Active Directoryレポート
確認ビルド: Desktop Central 10.1.2138.19
Active Directory レポート
Desktop Centralでは、管理対象が所属するActive Directoryサーバー(ドメインコントローラー)と同期し、管理対象が参加するActive Directoryドメインに関する一部のレポートを利用できます。
Desktop Central で実行できるのは、Active Directory に関する一部情報のレポート出力に限定されます。Active Directoryの管理には、ManageEngineシリーズのActive Directory管理に特化した製品の利用も合わせてご検討ください。
- ADManager Plus: アカウント管理、ファイルサーバー管理などの機能を持つActive Directory運用管理ソフトウェアです。M365, Exchange管理にも対応しています。
- ADAudit Plus: Active Directory監査ログ分析ツールです。
- ADSelfService Plus: ADアカウント管理のユーザー向けセルフサービス(パスワードのリセット、SSO)を提供し、管理者の工数を削減します。
- AD360: 上記3製品に加え、M365 Manager Plusを1つのコンソールに組み合わせた包括的なソリューションです。
前提条件
レポートを出力するには、Desktop Centralにドメインを追加する必要があります。
- ドメインの登録より先にActive Directoryドメインに所属するコンピューターを管理対象に追加(エージェントをインストール)した場合、同名のワークグループが追加されます。そのワークグループを編集してドメインに変更します。詳細はドメインの追加に関するナレッジを参照してください。
- ドメインを追加するには、Active Directoryドメイン管理者の資格情報の登録が必須です。資格情報を登録しない場合、Active Directoryレポート機能を含む一部の機能を使用できません。登録済みの資格情報は 管理タブ > グローバル設定 > 資格情報マネージャー から確認/編集できます。
- ドメインコントローラーとの通信を許可する必要があります。なお、Desktop Central がドメインコントローラーへ変更操作することはありません。
- Active Directoryと同期すると、Desktop Central コンソール画面へのログインにおいてActive Directory 認証を設定可能になります。詳細は製品ユーザーの追加/削除をご覧ください。
- ドメインを追加し情報の同期完了後、エージェントタブ > 管理対象 > ドメイン を開き各ドメイン名をクリックすると ドメインに参加するコンピューターの総数、ドメインユーザーの総数、管理対象コンピューターの台数が表示されます。
- ドメインへのコンピューターの追加/削除に合わせてエージェントを自動インストール/アンインストール/管理者に通知する「管理対象ポリシー」機能が利用可能です。前提条件はナレッジをご確認ください。
- ドメインを追加できない場合、こちらまたはこちらをご覧ください。
Active Directoryサーバーとの同期
Active Directory ドメインの追加後、同期スケジュールを設定します。
スケジュール同期
- レポートタブ > Active Directoryレポート を開きます。
- 画面上部の情報ポップアップ > 今すぐスケジュール または 右上の「AD同期スケジューラーは無効: 編集」をクリックします(または 管理タブ > レポート設定 > ADレポート設定 を開きます)。
- 「スケジューラーを有効にする」にチェックを入れ、同期するドメインを選択します。
- スキャンモード: Update complete object(すべてを同期)、 Update only modified object(編集したもののみを同期)のいずれかを選択します。
- 間隔: Weekly のアクション列の三点リーダーアイコンをクリックします。
- スキャンの実行間隔を指定します。
- 毎日/隔日/平日のみ実行: 「1日ごと」を選択し、基準とするタイムゾーンと開始時刻を指定します。また「毎日/隔日/平日」を選択します。
- 毎週指定した曜日に実行: 「週ごと」を選択し、基準とするタイムゾーンと開始時刻を指定します。また曜日を選択します。
- 毎月指定した日または曜日に実行: 「月ごと」を選択し、基準とするタイムゾーンと開始時刻を指定します。曜日を指定する場合は「Monthly Week」を選択して第n週および曜日、月を指定します。
日を指定する場合は、「Monthly Day」を選択して日付および月を指定します。
