このWindows Q&Aは、Windows管理者の気になる疑問点にコンパクトかつタイムリーに答えることを目的としています。基本的に執筆された時点の状態を維持する通常の記事とは異なり、記載の情報に更新があった場合には、積極的に最新情報に更新していきます。

　ディレクトリ・サービスは情報データベースである。従来から、たいていのアプリケーションは個別のデータベースを使っている。例えば、ログオンするときはユーザー登録データベースを使うし、電子メールシステムは全社的な共有アドレス帳を持つ。社内業務システムで使っているデータベースには、専用のユーザー登録が必要かもしれない。しかし、アプリケーションごとに個別のデータベースを維持するのは管理コストがかさむ。

　そこで汎用的はディレクトリ・サービスが登場した。汎用的なディレクトリ・デービスは以下の3者に対してメリットがある。

ディレクトリ・サービスのメリット

ディレクトリ・サービスは、管理者、開発者、ユーザーのそれぞれにメリットをもたらす。

■管理者
　管理者は、ユーザー登録のたびに複数のデータベースを操作する必要がなくなる。あらゆるアプリケーションがディレクトリ・サービスの情報を参照するようになれば、管理すべき情報はディレクトリ・サービスに一元化される。

■開発者
　業務アプリケーションの開発者は、ユーザー認証部分のプログラムを開発する必要がなくなる。ディレクトリ・サービスを使えば、ログオンしたユーザーの情報を簡単に入手できるからだ。しかも、Active Directoryの情報は拡張可能なので、アプリケーションに必要な登録情報を追加することも可能だ。

■利用者
　利用者は、アプリケーションごとに異なるユーザー登録をする必要がなくなるため、使い勝手が向上する。例えば、Active Directoryでは、ログオン時のユーザー名を電子メールのアドレスと共通化できる。ドメインにログオンするときのユーザー名も、電子メールのあて先も同じものに統一できるし、いったんログオンしたら、ログオフするまで、ユーザー名やパスワードをいちいち指定することなしに適切な認証を行い、各種の共有資源を使うことができる（シングル・サインオン）。

　Active Directoryは、Windows 2000から新たに追加されたディレクトリ・サービスである。Active Directoryには3つの側面がある。第1が「Windows NTドメイン互換ドメイン」、第2が「便利で高機能なWindows NTドメイン」、そして第3が「汎用ディレクトリ・サービス」である。第2の側面と第3の側面は重複する部分もあるが、ここでは3つの機能に整理してまとめてみよう。それぞれの機能は、Active Directoryの活用レベルと考えてもよい。

■レベル1：Windows NT互換ドメイン
　最も基本的な利用形態である。このレベルで満足するのであれば、管理コストは従来（Windows NTドメインの管理）と同じか、若干の削減にとどまる。ただし、Windows NTと比較すると、Windows 2000ではOSとしての安定性が向上するため、全体の管理コストはかなり削減できるだろう。

　Windows NTドメインでは、ユーザーとグループ管理を一元化し、それらの情報にアクセスできるコンピュータを「ドメイン・メンバー」として限定する機能を持つ。Active Directoryでも同じ機能を持つので、Windows NTで満足している場合は、単にWindows NTからWindows 2000へアップグレードすればよい。ログオン・スクリプト（ユーザーのログオン時に実行されるスクリプト）などの複製メカニズムには違いがあるので、Windows NTのドメイン・コントローラ（Domain Controller：DC）とActive Directoryのドメイン・コントローラを混在させる場合は工夫が必要だが、すべてのドメイン・コントローラをWindows 2000にしてしまえば問題は解決する。

　Windows NTやWindows 9xは、Active Directoryドメインのドメイン・コントローラを「Windows NT 5.0」のドメイン・コントローラとして認識し、認証プロトコルなどもWindows NTのものがそのまま使われる。

　ただし、Windows NT互換機能だけを使う場合でも、DNSの設定は必須である。Windows NT互換機能はActive Directoryの付加機能であり、単独で利用することはできない。DNSの設定はActive Directoryの最大の関門なので、ここだけは十分に検討を重ねてから実装してほしい。逆に、DNSの設定さえできれば、Active Directoryに難しいところはない。

　前述したとおり、Windows 2000は、Windows NTよりもOSとしての安定性が大幅に向上している。アプリケーションとデバイス・ドライバの互換性問題さえ解決すれば、Windows 2000にするだけで管理コストを下げることができる。

■レベル2：便利で高機能なWindows NTドメイン
　Windows NTドメインの管理者の多くが期待している利用形態である。このレベルまで活用できれば、本格的な管理コストの低減が期待できる。

　特に有益なのは「ドメイン間の階層構造」と「ドメイン内の階層構造」だ。ドメイン間の階層構造は、DNSに基づくもので、異なるセキュリティ・ポリシー（パスワードの利用制限など）を実装できる。しかも、必要なら特定の管理者が複数のドメインを管理するように設定することもできる。ただし、ドメイン構造の変更は極めて困難なので、なるべくなら単一ドメインで使いたい。ドメイン内の階層構造は「組織単位（OU：Organizational Unit）」と呼ばれる。ユーザーなど、Active Directoryに登録された情報は、同一ドメイン内であれば簡単に移動できる。従って部門ごとに管理権限を委任したい場合などは、ドメインとして分割するのではなく、可能な限り単一ドメイン内のOUとして構成するべきだ。

Active Directoryの階層構造

Active Directoryによって、ドメイン間を階層的に管理できるようになるとともに、OUという単位を利用することで、ドメイン内でも階層構造を持たせ管理できるようになる。

　例えば、ヘルプデスク担当者への問い合わせで最も多いのは「パスワードを忘れた」というものだそうだ。Active Directoryでは、部門ごとにOUを作成し、ユーザーのパスワードリセット権限をOU単位で任意のユーザーやグループに委任できる。この場合でもユーザー登録の権限は与える必要はないので、安全に必要な作業を委任できる。

　また、Windows 2000／XPクライアントに対しては、強力な検索機能が提供される。一般ユーザーであっても、Active Directoryに登録された多くの項目を柔軟に検索できる。例えば、ユーザーの氏名や電子メールからの検索を行い、電話番号を表示するといった作業ができる。また、共有プリンタの検索をする場合、場所や機能を指定できる。これにより「最寄りのプリンタで、カラー印刷できるプリンタ」という指定が簡単にできる。

■レベル3：汎用ディレクトリ・サービス
　最終的なレベルは、Active Directoryを汎用のディレクトリ・サービスとして利用する形態である。ディレクトリ・サービスは、要するにアプリケーションが使う分散型データベースと考えればよい。現在ではそれほど重要ではないが、今後マイクロソフトのサーバ製品のほとんどはActive Directoryが前提となるため、マイクロソフト製品を多用している場合は早めに移行したい。例えば、すでにExchange 2000 Server（以下Exchange 2000）は、従来独自に管理していたユーザー情報をActive Directoryに移行した（これにより、Exchange 2000でのメールアカウント管理もActive Directoryで共通化できるようになった）。また、UNIXとの相互運用を行うための製品「Services for UNIX」は、UNIX固有のユーザー登録情報をActive Directoryに格納し、UNIXとActive Directoryのユーザー・アカウントを統合できるようにしている。