備忘録的な

業務用

めも

Windows Server 2008 R2Internet Explorer 9 を管理
=========================================================

Internet Explorer 9
[インターネットオプション] - [サイト]
IEM で設定しているなら、Internet Explorer 9 も管理可能
基本設定はInternet Explorer 8 までしか制御できない。

ただし、xml ファイル (sysvol配下のuser... xmlファイルで配布可能なバージョンを変更する)
可能っちゃ可能ですが、力技。

基本設定だったら、対象が 8 までなので、9 はできないですね。
なのでIEM で実施する。もしくは以下の KB2530309 を適用する。

Internet Explorer のグループポリシー
http://blog.engineer-memo.com/2013/03/24/internet-explorer-%E3%81%AE%E3%82%B0%E3%83%AB%E3%83%BC%E3%83%97%E3%83%9D%E3%83%AA%E3%82%B7%E3%83%BC/

グループ ポリシーの基本設定の使用
https://technet.microsoft.com/ja-jp/library/gg699429.aspx

======
グループ ポリシーの基本設定を使用して、Internet Explorer 9 の設定を構成することはできません。管理用テンプレートまたは Internet Explorer のメンテナンスを使用して、Internet Explorer の設定を管理できます。詳細については、「管理用テンプレートの使用」または「Internet Explorer メンテナンス拡張の使用」を参照してください。
======

Internet Explorer の メンテナンス”廃止に伴う代替案の紹介 - Part1.基本設定の紹介とプロキシ設定の配布
http://blogs.technet.com/b/jpieblog/archive/2014/08/13/3635844.aspx

//Windows Server 2008/Windows 7 環境か らIE9 への基本設定配布について

Windows Server 2008 R2 や RSATを使用したWindows 7 から基本設定をIE9のクライアントに対して配布する場合は下記の修正プログラムを適用する必要がございます。

Internet Explorer Group Policy Preferences do not apply to Internet Explorer 9 in a Windows Server 2008 R2 domain environment
http://support.microsoft.com/kb/2530309
https://support.microsoft.com/en-us/kb/2530309

※RSATで構成する場合は、Windows 7環境に適用してください
※適用後も新規作成時はIE8までしか選択できませんが、IE8項目から構成することでIE9へも配布可能となります。

 


==========================
ファイアウォールでポートを指定して通信を無効にする場合、
port 445 - SMB 通信を無効にする、リトライでnetbios ポートを使う。
これを抑止する場合は、双方のどちらがドメインコントローラかを考慮する必要がある。

要は、ドメイン上では普通に使用されるポート、
sysvol などもこのポートを使用した通信になるが、
無効にするとポリシーを適用などができなくなる。

だだ、ドメインコントローラが複数台あり、
別のドメインコントローラではこのような通信を無効化しないのであれば、
問題はないかも。

でもなんでもファイル共有を無効にするのか、
ドメインで普通に使用されるポートだけど。

Active Directory および Active Directory ドメイン サービスのポートの要件
https://technet.microsoft.com/ja-jp/library/dd772723(v=ws.10).aspx

DHCP
次の表は、動的ホスト構成プロトコル (DHCP) のポートの要件を示しています。

ポート トラフィックの種類
UDP 67 DHCP
UDP 2535 MADCAP

共有フォルダーと Windows ファイアウォールとは
https://technet.microsoft.com/ja-jp/library/cc731402.aspx

フォルダーまたはファイルを共有すると、ファイルとプリンターの共有のために Windows ファイアウォールの例外が作成されます。
この例外は、次の表に示すポートを開きます。

接続 ポート
TCP 139, 445
UDP 137, 138

既定のスコープでは、インターネット上のコンピューターも含めて、ネットワーク上のあらゆるコンピューターからのアクセスが許可されます。したがって、ハードウェア ファイアウォールファイアウォール サーバー、またはその他のインターネット共有デバイスを使用してこれらのポートでの着信接続をブロックしなければ、インターネット接続がアクティブになっている間はコンピューターがインターネットからの攻撃に対して無防備な状態になります。

ドメイン環境で使用されるポートについて
http://blogs.technet.com/b/jpntsblog/archive/2009/03/04/3208978.aspx


なぜポート137,138,139(NetBIOS,便利な機能)を、フィルタするんですか?
http://www.rtpro.yamaha.co.jp/RT/FAQ/Windows/NetBIOS-Filter.html

=============
DHCP DNS で使用される権限、
DNS Admin , Enterprise Admin
これらになる。ローカル Administratorでもいいけど
権限が少し足りない。
DNS は、ドメイン統合ゾーンの作成、
これはメンバでも無理?
DHCP は承認するために、
ローカルAdministrator ではむり、
Enterprise Adminが必要になる。

また、承認する際には通信は発生するがそれ以降は承認自体に通信は発生しない。
ただし、クライアント間では通信は発生する。

また、ドメインコントローラと、DHCP 間で使用されるポートについて、
これは、DHCP で使用されるポート以外にも、Active Directory 環境で
使用される LDAP や Kerberos に使われるポートを開ける必要がある。