- [スケジュール]をクリックして実行間隔を保存します。
- メール通知を有効化する場合は、「メールによるレポート受信」にチェックを入れ
- 差出人: 送信メールアドレスを入力します。
- 宛先: 宛先メールアドレスを入力し、Enterキーを押下します。
- 件名: 通知メールの件名を指定します。
- [保存]をクリックします。
手動同期
スケジュール設定した以外のタイミングで同期したい場合は、レポートタブ > Active Directoryのレポート を開き、同期するドメインにチェックを入れ [変更事項のみ同期] または [すべて同期] のいずれかをクリックします。
ユーザーレポート
以下のようなユーザーの情報を格納するレポートが利用可能です。表示されるレポートで各ユーザー名をクリックすると、その詳細が表示されます。
ユーザー名、ドメイン名、変更時刻、フルネーム、メールアドレス、最終ログイン時刻、GUID、作成時刻、DN、表示名、パスワード最終設定日、パスワード有効/期限切れ、パスワード有効期限あり/なし、ロックアウトステータス など
- 一般レポート
- すべてのユーザーアカウント: ドメインユーザーの一覧を表示します。
- 最近作成したユーザーアカウント: Active DirectoryのcreateTimeStamp属性に基づき、最近(デフォルトの状態では直近の1週間)作成されたユーザーの一覧を表示します。期間は変更可能です。
- 最近変更したユーザーアカウント: Active DirectoryのmodifyTimeStamp属性に基づき、最近(デフォルトの状態では直近の1週間)編集されたユーザーの一覧を表示します。期間は変更可能です。
- ログインスクリプトなしのユーザーアカウント: Active DirectoryのscriptPath属性に基づき、ログオンスクリプトのないユーザーの一覧を表示します。
- 複数のグループのユーザーアカウント: 複数のグループ(ネストされたグループを含む)に所属するユーザー一覧を表示します。
- 有効期限のないユーザーアカウント: Active DirectoryのuserAccountControl属性に基づき、アカウントに有効期限のないユーザー一覧を表示します。
- すべてのユーザーアカウント: ドメインユーザーの一覧を表示します。
- パスワード ベースのレポート
- パスワード期限切れが近いユーザーアカウント: パスワードが指定日数以内(デフォルトでは7日以内)に期限切れとなるユーザーの一覧を表示します。期間は変更可能です。
- パスワード期限切れのユーザーアカウント: Active DirectoryのuserAccountControl属性に基づき、パスワードの有効期限が既に切れているユーザーの一覧を表示します。
- パスワード期限がないユーザーアカウント: Active DirectoryのuserAccountControl属性に基づき、パスワードの有効期限がないユーザーの一覧を表示します。
- パスワードを変更できないユーザーアカウント: Active DirectoryのuserAccountControl属性に基づき、パスワード変更権限のないユーザー一覧を表示します。
- パスワード期限切れが近いユーザーアカウント: パスワードが指定日数以内(デフォルトでは7日以内)に期限切れとなるユーザーの一覧を表示します。期間は変更可能です。
- アカウントステータスレポート
- 有効なユーザーアカウント: Active DirectoryのlastLogon属性に基づき、過去30日/60日/90日/180日以内に少なくとも1回以上ログインしたユーザー一覧を表示します。
- 非アクティブなユーザーアカウント: Active DirectoryのlastLogon属性に基づき、過去30日/60日/90日/180日以内に1回もログインしていないユーザー一覧を表示します。
- 無効なユーザーアカウント: Active DirectoryのuserAccountControl属性に基づき、管理者によって無効化されているユーザー一覧を表示します。
- 期限切れのユーザーアカウント: Active DirectoryのaccountExpires属性に基づき、アカウントの期限が切れて失効したユーザーの一覧を表示します。
- 有効なユーザーアカウント: Active DirectoryのlastLogon属性に基づき、過去30日/60日/90日/180日以内に少なくとも1回以上ログインしたユーザー一覧を表示します。
- 特権ユーザーアカウント
- ドメイン管理者のユーザーアカウント: ドメインの管理者権限をもつユーザー一覧を表示します。
- ダイヤルイン アクセス権を持ったユーザーアカウント: Active DirectoryのmsNPAllowDialin属性に基づき、ダイヤルイン権限をもつユーザー一覧を表示します。
