Active Directory の新機能
Active Directory ディレクトリ サービスでは、インフラストラクチャ全体へのシングル ログオン機能と情報を集中管理するリポジトリが提供されます。その結果、ユーザーとコンピュータの管理が大幅に簡素化され、ネットワーク リソースへの優れたアクセスが提供されます。ここでは、Windows Server 2003 での Active Directory のメリット、新機能、および機能強化の概要について説明します。
|
トピック
 | メリット |
| Windows Server 2003 R2 の新機能 |
| 新機能と強化機能 |
メリット
Active Directory に行われた機能強化により、中規模から大規模企業に重要な戦略的メリットがもたらされ、管理者やユーザーの生産性が向上します。Windows 2000 で確立された基盤がさらに拡張され、Windows Server 2003 では Active Directory の汎用性、管理の容易性、および信頼性が一層向上しました。その結果、コストを削減でき、さまざまなリソースを一層効率的に共有および管理することができます。
| メリット | 説明 |
柔軟性の向上 | Active Directory に新機能が導入されたことにより、現在市販されている最も柔軟性の高い製品になりました。ディレクトリ対応のアプリケーションはますます増えており、企業は Active Directory のさまざまな機能を利用することで、非常に複雑な企業ネットワーク環境も容易に管理することができます。Windows Server 2003 における機能の向上により、インターネット データ センターやエクストラネット アプリケーションの展開からブランチ オフィスに分散される大規模組織まで、管理の容易性、パフォーマンス、および効率性が向上し、真の汎用ソリューションとなります。 |
総保有コストの削減 | Active Directory の機能が強化され、企業は総保有コスト (TCO) や運用コストを削減することができます。Active Directory のすべての製品レベルでの新機能の導入と機能強化により、汎用性が強化され、管理が容易となり、信頼性も向上しました。 |
Windows Server 2003 R2 の新機能
Windows Server 2003 R2 では、Active Directory により、さらに柔軟性の高い展開オプションが提供され、Unix 環境との相互運用性、エクストラネット アプリケーションの展開、ドメイン間の ID の連合、および分散型のアプリケーション ディレクトリ展開が可能になります。
| メリット | 説明 |
Active Directory フェデレーション サービス (ADFS) | ADFS では、Web ベースのエクストラネット認証/承認、シングル サインオン (SSO)、および Windows Server 環境の連合された ID サービスが提供されます。これにより、B2C エクストラネット、企業間 (マルチフォレスト) の連合、および B2B インターネット連合と関連のあるシナリオで既存の Active Directory 展開の価値が高まります。 |
Active Directory Application Mode (ADAM) | 以前は Web からダウンロードして利用できた Active Directory Application Mode (ADAM) は、Windows Server 2003 R2 メディアに収録されるようになりました。ADAM は、Active Directory の独立モードで、インフラストラクチャ機能はありませんが、アプリケーション用のディレクトリ サービスを提供します。スタンドアロン データ ストアとして運用、または Active Directory ドメイン コントローラとの相互運用といった ADAM の柔軟性により、管理者はディレクトリ サービスのインフラストラクチャをローカル制御サービス、自立サービス、共有サービスなど、目的に合ったサービスに調整できます。 |
UNIX の ID 管理 | UNIX の統合により、AD ドメイン コントローラをマスタ NIS サーバーとして機能するようにし、Unix 環境と Windows 環境でユーザーのパスワードを同期することによって、異なるオペレーティング システム間でユーザーがスムーズにネットワーク リソースにアクセスしたり、ネットワーク リソースを効率的に管理するのに役立ちます。 |
新機能と強化機能
Windows Server 2003 では、Active Directory の多くの機能が強化されており、汎用性と信頼性が向上し、コストも削減できます。具体的には、Windows Server 2003 で Active Directory に以下の新機能の導入と機能強化が行われました。
| • | 容易な展開と管理 |
| • | セキュリティの強化 |
| • | パフォーマンスと信頼性の向上 |
容易な展開と管理
