連載
» 2003年03月28日 00時00分 公開

管理者のためのActive Directory入門:第8回 Active Directoryの導入後の作業 (2/3)

[伊藤将人,(株)コメット]

組織単位(OU)の作成

 Active Directoryの運用では、さまざまなActive Directoryオブジェクトを作成することになる。代表的なオブジェクトとしては、「ユーザー・オブジェクト」、「グループ・オブジェクト」、「コンピュータ・オブジェクト」などがあるが、これら多数のオブジェクトが1つの格納場所に存在していたのでは管理がしにくい。このような場合には、オブジェクトを格納するためのオブジェクトとして「組織単位(OU)」を作成することができる。

 OUは、管理者が管理しやすい単位で作成してよいオブジェクトである(ユーザーの上下関係(上司−部下などの関係)といった階層構造を表現するためのものではない)。だが管理者が自由に作成してよいといっても、あまり作りすぎると逆に管理しにくくなるし、複雑になってしまう。できるだけシンプルにOUの階層構造を作成するのがよいだろう。例えば、第1階層には地域ごとのOU、第2階層には組織ごとの階層といった具合だ。

組織単位(OU)の構造
ドメイン内のオブジェクトを「組織単位(OU)」に格納し、管理者が管理しやすいように構成する。例えば東京に勤務するユーザーを格納するためのTokyo OUと、大阪に勤務するユーザーを格納するためのOsaka OUを作成し、ユーザーをそれぞれのOUに格納すれば管理しやすくなる。図のHRはHuman Resources(人事部門)、MKTGはMarketing(マーケティング部門)という意味。

 また、OUにはグループ・ポリシーの割り当てや管理の委任ができるため、管理範囲やグループ・ポリシーによる制限単位でOUを構成しておくと、機能的なOU構造を構成できる。

組織単位(OU)を作成する
OUを作成するには、[Active Directoryユーザーとコンピュータ]管理ツールを利用する。
 [E]OUを作成したい場所で右クリックし、ポップアップ・メニューから[新規作成]−[組織単位(OU)]を選択する。→[E]

[E]

組織単位(OU)の作成画面
作成するOUの名前を指定する。
 (1)OUの名前をここに入力する。

ユーザー・オブジェクトの作成

 ディレクトリ・サービスでは、ユーザー・オブジェクト(ユーザー・アカウント)をはじめとするネットワーク上のリソースを集中的に管理することができる。ユーザー・オブジェクトを構成することにより、組織内でコンピュータを利用する従業員に対し、適切なセキュリティとコンピュータの使用環境を提供できるようになる。

ユーザー・オブジェクトの作成
ユーザー・オブジェクトを作成するには[Active Directoryユーザーとコンピュータ]管理ツールを使用する。作成したオブジェクトを後で移動することもできる。
 [F]オブジェクトを作成したいOUを選択して右クリックし、ポップアップ・メニューから[新規作成]−[ユーザー]を選択すると、そのOU内にユーザー・オブジェクトを作成することができる。→[F]

[F]

ユーザー・オブジェクトの作成画面
ユーザーごとの属性をここで指定する。
 (1)姓。ラスト・ネーム。
 (2)名前。ファースト・ネーム。
 (3)ユーザー名のイニシャル。英語版のWindows 2000では、これはミドル・ネームのイニシャルを入力する欄であるが(英語版ではこの(2)(3)の行が一番上にあり、(1)のラスト・ネームの行は2行目に表示されている。そのため「イニシャル」とはmiddle initial、つまりミドル・ネームの頭文字のことを指す)、日本では一般的ではないので特に入力しなくてもよいだろう。
 (4)フルネーム。上の3つのフィールドを連結して並べたものがデフォルト。
 (5)ユーザーのActive Directoryにおけるログオン名。
 (6)ドメイン名。
 (7)Windows 2000以前の(Windows NTドメイン)環境におけるログオン名。
 (8)これをクリックすると、オブジェクトが作成される。

 ここまでの手順でユーザー・オブジェクト作成は完了である。こうしてユーザー・オブジェクトを追加すれば、ユーザーは自分用のユーザーIDを利用してコンピュータからログオンできるようになる。

