連載
» 2001年05月11日 00時00分 公開

常時接続時代のSOHOネットワーク構築術(6):Active Directoryによるユーザー管理

[清水理史,@IT]

 ネットワークを効率的に管理していくのは、非常に重要なことだ。管理者の負担を減らすばかりでなく、ネットワークを利用するユーザー側の負担も軽減することができる。そこで利用したいのが、Windows 2000 ServerのActive Directoryだ。すべての機能を使いこなす必要はないが、グループポリシーなどの主要な機能を利用するだけでも、ネットワーク管理の手間を大幅に軽減できる。

ネットワークをどのように管理するか

 ネットワークを効率的に管理するには、どのようにすればよいのだろうか? この答えは一概には導き出せない。なぜなら、ネットワークをどのようなスタイルで運用するかは、企業ごとに大きく異なるからだ。

 ネットワークの運用スタイルは、大きく分けると2通りある。1つは、ユーザーにある程度自由な環境を与え、必要最低限のことのみ、管理者側で管理する方法だ。ユーザーがクライアントにアプリケーションを自由にインストールすることなどを認め、クライアント側の管理をある程度ユーザーに任せる。その代わりに、アプリケーションのインストール作業やクライアント側のトラブル対応など、すべての管理とはいわないが、ある程度の管理の負担をユーザー自身に負わせることにする。

 このスタイルのメリットは、何といっても管理者の負担を減らせることだ。管理者はクライアントの管理からある程度解放されることになる。しかしその半面、自分のことは自分で面倒を見るというスタイルのため、ある程度ユーザー側にスキルが要求される。また、ユーザーが個々で自由にクライアントをカスタマイズし始めると、ネットワーク全体が混沌として管理しにくくなっていくという傾向がある。

 もう1つは、ユーザーの環境を管理者側でしっかりと制限し、ユーザーの勝手を許さない方法だ。ユーザーには管理者から与えられたクライアントの環境のみを利用させ、アプリケーションを追加することなどが一切できないように制限をする。この場合、アプリケーションの追加やトラブル対処など、管理者の負担と管理にかかるコストが増えるが、ユーザーへの負担は軽減できる。また、ユーザーが管理者が想定した使い方しかできないため、ネットワーク全体が管理しやすくなり、トラブルなどの発生も想定しやすくなる。

 どちらのスタイルが優れているとは、一概にはいいにくいが、ネットワークの規模が大きくなるに従って、後者の方が管理はしやすくなる。小規模なネットワークであれば、ある程度ユーザーに自由度を与えても管理者が対応できるが、規模が大きくなるにつれ、このような管理方法は破たんしてくる。管理者が独裁者のように振る舞うようなガチガチの管理体制を取る必要はないが、管理者がユーザーの利用形態を把握できる程度には、ユーザーに制限を設けておくべきだろう。

 では具体的に、どのようにユーザーの利用形態を制限すればよいのだろうか? この1つの解として挙げられるのが、Windows 2000 ServerのActive Directoryに用意されている数々の管理機能だ。中でもグループポリシーは、クライアントやユーザーを管理するうえでカギとなる非常に重要な機能といえる。それでは、グループポリシーを利用してネットワークを効率的に管理する方法を実際に紹介していこう。

グループポリシーを利用した管理

 グループポリシーとは、Windows 2000 Serverが備える管理技術の中でも最も重要なものの1つだ。グループポリシーを利用することで、クライアントやユーザーのデスクトップ構成やセキュリティ設定などを、管理者がサーバで一度設定するだけで、ネットワークを介してユーザーに強制することができる。設定できる項目は多岐にわたり、レジストリベースのポリシー、セキュリティ設定、ソフトウェアのインストール、スクリプト、フォルダリダイレクトなどの設定が可能だ。例えば、クライアントのマイドキュメントフォルダを強制的にサーバ側の共有フォルダに格納させることなどができたり、特定のアプリケーションを強制的にクライアントにインストールしたり、逆にアンインストールすることなどができる。

 同様のことは、Windows NT 4.0のシステムポリシーでも実現できたが、以下の表のような点においてグループポリシーの方が優れている(表1)。

適用範囲 セキュリティ 変更/削除 項目
システム
ポリシー
ドメイン セキュリティで保護されない ユーザープロファイル内に固定され、利用期間が過ぎても維持されることがある レジストリ設定に基づいて管理されるデスクトップ動作に限られる
グループ
ポリシー
サイト/ドメイン/OU セキュリティで保護され、管理者のみが変更可能 変更すると必ず削除および上書きされる デスクトップを詳細に制御したり、ユーザー環境を拡張できる
表1 Windows 2000が搭載する「グループポリシー」と、Windows NT 4.0で用いられていた「システムポリシー」の機能比較図。グループポリシーのほうが、よりきめ細かい制御が可能なことが分かる