Windows Server 2003 では管理者向けの機能が強化され、多数のフォレスト、ドメイン、およびサイトを展開する非常に大規模な企業でも、Active Directory を効率的に構成および管理できるようになりました。Active Directory ドメインの名前を変更できるなど、移行ツールや管理ツールが強化されたことにより、Windows 2000 Server に最初にディレクトリ サービスが導入された頃に比べて、Active Directory の展開がはるかに容易になります。ツールには、ドラッグアンドドロップ機能、オブジェクトの複数選択機能、クエリの保存と再利用などの機能が導入されています。さらに、グループ ポリシーが強化されたことで、Active Directory 環境でのユーザーとコンピュータのグループの管理の容易性と効率性が向上しました。
| メリット | 説明 |
ADMT Version 2.0 | Active Directory 移行ツール (ADMT) に多くの機能強化が行われ、Active Directory の移行がより容易になりました。ADMT 2.0 では、Microsoft Windows NT® 4.0 ドメインから Windows 2000 ドメインおよび Windows Server 2003 ドメインへ、または Windows 2000 ドメインから Windows Server 2003 ドメインへパスワードを容易に移行できるようになりました。 |
ドメイン名の変更 | ドメイン名の変更がサポートされることで、ドメイン ネーム システム (DNS) の変更、およびフォレスト内の既存のドメインの NetBIOS 名の変更が可能で、ドメイン名の変更を行ったフォレストでは "適切な形式" が維持されます。管理者には、Active Directory 展開後に構造を変更できる優れた柔軟性がもたらされます。デザイン上の決定事項を元に戻せるので、移行や大幅な構造の変更に関してメリットがあります。 |
スキーマの再定義 | Active Directory の柔軟性が向上し、Active Directory スキーマ内の属性定義やクラス定義を無効にできます。元の定義でエラーが発生した場合は、属性やクラスを再定義できます。 |
グループ ポリシーの強化 | マイクロソフトでは Windows Server 2003 と連係して、グループ ポリシーの管理を統一する新しいグループ ポリシー管理ソリューションをリリースしています。Microsoft グループ ポリシー管理コンソール (GPMC) は、すべてのグループ ポリシー関連の作業の管理に単一のソリューションを提供します。GPMC によって、管理者は特定のフォレストに存在する複数のドメインやサイトのグループ ポリシーを、ドラッグ アンド ドロップをサポートする簡素化されたユーザー インターフェイス (UI) で管理できます。注目すべき点は、グループ ポリシー オブジェクト (GPO) のバックアップ、復元、インポート、コピーおよびレポートなどの新機能です。これらの操作は完全にスクリプト化できるので、管理者は管理をカスタマイズしたり自動化することが可能です。これらのメリットを組み合わせることにより、グループ ポリシーがさらに使いやすくなり、コスト効率よく企業を管理できるようになります。 |
ユーザー インターフェイスの強化 | 企業内での ID、オブジェクト、および関係の主要な管理手段として機能し、管理作業の効率性と統合機能を向上させます。Microsoft 管理コンソール (MMC) プラグインに、ドラッグアンドドロップ、オブジェクトの複数選択、クエリの保存と再利用などの機能が追加されました。管理者は、複数のユーザー オブジェクトの同時編集、アクセス制御リスト (ACL) の権限の既定値へのリセット、セキュリティ プリンシパルで有効な権限の表示、継承された権限の親権限の表示などを行うことができます。 |
セキュリティの強化
セキュリティ機能が強化され、複数のフォレストの管理や、複数のドメイン間の信頼関係の管理が容易になりました。フォレスト間の信頼では、2 つのフォレスト間のセキュリティ関係を管理するために、新しい Windows 信頼が提供され、フォレスト間のセキュリティの管理と認証が大幅に単純になりました。ユーザーは、シングル サインオンやユーザーのホーム フォレストに 1 ユーザーの ID とパスワードのみを保持するという管理上のメリットを損なうことなく、別のフォレストにあるリソースに安全にアクセスすることができます。これにより、独自のフォレストがありながら、Active Directory のメリットを得られていない、一部の部門や分野のニーズを満たすアカウントの柔軟性が提供されます。また、新しい資格情報マネージャでは、ユーザーの資格情報や X.509 証明書を安全に格納することができます。管理者は、ソフトウェア制限ポリシーを使用して、ネットワーク全体のコンピュータに不要なプログラムがインストールされるのを阻止できます。
| メリット | 説明 |
フォレスト間認証 | フォレスト間認証により、あるフォレストにユーザー アカウントが含まれ、別のフォレストにコンピュータ アカウントが含まれている場合でも、リソースに安全にアクセスすることができます。この機能により、ユーザーはシングル サインオンやユーザーのホーム フォレストに 1 ユーザーの ID とパスワードのみを保持するという管理上のメリットを損なうことなく、Kerberos または NTLM を使用して別のフォレストにあるリソースに安全にアクセスすることができます。 |
