ディレクトリ サービスへのニーズと Active Directory
ここが新しくなった Windows Server? 2003 の Active Directory
「リソース フォレスト モデルで部門ごとに導入する場合でも、ドメインを構築する上で最初にいろいろな取り決めを行う制約があるのでは?」
いいえ、Windows Server 2003 で強化された Active Directory なら、導入と展開をより柔軟に行えるため、部門ごとに導入するケースでも後から組織構造にあわせることができます。
ここでは、Windows Server 2003 に搭載される Active Directory の主な新機能をご紹介します。
トピック
導入の敷居を下げる複数フォレスト間での信頼関係以前はフォレストとドメインが複数存在する場合、Windows NT ドメインと同じようにすべてのドメイン間で信頼関係を結ぶ必要があり、管理が複雑になる恐れがありました。このため、部門単位で Active Directory を導入する際の大きな障壁となっていました。 新しい Active Directory では、フォレスト間で推移的な信頼関係を結べるようになりました。 たとえば、部門単位でフォレストを展開する場合でも、後でフォレスト間の信頼関係を作成すれば、フォレスト間でリソースを共有することが可能です。また、信頼関係は推移的なのでフォレスト単位で作成するだけよく、すべてのドメイン間で個別に信頼関係を結ぶ必要がありません。 フォレスト間でも Kerberos 認証が利用できるので、ユーザー ID やパスワードが不用意にネットワーク上を転送されることはありません。
柔軟性のアップで組織構造の変更にもすばやく対応以前では導入時に定義したドメイン名やドメイン コントローラ名、あるいはドメイン構造を変更することはできませんでした。このため、導入前の設計を綿密に行うことはもちろん、組織構造の変更に合わせてドメインを変更するには再構築が必要になるなど、柔軟性を欠いていました。 新しい Active Directory では、ドメイン名やドメイン コントローラ名を変更したり、フォレスト内の最上位ドメイン以外のドメイン構造を変更したりできるようになりました。 たとえば、部門単位でフォレストを展開した後、全社レベルでフォレストを連結する際に、ドメインやドメイン コントローラの名前付け規則を統一したい場合、あるいは、企業間の合併に伴い社名が変更になる際にも、ドメインを構築し直すことなく、ドメイン名やドメイン コントローラ名の変更を柔軟に行えます。 さらに、ドメイン構造の変更も可能になったことで、部門の統合や分割など、組織構造の変更時にも柔軟に対応できます。
キャッシュを使って点在する拠点での利便性を大幅に強化以前では、グローバル カタログ * を持つドメイン コントローラにアクセスできないと、一部のユーザーを除いてドメインにログオンできませんでした。そのため、WAN 環境のように低速な回線で結ばれている場合、拠点ごとにグローバル カタログを持つドメイン コントローラの配置が推奨されていました。しかし、実施にはコストや複製トラフィックを考慮することが必要なため、実現が難しい企業も多くありました。 新しい Active Directory では、拠点に設置されたドメイン コントローラがグローバル カタログの情報をキャッシュできるようになりました。これにより、キャッシュを使って認証行えるため、拠点とグローバル カタログ サーバーを接続する回線の 信頼性が低い環境でも安定したログオンできるようになります。  * グローバル カタログとは、ドメイン内に存在するすべてのユーザー アカウントやログオン名などの一覧で、認証や検索を行う際に使用されます。 日常の管理操作がさらに容易になる管理ツールの機能強化新しい Active Directory では、日常のドメイン管理に使用する管理コンソールも強化され、操作性がアップしています。たとえば、組織単位(OU)間でユーザー アカウントをドラッグ アンド ドロップで簡単に移動したり、複数のユーザー アカウントを同時に選択して住所や所属部署などを一括で変更することができます。 また、多数のユーザー アカウントの中から、パスワードが無期限のユーザーなど、特定の条件を指定して適合するものを抽出したい場合があります。従来では抽出を行うたびに条件を指定する必要がありました。管理機能の強化に伴い、抽出条件をクエリとして保存できるようになったため、よく使う条件を再利用することが可能です。 コマンド ラインの強化以前から Active Directory では、グラフィカルな管理ツールだけではなく、コマンド ラインを使った管理操作もサポートしていました。コマンド ラインがさらに強化されたことで、コマンド ラインから操作できる管理タスクが広がり、ユーザー アカウントの追加や削除などの基本操作から、アカウントの無効化や属性の追加などと、さまざまな管理操作を実行できます。 一括制御を容易にする専用のコンソールが登場グループ ポリシーを使用すると、ユーザーやコンピュータに対する設定の一括制御と適用を自動化できるため、管理業務を効率化できます。 新しい Active Directory のグループ ポリシーも強化され、実環境に展開する前にシミュレーションを行ってテストしたり、特定のコンピュータに適用されているポリシーを抽出したりなど、さらに利用しやすくなっています。 また、これまでは、グループ ポリシー エディタなどの複数のツールで管理する必要があったため、使用するグループ ポリシーが増えてくるとその管理が煩雑になることがありました。Active Directoryの 強化とともに、グループ ポリシー専用の管理ツールである GPMC(Microsoft グループ ポリシー管理コンソール)を新たに提供します。 GPMC では、グループ ポリシーの作成や編集、従来なかったバックアップと復元機能、インポートとエクスポート、複数フォレストのグループ ポリシー管理など、さまざまな操作を単一の管理コンソールから実行できるので、グループ ポリシーの運用が容易になります。  グループ ポリシーの利用を容易にする管理ツール GPMC Windows NT ドメインからの移行を支援する強力なツール従来、Windows NT ドメイン環境から Active Directory への移行を支援するツールとして、Active Directory Migration Tool (ADMT) を提供してきました。従来の ADMT では、コンピュータ、ユーザー、グループを移行できましたが、ユーザーが使用するパスワードを移行することはできませんでした。このため、Active Directory へ移行後、ネットワークに参加する全てのユーザーが新しいパスワードを再設定しなければならず、結果的にユーザーに負荷をかけることになっていました。 Windows Server 2003 では、新しく強化された ADMT を提供します。 今度の ADMT では従来の機能に加え、パスワードの移行にも対応します。これにより、Active Directory のドメイン構築後も、今まで使用していたパスワードを使ってログオンできるため、ユーザーに負荷をかけることなく、ドメインを移行できるようになります。 なお、ADMT は、Active Directory 間の移行にも利用できるため、ドメイン構造の変更を行う際にも役立てることが可能です。
|
目次
|