 特に、OU単位に設定することが可能な点には注目だ。OU単位に設定することで、企業の部門ごとに異なるポリシーを設定することなどが容易に可能となる。例えば、ソフトウェア配布の機能を利用し、経理部のユーザーまたはコンピュータにはMicrosoft Accessをインストールするが、ほかの部門のユーザーまたはコンピュータにはインストールしないなどの制御が可能となる。

 また、OU単位に設定することで、ユーザーの異動にもフレキシブルに対応できる。例えば、先の例で経理部のユーザーがほかの部署に異動したとする。この場合、サーバ側でユーザーが所属するOUを経理部からほかの部署に変更するだけで、適用されるグループポリシーが変更され、先にインストールされたAccessを自動的にアンインストールすることなどが可能となる。わざわざ、クライアント側でアンインストール作業をしなくても済み、管理者の負担が減るわけだ。

 それでは、実際にグループポリシーを利用したクライアントの管理方法を解説していこう。ここでは、例として、IEのプロキシを強制的に設定する方法、クライアントのマイドキュメントなどのフォルダをサーバにリダイレクトする方法、ソフトウェアを自動配布する方法の3つを紹介していく。

グループポリシーの設定

 まずは、OUに対して新しいグループポリシーを作成しよう。サーバの管理ツールから「Active Directoryユーザーとコンピュータ」を起動し、グループポリシーを適用したいOUを選択する(ドメイン全体に適用したければドメインを選択する)。続いて、OUのプロパティを表示し、「グループポリシー」タブを表示。「新規」ボタンを押せば、新しいグループポリシーオブジェクトを作成することができる。

画面1 グループポリシーを適用しているところ。Active Directoryに関する設定は、管理ツールの「Active Directoryユーザーとコンピュータ」で行う。左側のペインで目的のOUを選んでプロパティを選択すると、画面のようなダイアログが表示される 画面1 グループポリシーを適用しているところ。Active Directoryに関する設定は、管理ツールの「Active Directoryユーザーとコンピュータ」で行う。左側のペインで目的のOUを選んでプロパティを選択すると、画面のようなダイアログが表示される

 実は、OUごとにグループポリシーを適用する場合、OUの設計が非常に重要になるのだが、ここでは便宜上、部門ごとにOUを作成し、そこにグループポリシーを割り当てていくことにする。場合によっては、管理職などの職種ごとにグループポリシーを割り当てたい場合などもあると思われるが、この場合はOUの設計を工夫し、なるべくシンプルにグループポリシーを割り当てられるように設定しておく必要がある。実際にどのように設計するかは、企業のニーズにもよるので、このあたりは慎重に設計しておきたいところだ。

IEのプロキシ設定

 それでは具体的に設定していこう。まずは、クライアントにインストールされているIEに、強制的にプロキシの設定をしてみる。企業などで、インターネットへの接続にプロキシを経由する必要があるが、その設定をクライアントに1台ずつ設定していくのは面倒だ。しかし、グループポリシーを利用すれば、サーバ側で設定するだけで、強制的にプロキシの設定を適用することができる。

 プロキシの設定項目は、「ユーザーの構成」→「Windowsの設定」→「Internet Explorerのメンテナンス」→「設定」→「プロキシの設定」にある。この設定をダブルクリックして開き、設定したいプロキシのアドレスを登録すれば完了となる。試しに、ドメインに参加しているクライアントから、グループポリシーを設定したOUに所属するユーザーでログオンしてみてほしい。IEの設定を見ると、正常に設定が適用されているはずだ。

画面2 作成したグループポリシーに対して、プロキシの設定を適用しているところ 画面2 作成したグループポリシーに対して、プロキシの設定を適用しているところ

フォルダリダイレクトの設定

 続いて、フォルダリダイレクトの設定をしてみる。フォルダリダイレクトとは、通常クライアントのローカルに保存される「Application Data」「デスクトップ」「マイドキュメント」「スタートメニュー」などのプロファイルのフォルダをサーバ側に格納するための機能だ。このようにしておけば、ユーザーは、ネットワーク上のどのクライアントからログオンしても自分のデスクトップ、マイドキュメントなどを利用可能となる。また、サーバ上にこれらの個人データを格納しておけば、サーバ側で一括してデータをバックアップすることなども容易となる。

 フォルダリダイレクトの設定もIEの設定と同様に「ユーザーの構成」に存在する。まずは、「ユーザーの構成」→「Windowsの設定」→「フォルダリダイレクト」を開いておこう。実際の設定は、フォルダリダイレクトにある各フォルダのリダイレクト先を指定することで行う。リダイレクトしたいフォルダのプロパティを開き、「設定」で「基本」→「全員のフォルダを同じ場所にリダイレクトする」を選択し、「対象のフォルダの場所」にリダイレクト先を指定しよう。例えば、Application Dataフォルダであれば、

