Ubuntu 22.04の新しいActive Directory統合機能(パート2) – グループポリシーオブジェクト
by jiashiuan on 6 June 2022
原典:https://ubuntu.com/blog/new-active-directory-integration-features-in-ubuntu-22-04-part-2-group-policy-objects
LinuxとActive Directory(AD)の統合は、長い歴史の中でも特に企業ユーザーから要望の大きかった機能です。Ubuntu Desktop 22.04では、新しいActive DirectoryクライアントとしてADsysを採用しました。このブログ記事は、新機能を詳細にご紹介するシリーズのパート2です。(パート1 – はじめに)
この記事では、クライアントをドメインに追加した後、ADsysがグループポリシーオブジェクト(GPO)をどのように使用してUbuntuのdconf設定を変更するかに重点を置きます。
この分野でも、ADsysの他の新機能と同様、ユーザー体験はMicrosoft Windowsのネイティブ体験にできるだけ近づけるよう努めました。これによりIT管理者はUbuntuデスクトップの管理で長年蓄積してきた知識とツールを再利用できます。
Active Directory管理用テンプレート
Windowsクライアントと同様、ADに管理できる機能を伝える第一歩は管理用テンプレートのインポートです。Canonicalは、各言語専用の.admlファイルと言語を問わない.admxの選択肢を提供しています。
管理用テンプレートは、Windowsドメインコントローラーのsysvolフォルダにあるセントラルストアにインポートする必要があります。セントラルストアとは、グループポリシーツールがデフォルトでチェックするファイルの保存場所であり、すべてのドメインコントローラーに複製されます。セントラルストアの作成と管理について詳しくは、Microsoftが提供する豊富なドキュメンテーションをご覧ください。
デバイスがドメインに追加されると、ADsysはコマンドラインインターフェイスを表示し、実行するディストリビューションに対応するテンプレートをダウンロードが可能になります。管理用テンプレートは各種のデータタイプをサポートし、管理コンソールは修正しようとするプロパティ(ブール値、リストなど)に応じてUIを変更します。
Canonicalは今後も、Ubuntuの最新バージョンと互換性のあるツール/リリース更新済みのテンプレートをサポートします。提供されているテンプレートについては、プロジェクトGithubのページの関連セクションをご覧ください。
グループポリシーオブジェクトの使用
Active Directory管理センター
グループポリシーオブジェクトは、任意のdconf設定の変更に使用できます。使用状況と顧客需要により、将来的に他のポリシーマネージャーとの互換性も追加できます。
Windowsと同様、Canonicalはユーザーポリシーとコンピューターポリシーの両方を提供します。これにはActive DirectoryのUbuntu管理用テンプレートからアクセスしてください。GPOルールには、従来どおり有効、無効、未構成の状態があり、その優先順位はデフォルトのActive Directory構造と同じです(すなわちマシンポリシーがユーザーポリシーより優先)。
以下についてはWindowsと同じGPOが適用されます。
- 起動時にコンピューターポリシー
- ログイン時にユーザーポリシー
- 接続中のアクティブなクライアントについては設定可能な間隔で(デフォルトは標準90分に設定)
この設定はクライアント上の該当ユーザーに適用され、ローカルマシン管理者のみが上書き可能です。
SSSDとセキュリティポリシー
ADsysがSSSDに代わるのではなく補足することは重要です。SSSDによって現在管理または部分的にサポートされているActive Directoryセキュリティポリシーは、ADsysにコピーされません。
SSSDは18.04以降のUbuntuのすべてのバージョンに含まれます。詳細はCanonicalのドキュメンテーションまたはアップストリームプロジェクトのページをご覧ください。
その他のリソースと新しい機能の利用方法
このブログ記事に記載されている機能は、すべてのUbuntuユーザーに無償で提供されていますが、権限の管理とリモートスクリプトの実行にはUbuntu Advantageのサブスクリプションが必要です。Ubuntu SSOアカウントを使用すれば、個人向けの無償ライセンスも取得できます。ADSysは、20.04.2 LTS以降のUbuntuでサポートされ、Windows Server 2019でテスト済みです。
CanonicalはこのほどActive Directory統合ホワイトペーパーを更新し、新しい機能を最大限に活用していただくための実用的な手順を追加しました。ADsysの仕組みについて詳しくは、Githubの該当ページまたは製品説明書をご参照ください。
Ubuntu Desktop、Ubuntu Advantage、または最新のActive Directory統合機能の詳細は、お問い合わせの上、アドバイザーにニーズをお聞かせください。
ニュースレターのサインアップ
関連記事
サイバーセキュリティの未来を想像する
2024年10月にUbuntuは20周年を迎えました。サイバーセキュリティ情勢は2004年から大きく変わりました。Ubuntuのセキュリティチームは、サイバーセキュリティ意識向上月間を記念してポッドキャストの3回シリーズを作成しました。これをフォローしている方は、業界を方向づけた重要な出来事や、自分を守るためのアドバイスなどをお聞きになっていることと思います。ベストプラクティスのいくつかは20年前とそれほど変わっていませんが、一部の技術やプロセスは耳慣れないかもしれません。 たとえば、CVEプログラムは2004年に存在していました(そして偶然にも今年の10月にこのプログラムは25周年を迎えました)。その一方で、CVD(協調的脆弱性開示)はそれほど普及していませんでした。こ […]
写给坚守CentOS的你-必知的六个关键点,助你做好准备
CentOS 7 的生产商在 2020 年宣布,CentOS 7 将于 2024 年 7 月达到生命周期结束(EoL)。如今,该日期已经过去,然而 CentOS 的故事还没有结束。有人预计 CentOS 用户数量会大幅下降,但数据显示,22% 的企业仍在使用 CentOS。 我们也许应该降低我们的期望:CentOS 7 的生命周期可能即将结束,但许多组织可能仍在考虑向新系统过渡却尚未实施。然而,CentOS 用户仍然必须面对这样一个事实:他们等待迁移的时间越长,就越难保持 CentOS 资产的安全和功能。坚持下去看起来很诱人,但是月复一月,年复一年,依赖关系将开始瓦解,手动修补工作量将增加,不兼容性将开始在整个堆栈中出现。 本篇博客适合仍在决定迁移到哪个系统的读者进行 […]
IoTデバイス管理とは
IoTデバイス管理とは、IoTデバイスのデプロイ、モニター、メンテナンスに使用するプロセスや手順を意味します。企業がIoTの運用規模を拡大するとともに、しっかりしたデバイス管理アプローチでデバイス群を安全かつ効率的に運用することが必須となります。 世界中でコネクテッドデバイスが普及し(予測では2024年には188億台にのぼる)、IoTデバイス管理が複雑化しています。そして悪意ある者もそこに目をつけています。2023年には、平均して組織あたり1週間に60件ものIoT攻撃がありました。これはデバイス自体、そしてデバイスと他のデバイスや管理システムとの接続が、大きな攻撃対象領域を作るためです。 このブログ記事では、可視性、相互運用性、セキュリティという3つの目的に重点を置き、I […]