フォレスト間承認 | フォレスト間承認により、管理者は信頼される側のフォレストからユーザーを選択し、ローカル グループや ACL に容易に含めることができるようになります。この機能により、フォレスト間の信頼を許可すると同時に、フォレストのセキュリティ境界の整合性を維持できます。信頼する側のフォレストでは、信頼される側のフォレストのユーザーが保護されたリソースにアクセスを試みるときに、どのセキュリティ識別子 (SID) を受け入れるかを決定する制約を適用できます。 |
相互証明の強化 | Windows Server 2003 ではクライアントの相互証明機能が強化され、部門レベルやグローバル レベルで相互証明が可能になります。たとえば、WinLogon で相互証明にクエリし、"エンタープライズの信頼またはエンタープライズ ストア" にダウンロードできるようになります。チェーンが構築されるときに、すべての相互証明がダウンロードされます。 |
IAS とフォレスト間認証 | Active Directory フォレストが双方向の信頼によるフォレスト間モードの場合、インターネット認証サービス/リモート認証ダイヤルイン サービス (IAS/RADIUS) ではこの機能を使って、他のフォレストのユーザー アカウントを認証できます。これにより、フォレスト内の既存の IAS/RADIUS サービスに新しいフォレストを容易に統合できるようになります。 |
資格情報マネージャ | 資格情報マネージャでは、パスワードや X.509 証明書などのユーザーの資格情報を格納するセキュリティで保護されたストアが提供されます。これにより、移動ユーザーなどに一貫性のあるシングル サインオン エクスペリエンスがもたらされます。たとえば、ユーザーが企業ネットワーク内の基幹業務アプリケーションにアクセスする場合、このアプリケーションに最初にアクセスするときに認証が必要で、ユーザーに資格情報の入力を求めます。ユーザーが資格情報を入力すると、この資格情報がアプリケーションに関連付けられます。その後このアプリケーションにアクセスする場合は、保存された資格情報が再利用され、ユーザーに資格情報の入力を求めることはありません。 |
ソフトウェアの制限ポリシー | ソフトウェアの制限ポリシーは、不明なソフトウェアや信頼できないソフトウェアを規制する必要がある場合に有効です。ソフトウェアの制限ポリシーでは、実行を許可するソフトウェアを特定して、指定することにより、信頼できないソフトウェアからコンピューティング環境を保護できます。"制限なし" または "許可しない" の既定のセキュリティ レベルを GPO に定義して、ソフトウェアの実行を既定で許可するか、禁止するかを指定できます。特定のソフトウェアに関する規則を作成することで、この既定のセキュリティ レベルの例外を作成できます。 |
パフォーマンスと信頼性の向上
Windows Server 2003 では、Active Directory の情報のレプリケーションと同期をより効率的に管理することができます。管理者は、同じドメイン内または異なるドメイン内のドメイン コントローラ間で情報のレプリケーションや同期を行うときに、情報の種類を容易に管理できます。さらに、Active Directory では、レプリケーションが必要な変更情報だけを適切に選択する機能が用意されているので、あるディレクトリで情報の一部が変更されたときにディレクトリ全体を更新する必要がなくなりました。
| メリット | 説明 |
リモート オフィスからの容易なログオン | ドメイン コントローラを有するブランチ オフィスでは、ユーザーがログオンする際にグローバル カタログを参照するのではなく、キャッシュに保存された資格情報を使用できます。このため、信頼性の低い広域ネットワーク (WAN) でも安定したシステム パフォーマンスと堅牢性を得ることができます。ブランチ オフィスとグローバル カタログ間の接続が失われても、ブランチ ユーザーのログオン機能には影響しません。ブランチ オフィスのサポート効率が向上し、WAN リンク上で使用する帯域幅が削減されます。 |
グループ メンバシップのレプリケーションの強化 | ディレクトリ情報の中にはグローバルにする必要のないものもあります。この機能では、レプリケーションのスコープやレプリカの配置を制御できるようにすることで、ネットワークのパフォーマンスに大きな影響を与えずに、Active Directory 内のデータをホストできるようになります。 |
Application Directory パーティション | ディレクトリ情報の中にはグローバルにする必要のないものもあります。この機能では、レプリケーションのスコープやレプリカの配置を制御できるようにすることで、ネットワークのパフォーマンスに大きな影響を与えずに、Active Directory 内のデータをホストできるようになります。 |
メディアからのレプリカのインストール | この機能により、管理者は Active Directory データベースの完全なコピーをネットワーク経由でレプリケートするのではなく、既存のドメイン コントローラやグローバル カタログ サーバーをバックアップするときに作成されたファイルから初期レプリケーションを取得できます。 |
信頼性の向上 | Active Directory には、管理者が複数のドメイン コントローラ間のレプリケーションを検証するためのヘルス モニタ、強化されたグローバル カタログのレプリケーション機能、Windows 2000 よりも多くのサイトを含むフォレストをサポートすることによりスケーラビリティが向上した新しいサイト間トポロジ ジェネレータ (ISTG) など、信頼性を向上させるいくつかの新機能が追加されています。 |