| [Active Directory] | |||||||||||
Active Directoryドメイン/フォレストの機能レベルとは?
|
|||||||||||
|
|||||||||||
| 解説 |
|
Windows 2000で最初に導入されたActive Directory機能はネットワーク全体の統合的なアカウント管理などには欠かせない基本機能であるが、OSのバージョンアップとともに、順次機能が拡張されている。しかし既存のActive Directoryドメインに最新バージョンのServer OS(例えばWindows Server 2008)をドメイン・コントローラ(DC)として追加しても、Windows Server 2008のActive Directoryの新機能がすぐに利用できるわけではない。DCは複数のサーバで分散処理している関係上、新しい機能を利用するためには、すべてのDCのOSバージョンを揃えておかなければならないからだ。また、すべてのDCを新しいバージョンのOSにアップグレードしたからといって、自動的に新機能が有効になるわけでもない。後で以前のバージョンのOS(例:Windows Server 2003)をDCとして追加導入したり、連携して運用させたりすることになるかもしれないからだ。
このような状況に対応するため、Active Directoryには、「フォレストの機能レベル」と「ドメインの機能レベル」という2種類の機能セット・レベルが用意されている。ドメインやフォレスト(フォレストはドメイン・ツリーの集合体)ごとに機能レベルを設定しておくことにより、すべてのDCの機能を揃え、相互運用が可能になる。例えば、最初はWindows 2000 ServerやWindows Server 2003が混在しているので最小の機能レベルでActive Directoryを導入するが、DC用のサーバOSをすべてWindows Server 2008に更新/リプレースした時点で機能レベルを上げ、Windows Server 2008の持つ最新のActive Directory機能を利用するといった運用が可能になる。このように、導入されているOSの種類にかかわらず、Active Directory全体で機能を統一できる。
新しいサーバOSでは新しい機能レベルがサポートされているが、古いサーバOSのDCが存在する場合は、ドメインやフォレスト全体でそのDCに合わせた機能レベルを選択する必要がある。機能レベルを一度上げると元に戻すことはできないので、Active Directoryドメインの設計や運用時には十分に注意する必要がある。アプリケーションによっては特定の機能レベル以上を要求するものもあるので(例:Exchange Server 2007は「Windows 2000ネイティブ」以上が必要。「Exchange Server 2007システム管理入門 第1回」も参照)、利用するアプリケーションなども考慮して機能レベルを選択する。
本TIPSでは、各機能レベルで利用できるActive Directoryの機能について簡単にまとめておく。詳細な説明については、以下のサイトやサーバOSに付属のヘルプ・ファイルなどを参照していただきたい。機能レベル変更方法については今後別TIPSで紹介する。
フォレストの機能レベル
以下にフォレストの機能レベルとその主な機能を示す。なおWindows 2000 Serverにはフォレストの機能レベルという概念はないが、Windows Server 2003以降では「Windows 2000 ネイティブ」と呼んでいる。
| レベル | 機能 |
| Windows 2000ネイティブ | ・Windows 2000 Serverのデフォルト状態(Windows 2000 Serverではフォレストの機能レベルは選択できず、この1種類のみが利用可能)。最も基本的なレベル ・NTドメイン(のBDC)と共存可 ・Windows 2000 Server以降で利用可能 |
| Windows Server 2003中間 | ・NT BDCとWindows Server 2003 DCが混在する環境で利用する(Windows 2000 ServerのDCとの共存は不可) ・NTドメインからWindows Server 2003モードへの移行期に使用。NTドメインからWindows Server 2003にアップグレードした場合に利用可能 ・Windows Server 2003以降で利用可能 |
| Windows Server 2003 | ・フォレストの信頼 ・ドメイン名の変更 ・リンクされた値のレプリケーション ・Windows Server 2008のRODC(読み取り専用ドメイン・コントローラ)との連携が可能 ・スキーマの属性/クラスの非アクティブ化と再定義 ・Windows Server 2003以降で利用可能 |
| Windows Server 2008 | ・機能的にはWindows Server 2003レベルと同じ。名称変更のみ。以後追加されるDCをWindows Server 2008に限定させるために利用可能 ・Windows Server 2008以降で利用可能 |
| Windows Server 2008 R2(※1) | ・削除したオブジェクトを復旧させるごみ箱機能。「Windows Server 2008 R2 - Active Directory Recycle Bin に関する投稿(安納氏のブログ)」参照 ・Windows Server 2008 R2以降で利用可能 |
 |
|
| フォレストの機能レベルとその主な特徴 | |
| 基本的に下に行くほど利用できる機能が多くなっている(下位レベルのものを含む)。一度レベルを上げると元に戻すことはできないので、その利用に当たっては、慎重に計画する必要がある。 | |
| ※1:これは2009年末に出荷が予定されているWindows Server 2008 R2で実装される予定の機能であり、最終的な製品で利用できるかどうかは未定。 | |
ドメインの機能レベル
以下にドメインの機能レベルとその主な機能を示す。なおWindows 2000 Serverでは機能レベルではなく、「混在モード」と「ネイティブ モード」というドメインの操作モードとして区別していた。
| レベル | 機能 |