- ドメイン管理者のユーザーアカウント: ドメインの管理者権限をもつユーザー一覧を表示します。
- ログインベースのレポート
- 未使用のユーザーアカウント: Active DirectoryのlastLogon属性に基づき、アカウント作成時から一度もログインしていないユーザー一覧を表示します。
- 最近ログインしたユーザーアカウント: Last Logon Timeに基づき、指定日数(デフォルトの状態では直近の1週間)の期間内にログインしたユーザーの一覧を表示します。期間は変更可能です。
- 最終ログインが失敗したユーザーアカウント: Active DirectoryのbadPasswordTime属性およびbadPwdCount属性に基づき、直近のログインに失敗したユーザー一覧を表示します。
- 未使用のユーザーアカウント: Active DirectoryのlastLogon属性に基づき、アカウント作成時から一度もログインしていないユーザー一覧を表示します。
PCのレポート
以下のようなコンピューターの情報を格納するレポートが利用可能です。表示されるレポートで各コンピューター名をクリックすると、その詳細が表示されます。
コンピューター名、ドメイン名、OS名、GUID、作成日時、変更日時、DN、DNS名、OSバージョン、最終ログイン日時、UACなど
- 一般レポート
- すべてのコンピューター: Active Directoryドメインに参加するすべてのコンピューターを表示します。
- Windowsワークステーション: Windows ServerおよびActive Directoryサーバー(ドメインコントローラー)以外のコンピューターの一覧を表示します。
- 最近追加したPC: Active DirectoryのcreateTimeStamp属性に基づき、最近(デフォルトの状態では直近の1週間)追加されたコンピューターの一覧を表示します。期間は変更可能です。
- 最近ログインしたPC: Active DirectoryのlastLogon属性に基づき、最近(デフォルトの状態では直近の1週間)ユーザーがドメインへのログインに使用したコンピューターの一覧を表示します。期間は変更可能です。
- 最近変更したPCアカウント: Active DirectoryのmodifyTimeStamp属性に基づき、最近(デフォルトの状態では直近の1週間)編集されたコンピューターオブジェクトの一覧を表示します。期間は変更可能です。
- 無効なPCアカウント: Active DirectoryのuserAccountControl属性に基づき、ドメインで無効化されたコンピューターアカウントを表示します。
- OUごとのPCアカウント: OUごとのコンピューターアカウント一覧を表示します。
- すべてのコンピューター: Active Directoryドメインに参加するすべてのコンピューターを表示します。
- サーバーレポート
- Windowsサーバー: Active DirectoryのoperatingSystem属性に基づき、OSがWindows Serverであるコンピューターの一覧を表示します。以下の「メンバーサーバー」と「ドメインコントローラー」の両方が表示されます。
- メンバーサーバー: ドメイン内のWindows Serverのうち、Active Directoryサーバー(ドメインコントローラー)ではないコンピューターの一覧を表示します。
- ドメインコントローラー: ドメイン内のWindows ServerのうちActive Directoryサーバー(ドメインコントローラー)の一覧を表示します。
- Windowsサーバー: Active DirectoryのoperatingSystem属性に基づき、OSがWindows Serverであるコンピューターの一覧を表示します。以下の「メンバーサーバー」と「ドメインコントローラー」の両方が表示されます。
- OSベースのレポート
- OSとサービスパックに基づいたPCの一覧: 各コンピューターのOS(およびサービスパック)を表示します。
グループレポート
以下のようなグループの情報を格納するレポートが利用可能です。表示されるレポートで各グループ名をクリックすると、その詳細が表示されます。
名前、ドメイン名、作成日時、変更日時、場所、グループの種類、メンバー、GUID、DN、説明 など
- 一般レポート
- すべてのグループ: 同期対象のドメインに含まれるグループ一覧を表示します。
- 最近作成したグループ: Active DirectoryのcreateTimeStamp属性に基づき、最近(デフォルトの状態では直近の1週間)作成されたグループの一覧を表示します。期間は変更可能です。
