他の新機能一覧 管理されたサービスゕカウント(MSA) オフランドメン参加(ODJ) 認証メカニズム保障(AMA) ベスト プラクテゖス ゕナラザー(BPA) Active Directory 管理センター(ADAC) Active Directory Web Services(ADWS) デゖレクトリサービス回復モードのパスワード同期
- 52. 52 機能 メンテナンスフリーな独立したサービス専用ゕカウントを作成 パスワードとSPNはNetlogonサービスによって自動リセット MaximumPasswordAge ごと reset-ADServiceAccountPassword <MSA> で手動リセット PowerShell を使用して設定 パスワードの複雑性ポリシーの影響は受けない 留意点 Windows 7 および Windows Server 2008 R2 のみ 1コンピューター/1サービス/1ゕカウント 管理されたサービスゕカウント ~MANAGED SERVICE ACCOUNT(MSA)
- 53. 53 (参考)管理されたサービスゕカウントの利用手順 PS> New-ADServiceAccount –Name SA01 ゕカウントを作成する 作成したゕカウントとコンピュータを関連付け PS> Add-ADComputerServiceAccount –Identity <ComputerName> -ServiceAccount SA01 ※再度 Get-ADServiceAccount で、HostComputersに、指定したComputerNameのDNが 登録されていることを確認 作成したゕカウントをコンピュータに登録(ローカルで実施) PS> Install-ADServiceAccount -Identity SA01 作成したゕカウントをサービスに登録 サービススナップンでゕカウントを指定 PS>Get-ADServiceAccount SA01 ※HostComputersとUserPrincipalNameが空であることを確認 ゕカウントを確認する
- 54. 54 機能 ドメンコントローラと通信せずにドメンに参加 BLOBフゔル(テキスト)を経由 プロビジョニングサーバーから排出し、参加予定コンピューターに取 り込む Base64でエンコードされているが暗号化されていない 再利用は不可能 対象 物理マシン 仮想マシン(他のマシンにマウント要) 留意点 Windows 7 と Windows Server 2008 R2 で使用可能 Domain Admins以外のユーザーは権限が必要 「ドメンにワークステーションを追加」または Computersコンテナ に対する「子オブジェクトの作成」権限 オフランドメン参加 ~ OFFLINE DOMAIN JOIN (ODJ)
- 55. 55 オフランドメン参加の動作メージ クラゕントDC C:¥> djoin /provision /domain <target domain> /machine <new machine name> /savefile <filename> C:¥> djoin /requestODJ /loadfile <filename> /windowspath <path to new machine’s %windir%>
- 56. 56 機能 証明書ベースのログオン時にユニバーサルグループへのメンバー シップを追加 証明書発行ポリシーのOID:ユニバーサルグループSID 留意点 Windows Server 2008 R2 ドメンフゔンクションレベルが必要 クラゕントは Vista / 7 / 2008 / 2008R2 Kerberos認証(NTLMではサポートされない) LDPまたはPowerShell スクリプトを使用して設定可能 スクリプトは以下で提供 認証メカニズム保障 ~(AMA : AUTHENTICATION MECHANISM ASSURANCE) ユーザーID/パスワード 証明書 http://technet.microsoft.com/en-us/library/dd378897(WS.10).aspx
- 57. 57 機能 設定が「ちゃんと」しているかどうかを調査するためのツール ちゃんとした設定=ベストプラクティス ベストプラクテゖスの提示 ※設定は手動で行う サーバーマネージャー か PowerShell を使用 ベストプラクテゖスシナリオは Windows Update 経由で定期的に 更新される予定 フゖードバックも受付中 http://connect.microsoft.com/ADBPA 留意事項 独自のベストプラクテゖスの追加ができない Windows Server 2008 R2 ドメンコントローラをサポート ベストプラクテゖスゕナラザ (BPA) PS> Import-Module BestPractices PS> Invoke-BPAmodel Microsoft¥Windows¥DirectoryServices PS> Get-BPAresult Microsoft¥Windows¥DirectoryServices
- 58. 58 機能 新しいドメン管理用GUI(MUX:Management UX) ※従来のGUIも継続提供 複数のドメン、複数のフォレストを管理 PowerShell AD コマンドレットをコール UIクエリーをLDAPクエリーに変換して保存 独自のクエリーを追加 カラム等のカスタマズ 留意点 現時点では「従来ツールの置き換え」にはならない PowerShell スクリプトの吐き出しができない トポロジーの管理が行えない ドラッグ & ドロップができない ンランでの名前変更ができない ACTIVE DIRECTORY 管理センター(ADAC)
- 59. 59 機能 Active DirectoryにゕクセスするためのWEBサービスを提供 TCP/9389 AD DS、AD LDS両方にゕクセス可能 WS* および WCF プロトコルを使用 留意点 Windows Server 2008 R2 DC または AD LDS ンスタンス Windows Server 2003 & 2008 DCの 場合は Active Directory Management Gateway (ADMG) のンストールが必要 http://support.microsoft.com/kb/969041/ja IIS は必要ない ACTIVE DIRECTORY WEB SERVICES (ADWS) LDAP S.DS.P / S.DS.AM / S.DS.AD Active Directory Core Web Services AD PowerShell MUX WCF WPF Administrative Center BPA WCF
- 60. 60 機能 ドメンコントローラー回復コンソールのパスワードを、 既存ユーザーのパスワードと同期 留意点 QFE適用によりWindows Server 2008 でも使用可能 http://support.microsoft.com/kb/961320/ja ドメンコントローラ単位に実施 デゖレクトリサービス回復モードの パスワード同期 (DSRM PASSWORD SYNC) C:¥> Ntdsutil.exe “Set DSRM Password” “Sync from domain account <ユーザーID> ” q q
- 61. 61 (参考)各新機能に必要な実装 ファンクションレベル 使用できる新機能 Windows7 または WS2008R2 クライアント オフラインドメインジョイン マネージドサービスアカウント + ADWS または ADMG(2008/2003) Active Directory 管理センター PowerShell for Active Directory + Windows Server 2008 R2 DC ベストプラクティスアナライザ 回復コンソール パスワード同期 (QFEにより Windows Server 2008でも使用可 能) + Windows Server 2008 R2 ドメイン ファンクションレベル 認証メカニズム保障 + Windows Server 2008 R2 フォレスト ファンクションレベル ゴミ箱