ファイアウォールを挟むのであれば、それらを含む必要がある。

Windows のサービス概要およびネットワーク ポート要件
https://support.microsoft.com/ja-jp/kb/832017

DHCP サーバー

DHCP サーバー サービスは、DHCP (Dynamic Host Configuration Protocol) を使用して、自動的に IP アドレスを割り当てます。
このサービスを使用すると、DHCP クライアントの詳細なネットワーク設定を調整できます。
たとえば、ドメイン ネーム システム (DNS) サーバーや Windows インターネット ネーム サービス
(WINS) サーバーなどのネットワーク設定を調整できます。1 つまたは複数DHCP サーバーを構成することにより、
TCP/IP 構成情報を管理し、その情報をクライアント コンピューターに提供することができます。

システム サービス名: DHCPServer
アプリケーション プロトコル プロトコル ポート
DHCP サーバー UDP 67
マルチキャスト アドレス動的クライアント割り当てプロトコル (MADCAP)
UDP 2535
DHCP フェールオーバー TCP 647


Windows ファイアウォールのポートを構成して、DHCP サーバーのリモート管理を許可する
https://technet.microsoft.com/ja-jp/library/cc725989.aspx

DHCPサーバ&クライアントの利用ポートについて
https://social.technet.microsoft.com/Forums/ja-JP/54120902-a4d6-4bc2-9150-f6e4eb3c8156/dhcp

ご質問に対する回答としては、以下で良いかと思います。
Clietn --> DHCP Server (実際にはブロードキャストですが) の要求は UDP/67 に向けて送られ
DHCP --> Client の応答は UDP/68 に向けて送られる

補足として、DHCP リレー エージェントを含む場合はリレー エージェントと DHCP Server 間の通信は双方向とも UDP/67 になったかと思います。

==============

DNS ゾーンのセキュリティ保護
https://technet.microsoft.com/ja-jp/library/cc755193.aspx

他の DNS サーバーをゾーンに対する権限のあるサーバーとして指定する
https://technet.microsoft.com/ja-jp/library/cc770984.aspx


DHCP セキュリティ グループの詳細
https://technet.microsoft.com/ja-jp/library/dd759157.aspx

===================
DHCP Administrators グループ
DHCP Administrators グループのメンバーは、DHCP サーバーに関するすべての設定を表示および変更できます。DHCP Administrators は、スコープの作成と削除、予約の追加、オプション値の変更、スーパースコープの作成に加え、DHCP サーバーの構成とデータベースのエクスポートとインポートなど、サーバーを管理するために必要なすべてのタスクを実行できます。
DHCP Administrators グループのメンバーの管理権限は無制限ではありません。たとえば、DHCP サーバーがドメイン ネーム システム (DNS) サーバーとしても構成されている場合、DHCP Administrators グループのメンバーは DHCP の構成を表示および変更できますが、同じコンピューター上の DNS サーバーの構成は変更できません。
DHCP Administrators グループのメンバーの権限は、ローカル コンピューターだけを対象とするので、DHCP Administrators は、Active Directory ドメイン サービス (AD DS) で DHCP サーバーの承認または承認の解除を行うことはできません。このタスクは、Domain Admins グループのメンバーだけが実行できます。子ドメインDHCP サーバーの承認または承認の解除を行う場合は、親ドメインに対するエンタープライズ管理者資格情報を持っている必要があります。
note注
エンタープライズ管理者としてログオンするには、Enterprise Admins グループのメンバー アカウントを使用する必要があります。エンタープライズで作成された最初のドメイン コントローラーでローカル管理者としてログオンすることで、このグループに加わることができます。
===================

 

Active Directory ドメイン サービスで DHCP サーバーを承認する
https://technet.microsoft.com/ja-jp/library/dd894453(v=ws.10).aspx

抜粋
================
この手順を使用して、Active Directory ドメイン サービス (AD DS) で DHCP サーバーを承認できます。
この手順を実行するには、Domain Admins のメンバーシップ、またはそれと同等のメンバーシップが最低限必要です。

AD DS で DHCP サーバーを承認するには
[スタート] ボタンをクリックし、[管理ツール] をクリックして、[DHCP] をクリックします。DHCP Microsoft 管理コンソール (MMC) が開きます。
[DHCP] で、サーバー名をダブルクリックします。たとえば、DHCP サーバー名が DHCP-01.example.com の場合、[DHCP-01.example.com] をダブルクリックします。
DHCP MMC で、[操作] をクリックし、[承認] をクリックします。
AD DS でサーバーが承認されたことを確認するには、[操作] をクリックし、[更新] をクリックします。IPv4 アイコンが赤から緑に変わります。さらに、[操作] メニューの [承認] メニュー項目が、[承認の解除] メニュー項目に変わります。DHCP サーバーを使用停止にする場合、[承認の解除] メニュー項目を使用します。
================

AD DS で DHCP サーバーを承認する方法の詳細
https://technet.microsoft.com/ja-jp/library/cc754493.aspx