- 最近変更したグループ: Active DirectoryのmodifyTimeStamp属性に基づき、最近(デフォルトの状態では直近の1週間)変更されたグループの一覧を表示します。期間は変更可能です。
- OUごとのグループ: 所属するOUごとのグループ一覧を表示します。
- すべてのグループ: 同期対象のドメインに含まれるグループ一覧を表示します。
- グループタイプベースのレポート
- セキュリティグループ: Active DirectoryのgroupType属性に基づき、セキュリティグループ一覧を表示します。
- 配布グループ: Active DirectoryのgroupType属性に基づき、配布グループ一覧を表示します。
- セキュリティグループ: Active DirectoryのgroupType属性に基づき、セキュリティグループ一覧を表示します。
- メンバー ベースのレポート
- ネストしたグループ: 他のグループに含まれる(ネストされた)グループの一覧を表示します。
- メンバー詳細付きのグループ: メンバーが含まれるグループの一覧を表示します。メンバーユーザー数、メンバーコンピューター数、メンバーグループ数をクリックすると詳細を確認できます。
- 最大メンバー数に達しているグループ: 指定したメンバー数と一致する(または指定したメンバー数を超える)グループを表示します。
- メンバーのいないグループ: メンバーの含まれないグループの一覧を表示します。
- ユーザーのみのグループ: メンバーユーザーのみのグループを表示します。
- PCのみのグループ: メンバーコンピューターのみのグループを表示します。
- ネストしたグループ: 他のグループに含まれる(ネストされた)グループの一覧を表示します。
OUのレポート
以下のようなOUの情報を格納するレポートが利用可能です。表示されるレポートで各OU名をクリックすると、その詳細が表示されます。
名前、ドメイン名、作成日時、変更日時、OUのオブジェクト数、場所、GUID、DN、OUのユーザー数、OUのコンピューター数、OUのグループ数、子OU数 など
- 一般レポート
- すべてのOU: 同期対象ドメインのうち、すべてのOUを表示します。
- 最近作成したOU: Active DirectoryのcreateTimeStamp属性に基づき、最近(デフォルトの状態では直近の1週間)作成されたOUの一覧を表示します。期間は変更可能です。
- 最近変更したOU: Active DirectoryのmodifyTimeStamp属性に基づき、最近(デフォルトの状態では直近の1週間)変更されたOUの一覧を表示します。期間は変更可能です。
- すべてのOU: 同期対象ドメインのうち、すべてのOUを表示します。
- OUの子ベースのレポート
- 子の詳細付きのOU: 子OUのあるOUの一覧を表示します。OUのユーザー数、コンピューター数、子OU数をそれぞれクリックすると詳細を表示します。
- 子がいないOU: 子OUのないOUの一覧を表示します。
- ユーザーのみで構成されたOU: 子としてユーザーのみを含むOUの一覧を表示します。
- コンピューターのみで構成されたOU: 子としてコンピューターのみを含むOUの一覧を表示します。
- ネストされたOU: 他のOUの子としてネストされたOUの一覧を表示します。
- 子の詳細付きのOU: 子OUのあるOUの一覧を表示します。OUのユーザー数、コンピューター数、子OU数をそれぞれクリックすると詳細を表示します。
ドメインのレポート
以下のようなドメインの情報を格納するレポートが利用可能です。表示されるレポートで各ドメイン名をクリックすると、その詳細が表示されます。
サイト: サイト名、ドメイン名、サブネットID、サブネットマスク、ドメインコントローラー名 など
ドメイン: 名前、作成日時、変更日時、DN、説明、ドメインのNetBios名 など
ユーザー: 名前、ドメイン名、作成日時、変更日時、GUID、タイプ、非アクティブ、DN など
- 一般レポート
- Active Directory上のサイト: サイトの一覧を、関連する属性とともに一覧表示します。サイト名をクリックするとサブネット内のコンピューター台数、作成日時、変更日時などが確認できます。
- Active Directoryのドメイン: ドメインの情報(FQDN、作成日時、変更日時、ロケーション、メンバー)を表示します。
- Active Directory上のプリンター: プリンターの詳細(ドメイン名、Active Directory URL、モデル、場所、共有名、ホストするサーバー名、ドライバー、ポートなど)を表示します。
- Group Policy Creator Owner: ドメインに適用可能なグループポリシーの編集権限をもつGPCOグループのメンバーを表示します。
- Active Directory上のサイト: サイトの一覧を、関連する属性とともに一覧表示します。サイト名をクリックするとサブネット内のコンピューター台数、作成日時、変更日時などが確認できます。
