前提条件
システム要件
| 合計オブジェクト数 | 1年で必要なディスク容量 | RAM(ADのバックアップと復元のみ) | システムRAM(推奨) |
|---|---|---|---|
| 0~100,000 | 100GB | 3GB | 8GB |
| 200,000 | 200GB | 4GB | 8GB |
| 500,000 | 350GB | 6GB | 16GB |
| 1,000,000 | 500GB | 8GB | 16GB |
※表は、毎月1回の完全バックアップと毎日1回の増分バックアップを実施する前提で計算されます。
ポート要件
| ポート番号 | プロトコル | 利用用途 |
|---|---|---|
| 9270 | HTTP | Elasticsearchデータベースへの接続 |
| 9370 | TCP | クラスター内のノード間の通信 |
必要な権限
ADAudit Plusの「ADのバックアップと復元」を使用するために必要な権限
ADAudit PlusのADのバックアップと復元モジュールは、ドメイン管理者の資格情報を提供するとすぐにADオブジェクトのバックアップを開始できます。ただし、組織のポリシーによってドメイン管理者アカウントの使用が制限されている場合は、本機能の利用に必要な最小限の権限をサービスアカウントに割り当てる必要があります。
以下の表は、ADAudit Plusで構成されたサービスアカウントに割り当てる必要がある権限を示しています。
| アクション | 権限 |
|---|---|
| ADオブジェクトをバックアップ | ドメイン、DomainDNSZones、ForestDNSZones、構成、およびスキーマパーティションに対する読み取り、ディレクトリの変更のレプリケート、ディレクトリの変更をすべてにレプリケート権限 |
| GPOをバックアップ | サービスアカウントをAdministratorsグループに追加 |
| 削除されたGPOを復元 | サービスアカウントをGroup Policy Creator Ownersグループに追加 |
| すべてのADオブジェクトを復元 | 書き込み権限 |
ADAudit Plusの「ADのバックアップと復元」を使用するために必要な権限を構成する手順
AD内のドメイン、DomainDNSZones、ForestDNSZones、構成、およびスキーマパーティションに対する読み取り権限をサービスアカウントに付与するには、次の手順を実行します。
- ADSIエディターを開きます。
- [操作] → [接続]をクリックします。
- [接続の設定]ダイアログボックスで、ドメインパーティションの識別名を入力し、[OK]をクリックします。
- 左側ペインでドメインを右クリックし、[プロパティ]をクリックします。
- 表示されるダイアログボックスで、[セキュリティ]タブをクリックし、[グループ名またはユーザー名]セクションからサービスアカウントを選択します。[アクセス許可]セクションで、[ディレクトリの変更のレプリケート]、[ディレクトリの変更をすべてにレプリケート]、[読み取り]のチェックボックスを選択して、[適用]をクリックします。
- ユーザーアカウントにドメインパーティションに関連するすべての権限が付与されたので、ADSIエディターで[アクション] → [設定]をクリックします。
- ADSIエディターにDomainDNSZones、ForestDNSZones、構成およびスキーマパーティションを追加し、必要なすべての権限をアカウントに付与する手順を繰り返します。
上記権限が付与されると、ユーザーアカウントを使用して ADAudit Plusでドメインを構成し、バックアップ操作を実行できるようになります。
サービスアカウントを使用してドメインを追加した際に復元を実行する方法
サービスアカウントに割り当てた権限では、製品はAD環境のバックアップのみを実行できます。復元を実行する必要がある場合、製品はドメインの構成に使用されたアカウントを確認します。
- ドメイン管理者アカウントが使用された場合、管理者からの入力がなくても復元が実行されます。
- サービスアカウントが使用された場合、管理者はADに書き込むことができるユーザーのユーザー名とパスワードを入力するよう求められます。
- ADAudit PlusでADドメインを構成するために使用されたサービスアカウントにADへの書き込みに必要な権限がある場合は、[デフォルトのシステムドメイン資格情報を使用する]を選択します。
- アカウントにADへの書き込みに必要な権限がない場合は、チェックボックスを選択せずに、[ユーザー名]と[パスワード]にドメイン管理者またはADに書き込むことができるユーザーの資格情報を入力します。
資格情報を入力すると、製品は資格情報を使用して復元を実行します。復元の完了後、製品は資格情報を保存しません。
GPOのバックアップ
GPOをバックアップするには、製品はPowerShellコマンドを実行して管理者共有フォルダーにアクセスする必要があり、サービスアカウントをAdministratorsグループに追加する必要があります。
削除されたGPOもアカウントで復元できるようにするには、サービスアカウントをGroup Policy Creator Ownersグループにも追加する必要があります。