一般サイト
Active Directory 環境の DHCP サーバーの承認について
http://blog.engineer-memo.com/2010/03/31/active-directory-%E7%92%B0%E5%A2%83%E3%81%AE-dhcp-%E3%82%B5%E3%83%BC%E3%83%90%E3%83%BC%E3%81%AE%E6%89%BF%E8%AA%8D%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/

==============
■Enterprise Admins が必要な理由
DHCP の承認状況に関しては、Active Directoryパーティションの中でも、[構成パーティション] という場所に格納がされます。

- ADSI Edit で確認した構成パーティション

Active Directory 上では、[CN=Configuration,DC=<ドメイン>] となっている情報ですね。

この構成パーティションを変更できるのはデフォルトの設定では、[Enterprise Admins] のユーザーとなります。
認証されたユーザー [Authenticated Users] であれば、[読み取り] の権限がついていますので、通常のユーザーでも
構成を読み込むことはできるのですが変更はできません。
変更をするためには [Enterprise Admins] グループのユーザーの必要があります。
===============

 

 

DHCP サーバー移行ガイド
https://technet.microsoft.com/ja-jp/library/dd379535(v=ws.10).aspx

移行を完了するために必要な権限
移行元および移行先のサーバーで、次の権限が必要です。
DHCP サーバーの承認に必要なドメイン管理者の権限。

DHCP サーバーのインストールや管理に必要なローカル管理者権限。

移行ストアの場所に必要な書き込みアクセス許可。詳細については、「DHCP サーバーの移行: 移行の準備」を参照してください。

 

役割、役割サービス、または機能のインストールまたはアンインストール
https://technet.microsoft.com/ja-jp/library/hh831809.aspx

一部抜粋
==========
役割、役割サービス、機能をインストールまたはアンインストールするには、管理者としてサーバーにログオンしている必要があります。対象サーバーに対する管理者権限のないアカウントでローカル コンピューターにログオンしている場合は、[サーバー] タイルで対象サーバーを右クリックし、[管理に使用する資格情報] をクリックして、管理者権限を持つアカウントを指定します。オフライン VHD のマウント先のサーバーをサーバー マネージャーに追加する必要があります。さらに、マウント先のサーバーの管理者権限が必要となります
==========

管理者アカウント セキュリティ計画ガイド - 第 2 章
https://technet.microsoft.com/ja-jp/library/cc162790.aspx


==========
ドメイン環境の既定の管理者グループおよびアカウントには、次のものがあります。
Enterprise Admins (フォレスト ルート ドメインにのみ存在)
Domain Admins (すべてのドメインに存在)
Schema Admins (フォレスト ルート ドメインにのみ存在)
Group Policy Creator Owners (フォレスト ルート ドメインにのみ存在)
Administrators グループ
Administrator アカウント
DS Restore Mode Administrator (ディレクトリ サービス復元モードでのみ使用可能。 このアカウントは、ドメイン コントローラのローカル アカウントです。ドメイン全体に適用されるアカウントではありません。

このアカウントのパスワードは、コンピュータに Active Directory をインストールするときに設定されます)


管理者アカウントの種類
コンピュータまたはドメインにログオンする際に使用する管理者アカウントは、基本的に 3 つのカテゴリに分類されます。
どのカテゴリのアカウントにも、それぞれ固有の機能と権限があります。

ローカル管理者アカウント。
このカテゴリのアカウントには、Windows Server 2003 を最初にコンピュータにインストールしたときに作成および使用される、ビルトイン Administrator アカウントなどがあります。 また、インストール後に作成してビルトイン ローカル Administrators グループに追加したユーザー アカウントも、このカテゴリに含まれます。 このグループのメンバは、ローカル コンピュータのすべての機能に無制限にアクセスできます。

ドメイン管理者アカウント。
このカテゴリのアカウントには、Active Directory を最初にインストールしたときに作成および使用される、ビルトイン ドメイン Administrator アカウントなどがあります。 また、インストール後に作成してビルトイン ローカル Administrators グループまたは Domain Admins グループに追加したユーザー アカウントも、このカテゴリに含まれます。 これらのグループのメンバは、ドメイン (適切にセキュリティ保護されていない場合はフォレスト全体) のすべての機能に無制限にアクセスできます。

フォレスト管理者アカウント。
このカテゴリのアカウントには、フォレストに最初に作成したドメイン (フォレスト ルート ドメイン) のビルトイン ドメイン Administrator アカウントなどがあります。これは、フォレスト ルート ドメインの Administrator アカウントは Active Directory のインストール時に Enterprise Admins グループに自動的に追加されるためです。 また、インストール後に作成して Enterprise Admins グループに追加したユーザー アカウントも、このカテゴリに含まれます。 Enterprise Admins グループのメンバは、フォレスト全体のすべての機能に無制限にアクセスできます。 Enterprise Admins では、証明機関をインストールすることもできます。したがって、これを利用してフォレスト内の任意のユーザーのふりをすることができます。
==========