カリスマITトレーナーが見てきたActive Directory 15年の変遷：過去、現在、そして未来へ！ AD進化の歴史を振り返る（3/4 ページ）

使い勝手が向上したActive Directory――Windows Server 2008

　Windows Server 2003のActive Directoryは基本機能の強化であったの対し、2008年にリリースされたWindows Server 2008では主に使い勝手の向上に重点が置かれた。これは、以下のようなユーザーからの要望に応えたものである。

• 地方拠点に配置したDCのセキュリティリスク回避
• パスワードポリシーを複数設定したい（従来はドメインごとに1種類）
• Active Directoryの保守が面倒（従来は一種のセーフモードでの再起動が必要）
• うっかり削除してしまったユーザーを復活させたい
• グループポリシーの設定項目を増やしてほしい
• 管理コマンドが使いにくい

読み取り専用ドメインコントローラー（RODC）

　多くの企業の地方拠点では物理的なセキュリティ対策が十分にできない上、専任のシステム管理者を配置することも難しいため、ドメインコントローラー（DC）を配置した場合には以下のようなリスクが発生する可能性がある。

• サーバーが盗まれて、ユーザーのパスワードを解析される
• DCのサーバー管理権限を与えると、Active Directory全体の管理権限を与えることになり、パートタイムの管理者にとっては責任が重すぎる

　そこで、Windows Server 2008で追加された「読み取り専用ドメインコントローラー（Read Only Domain Controller：RODC）」を使うことで、これらの問題が解決する。RODCには次のような特徴がある。

• 指定したユーザーまたはグループのみ、パスワード情報を保持する
• RODCのサーバー管理者とActive Directoryドメインの管理者を分離できる

きめ細かなパスワードポリシー

　同じドメインのユーザーでも、システム管理者と一般ユーザーではパスワードの重大さが異なる。Windows Server 2008では「きめ細かなパスワードポリシー」が実装されたことで、セキュリティグループ単位でパスワードポリシーを変更できるようになった（図7）。

図7　「きめ細かなパスワードポリシー」により、セキュリティグループ単位でパスワードポリシーを変更できるようになった

　管理者と非管理者は、どのセキュリティグループに所属するかによって区別される。そこで、きめ細かなパスワードポリシーでは、セキュリティグループを使ってパスワードポリシーを制御するのである。

　なお、きめ細かなパスワードポリシーは、Windows Server 2008で導入されたが管理ツールは存在せず、「ADSIEDIT」というサポートツールを使う必要があった。Windows Server 2008 R2でようやくWindows PowerShellインターフェースが追加されたが、GUI操作が可能になったのはWindows Server 2012からである。

リスタータブルDC

　Active Directoryデータベースの保守を行う場合には、「ディレクトリサービス復元モード」という一種のセーフモードで再起動する必要があった。Windows Server 2008では、単にActive Directoryのサービスを停止するだけでよい。このとき、他にドメインコントローラーがいれば、メンバーサーバー扱いになる。

　Windows NTではドメインコントローラーからメンバーサーバーに変更するには、OSの再インストールが必要だった。Windows Server 2003以前は「Active Directoryの昇格（降格）ウィザード」を使って複雑な処理が必要だった。それが、サービスを停止するだけでメンバーサーバーに降格され、起動すれば即座にDCになるというのは画期的なことであった。

Active Directoryごみ箱

　Windows Server 2008 R2からは、Active Directoryの「ごみ箱」機能が追加された。あらかじめ「ごみ箱」を有効にしておけば、削除したオブジェクトをすぐに回復することができる（図8）。

図8　Active Directoryの「ごみ箱」により、削除してしまったオブジェクトを復活できるようになった

　実は、削除してしまったユーザーを復活させる機能は、Windows Server 2003にもあった。しかし、Active Directoryの管理ツールはユーザーを削除する時点で、ほとんどの属性情報をクリアしてしまったため、復活してもユーザー名や内部ID（セキュリティIDとGUID）以外は復元できなかった。Windows Server 2008 R2以降は全ての情報が復元される（その代わりに、ユーザーを削除してもデータベースの空き領域は増えない）。

　なお、Windows Server 2008 R2の「ごみ箱」は、Windows PowerShellからしか操作することができなかった。GUIから操作できるようになるのは、Windows Server 2012からである。

グループポリシーの基本設定

　グループポリシーは便利な機能であり、Active Directoryを普及させる要因となったが、設定できない項目も多かった。マイクロソフトはDesktopStandard社を買収し、同社の製品「PolicyMaker」を「基本設定」としてグループポリシーと統合した。

　「基本設定」はWindows Server 2008から提供されているが、クライアントに標準搭載されたのはWindows 7以降である。「基本設定」をWindows VistaやWindows XPで使うには、マイクロソフトからモジュールをダウンロードする必要がある（現在Windows XPは非サポート）。

　「基本設定」を使うことで、サーバーからのファイル配布やInternet Explorerの詳細な構成を自動化できるようになった。

管理ツールの強化

　Windows PowerShellの登場に伴い、Active Directory用のモジュールが追加された。このモジュールはWindows Server 2012でさらに強化され、現在はあらゆる作業がPowerShellから実行できるようになっている。

　新しいGUIベースの管理ツール「Active Directory管理センター」も内部ではPowerShellを使っている。ただし、Windows Server 2008 R2の「Active Directory管理センター」は、機能的には従来の管理ツールとほとんど変わらなかった。

　Windows Server 2012からは「きめ細かなパスワードポリシー」や「ごみ箱」機能などが構成可能になった。また「PowerShell履歴」機能を使うことで、GUI操作の結果をPowerShellのコマンドとして表示できるようになった（図9）。もちろん、結果はクリップボードにコピーすることもできる。今後の新機能は、基本的に「Active Directory管理センター」に追加されるようである。

図9　「PowerShell履歴」機能によって、GUI操作の結果をPowerShellコマンドとして表示できるようになった