- コンテナベースのレポート
- 「ユーザー」コンテナのグループ: 「ユーザー」コンテナに含まれるユーザー一覧を表示します。
- 「ユーザー」コンテナのグループ: 「ユーザー」コンテナに含まれるグループ一覧を表示します。
- 「コンピューター」コンテナのコンピューター: 「コンピューター」コンテナに含まれるコンピューター一覧を表示します。
- 「組込み」コンテナのグループ: 「ビルトイン」コンテナに含まれるグループ一覧を表示します。
- 「ユーザー」コンテナのグループ: 「ユーザー」コンテナに含まれるユーザー一覧を表示します。
GPOレポート
以下のようなGPOの情報を格納するレポートが利用可能です。表示されるレポートで各GPO名をクリックすると、その詳細が表示されます。
ドメイン名、GPO表示名、作成日時、変更日時、GPOステータス(有効/無効)、名前、GUID、DN、ファイルシステムパス、バージョン など
- 一般レポート
- すべてのGPO: 同期対象ドメイン内のすべてのGPOを表示します。
- 最近作成したGPO: Active DirectoryのcreateTimeStamp属性に基づき、最近(デフォルトの状態では直近の1週間)作成されたGPOの一覧を表示します。期間は変更可能です。
- 最近変更したGPO: Active DirectoryのmodifyTimeStamp属性に基づき、最近(デフォルトの状態では直近の1週間)作成されたGPOの一覧を表示します。期間は変更可能です。
- OUごとのGPO: OUごとにGPOを表示します。
- すべてのGPO: 同期対象ドメイン内のすべてのGPOを表示します。
- GPOリンクベースのレポート
- OUにリンクされたGPO: Active DirectoryのgPlink属性に基づき、OUにリンクされたGPOの一覧を表示します。
- ドメインにリンクされたGPO: Active DirectoryのgPlink属性に基づき、ドメインにリンクされたGPOの一覧を表示します。
- サイトにリンクされたGPO: Active DirectoryのgPlink属性に基づき、サイトにリンクされたGPOの一覧を表示します。
- OUにリンクされたGPO: Active DirectoryのgPlink属性に基づき、OUにリンクされたGPOの一覧を表示します。
- 継承ベースのレポート
- 継承がブロックされているOU: Active DirectoryのgPOptions属性に基づき、親コンテナーからの継承がブロックされているOUの一覧を表示します。
- 継承がブロックされているドメイン: Active DirectoryのgPOptions属性に基づき、親コンテナーからの継承がブロックされているドメインの一覧を表示します。
- 強制されたGPO: 強制適用が有効化(=下位のGPOによる上書きが禁止)されたGPOの一覧を表示します。強制が有効化されたGPOは、継承のブロックを無視して強制的に適用されます。
- 継承がブロックされているOU: Active DirectoryのgPOptions属性に基づき、親コンテナーからの継承がブロックされているOUの一覧を表示します。
- GPOステータスベースのレポート
- ユーザー構成が有効のGPO: コンピューターの構成が無効になっている(=ユーザーの構成のみ)GPOの一覧を表示します。
- コンピューター構成が有効のGPO: ユーザーの構成が無効になっている(=コンピューターの構成のみ)GPOの一覧を表示します。
- ユーザーの構成とコンピューターの構成が有効のGPO: ユーザーの構成とコンピューターの構成の両方が含まれるGPOの一覧を表示します。
- 無効なGPO: ユーザーの構成とコンピューターの構成のどちらも無効なGPOの一覧を表示します。
- 未使用のGPO: 作成以降使用されていないGPOの一覧を表示します。
- ユーザー構成が有効のGPO: コンピューターの構成が無効になっている(=ユーザーの構成のみ)GPOの一覧を表示します。
- 特殊GPOレポート
- ユーザー構成の更新頻度が高いGPO: デフォルトでは、ユーザーバージョンが5以上のGPOを表示します。この閾値は変更可能です。
- コンピューター構成の変更頻度が高いGPO: デフォルトでは、コンピューターバージョンが5以上のGPOを表示します。この閾値は変更可能です。
- ユーザー構成とコンピューター構成の更新頻度が高いGPO: デフォルトでは、ユーザーバージョンが5以上 または コンピューターバージョンが5以上のGPOを表示します。この閾値は変更可能です。
- ユーザー構成の更新頻度が高いGPO: デフォルトでは、ユーザーバージョンが5以上のGPOを表示します。この閾値は変更可能です。