| Windows 2000混在 | ・NTドメイン(Windows NT Server 4.0を使ったドメイン)からアップグレードしたActive Directory環境で利用可能 ・NTドメイン(のBDC)と共存する場合に利用する ・一番基本的なActive Directoryの形態 ・Windows 2000 Server以降で利用可能 |
| Windows 2000ネイティブ | ・NTドメインのBDCが不要な場合に選択する ・Windows 2000 ServerのActive Directoryの全機能が利用できる ・ユニバーサル・グループやグループのネスト、グループの変換、セキュリティ識別子(SID)の履歴などが利用可能 ・Windows 2000 Server以降で利用可能 |
| Windows Server 2003中間 | ・NT BDCとWindows Server 2003 DCが混在する環境で利用する(Windows 2000 ServerのDCとの共存は不可) ・NTドメインからWindows Server 2003モードへの移行期に使用。NTドメインからWindows Server 2003にアップグレードした場合に利用可能 ・Windows Server 2003以降で利用可能 |
| Windows Server 2003 | ・ドメイン管理ツール(netdom.exe)が利用可能。このツールでDCの名称変更が可能 ・ログオン・タイム・スタンプの更新、userPassword 属性の設定 ・Users/Computersコンテナのリダイレクト ・Windows 2000 ServerのActive Directoryの全機能が利用できる ・Windows Server 2003以降で利用可能 |
| Windows Server 2008 | ・SYSVOLに対するDFS-R(分散ファイル・システム複製)のサポート。ただし最初からこのレベルでActive Directoryを導入していないと、(後から機能レベルをアップグレードさせた場合は)いくらか手動操作が必要になる。詳細は「Sysvol 複製を FRS から DFSR に移行するには Dfsrmig.exe コマンドを使用する(安納氏のブログ)」参照 ・AES暗号化によるKerberos認証プロトコルのサポート ・対話型の最終ログオンに関するログ情報の記録 ・詳細なパスワードポリシー ・Windows Server 2008のActive Directoryの全機能が利用できる ・Windows Server 2008以降で利用可能 |
| Windows Server 2008 R2(※1) | ・認証メカニズムの保証(どの認証メカニズムを利用するかなどを限定させる。ADFSや特定の認証方法を強制的に利用させることが可能) ・Windows Server 2008 R2以降で利用可能 |
|
|
| ドメインの機能レベルとその主な特徴 | |
| 基本的に下に行くほど利用できる機能が多くなっている(下位レベルのものを含む)。一度レベルを上げると元に戻すことはできないので、その利用に当たっては、慎重に計画する必要がある。 | |
| ※1:これは2009年末に出荷が予定されているWindows Server 2008 R2で実装される予定の機能であり、最終的な製品で利用できるかどうかは未定。 | |
|
||||||||||||||||||||||||||||
 |
「Windows TIPS」 |
TechTargetジャパン
- 秀丸スタートメニューで[スタート]ボタンを追加する (2013/5/24)
Windows 8では、[スタート]メニューがなく戸惑いを感じている人も多い。そこで[スタート]メニューを追加できる「秀丸スタートメニュー」を紹介する - LLMNRを使ったローカル・セグメント上での名前解決 (2013/5/23)
IPv6のアドレスは128bitもあり、そのままでは扱いづらい。FQDNによる表記からIPv6アドレスを求める名前解決について解説 - 第365話 盛るヒトビト (2013/5/21)
「盛る」。本来よりも増した自分を演出すること。増さないと生きていけないヒトビトによる、果てしない盛り合戦がいまここに - Win 7/8のインストールUSBメモリをdiskpartで作る (2013/5/20)
DVDドライブを搭載しないPCでも、インストール・イメージを格納したUSBメモリからOSのインストールが可能だ。OS標準のdiskpartコマンドによる作成手順を解説
 |
|
|
|
|
- TwilioとRailsで作る、電話でテキスト読み上げアプリ
- Java SE 8、Java EE 7、Java Embeddedはどうなる?
- 「Scalr」を使ったAWS管理を試す
- Google I/OでモバイルアプリUXの条件を考えた
- 秀丸スタートメニューで[スタート]ボタンを追加する
- Chrome拡張機能にpush通知をしよう
- データ分析に必要な「道具」を揃える
- 複雑なデータをバインドするには?
- LLMNRを使ったローカル・セグメント上での名前解決
- 「演算子のインジェクション」と「SSJI」
- DNSを使ってネットワークデバイスにホスト名で接続
- 「ポジションが上がる=マネージャ業務」ではない
キャリアアップ
- - PR -
イベントカレンダー
- - PR -
転職/派遣情報を探す
**先週の人気講座ランキング**
〜 Android編 〜
ホワイトペーパー(TechTargetジャパン)
「ITmedia マーケティング」新着記事
スマホ vs. タブレット、ユーザーの行動特性から考えるマーケティング戦略
これまで「PC対モバイルデバイス(スマートフォン/タブレット)」という図式で語られる...
リアルワールド、34万人のクラウドソーシングによるソーシャルリスニングサービスを開始
リアルワールドは5月23日、同社が提供する国内最大級のクラウドソーシングサービス「CROW...
Googleアナリティクスでテラバイト級のビッグデータ解析機能を提供――プレミアムユーザー限定
Google BigQueryは、2010年のGoogle I/Oで発表された、大量データセットの解析を実現する...
著作権はアイティメディア株式会社またはその記事の筆者に属します。 当サイトに掲載されている記事や画像などの無断転載を禁止します。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。