複数ユーザーの一括登録

 今回はユーザーの作成方法として、複数ユーザー・オブジェクトの一括作成のコマンドを紹介しておこう。ほかのオブジェクトと比較すると、ユーザーやグループ・オブジェクトを作成する機会は多いので、1つ1つ作成するより、コマンドを利用して作成する方が効率よく作業できる。

 ユーザーやグループ・オブジェクトを一括作成するには、Windows 2000 Serverで提供されているCSVDE.EXEやLDIFDE.EXEコマンドが利用できる。

 CSVDE(CSV Directory Exchange)コマンドは、オブジェクトのプロパティ値をカンマ区切りで記述したCSV形式(カンマ区切り)のファイルをインポートできる。CSV形式のファイルはExcelなどのアプリケーションで編集できるため、複数ユーザーを作成する管理者の方には使いやすいコマンドだろう。

 LDIFDE(LDIF Directory Exchange)コマンドは、プロパティ値を行区切りで記述したLDIF形式のファイルをインポートできる。LDIF(LDAP Data Interchange Format)とは、RFC2849で定義されている、LDAP準拠のディレクトリ・サービスでデータを交換する場合に利用される標準ファイル・フォーマットである。LDIFDEコマンドの具体的な利用方法については、マイクロソフトのサポート技術情報の「LDIFDEを使用したディレクトリ オブジェクトのADへのインポート/エクスポート」などを参照していただきたい。

 今回は、CSVDEによる登録の例を紹介しておこう。CSV形式ファイルをインポートする手順は次のとおりである。

 最初に、ユーザーごとの属性を記述したCSV形式ファイルを用意する、このとき先頭行には、次のようなタイトル(属性を表す文字列)をカンマ区切りで並べておく。

属性名 意味
DN 識別名。例:"CN=Yamada Taro,OU=TokyoOU,DC=domain,DC=local "
objectClass オブジェクト・クラス。ユーザーを追加する場合はuser、グループの場合はgroup、コンピュータはcomputerとする
sAMAccountName ユーザー・ログオン名(Windows 2000以前の互換ログオン名)。例:Tyamada
userPrincipalName ユーザー・ログオン名(Active Directory環境で利用されるユーザー名)。例:Tyamada@domain.local
displayName 表示名。例:山田 太郎
userAccountControl ユーザー・アカウントの属性。通常のユーザー・アカウントなら512とする
オブジェクトを一括登録する場合のCSVファイルの属性
新しくユーザーを登録するためには、このような項目が記述されたCSVファイルをcsvdeコマンドに与える。これ以外にもいくつか利用できる属性があるが、詳細についてはここでは述べないので、「How to Use Csvde.exe to Import Contacts into Active Directory(英語ドキュメント)」や「Active Directory Schema(英語ドキュメント)」などを参照していただきたい(ただしすべての属性を定義してインポートできるわけではない)。

 2行目以降には、実際のユーザーごとの属性を、1行ずつ記述する。実際には、次のようなファイルを用意する。

CSVDE.EXEコマンドに与えるためのCSVファイルの例
Excelなどで編集したCSV形式ファイルを使ってユーザーを一括登録することができる。以下のリンクにサンプル・ファイルを用意しておいた。これをクリックして「user.csv」という名前でファイルに保存し、CSVDEコマンドに与えると、自動的にユーザーが登録される。
サンプル・ファイル(user.csv)

 このファイルを使って一括登録するには、コマンド・プロンプト上で「CSVDE -i -f ファイル名」を実行する(引数を何も与えないでcsvdeコマンドを実行すると使い方が表示される)。

C:\>csvde -i -f user.csv
"(null)" に接続しています
SSPI を使って現在のユーザーとしてログインしています
ファイル "user.csv" からディレクトリをインポートしています
エントリを読み込んでいます....................(省略)
52 個のエントリを正しく修正しました。

コマンドが正しく完了しました

C:\>

Copyright© 1999-2017 Digital Advantage Corp. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。