\\servername\users\%username%\prof\appdata

などとしておけばよいだろう。これで、サーバの「users」という共有フォルダのユーザー名のサブフォルダにある「\prof\appdata」フォルダにApplication

Dataフォルダがリダイレクトされる。格納先をユーザーのホームフォルダなどに設定しておけば、セキュリティなどの面でも安心して利用できるはずだ。

画面3 フォルダリダイレクトを設定しているところ。この設定により、ユーザーごとに異なるファイル群をサーバ側で一括して管理することが可能になる 画面3 フォルダリダイレクトを設定しているところ。この設定により、ユーザーごとに異なるファイル群をサーバ側で一括して管理することが可能になる

 ただし、気を付けたいのは、リダイレクトする各フォルダをそれぞれ別のサブフォルダに指定しておく点だ。例えば、すべてのフォルダを「\\servername\%username%」に格納してしまうと、デスクトップ上にApplication Dataやスターメニューフォルダが表示されてしまう。各フォルダごとにサブフォルダに格納されるように、慎重にパスを設定しておこう。

 実際に設定が適用されているかどうかは、クライアントからログオンし、マイドキュメントフォルダのプロパティを見ることで確認できる。先に設定したフォルダにリダイレクトされていれば成功だ。試しに、ほかのクライアントからもログオンしてみるとよいだろう。どのクライアントからログオンしても、自分のデスクトップ、マイドキュメントフォルダが利用できるはずだ。

 このほか、「管理用テンプレート」などで同様の設定をしていけば、クライアントの利用環境をかなりの範囲で制限することができる。さまざまな項目が用意されているので、各設定を試し、自分の環境に合った設定をしてみるとよいだろう。

ソフトウェアを自動的に配布する

 さて、ここまでは主にクライアントのデスクトップ環境を制御する方法について解説してきたが、同様の設定を行うことでソフトウェアの自動的配布も利用することができる。この機能を利用すると、クライアント側でわざわざインストール作業をしなくても、クライアントに自動的にソフトウェアをインストールすることが可能となる。

 この機能は設定自体はそれほど難しくないが、設定の際に幾つか注意したい点がある。主に注意しておきたいのは、設定が適用される対象、インストールするソフトウェアのパッケージ形態、そしてクライアントへのソフトウェアの配布方法の3点だ。

 まず、設定の適用対象だが、これはコンピュータとユーザーの2種類がある。これまでに設定したグループポリシーでもコンピュータの構成とユーザーの構成の2つの設定項目があったが、両者で設定項目が異なるなど、どちらを使えばよいのかは明確だった。しかし、ソフトウェアの自動配布に関しては、両者でまったく同じ設定が可能となっている。つまり、明確な違いを理解して使い分けないと、期待どおりの結果が得られないわけだ。

 コンピュータの構成の場合、ソフトウェアの自動配布の設定は、そのコンピュータ自体に適用される。コンピュータの起動時にグループポリシーに従って設定したソフトウェアが自動インストールされ、どのユーザーがログオンしても設定が適用されることになる。これに対して、ユーザーの構成の場合はログオンするユーザーごとに設定が適用される。コンピュータの起動時にはソフトウェアはインストールされず、グループポリシーが設定されたユーザーがログオンした時点でソフトウェアがインストールされることになる。つまり、ソフトウェアをコンピュータごとに管理するのか、ユーザーごとに管理するのかの違いだ。例えば、1台のクライアントを複数人で共有しているようなケースで、各ユーザーで利用させたいソフトウェアを変更したい場合などは、ユーザーごとの設定を利用することになるわけだ。

 続いて、パッケージ形態だ。通常のソフトウェアは「setup.exe」などを起動してインストールするパッケージ形態になっているが、この方式のソフトウェアは、そのままでは自動配布に利用できない。ソフトウェアの自動配布では、基本的にWindowsインストーラでサポートされている「MSI」を利用しなければならないのだ。最近のマイクロソフトの製品のように、はじめからMSIパッケージで提供されているようなものであれば何の問題もなく配布できるが、そうでない場合は、自分でスクリプトを作成するなどしてZAPファイル(ZAWダウンレベルパッケージ)を作成しておかなければならない。ZAPファイルの作成方法については、マイクロソフトのサイトでサンプルとともに詳しく解説されているので、これを参照するとよいだろう。

 最後にソフトウェアの配布方法だが、これには「公開」と「割り当て」の2種類が選択できる。この2つの違いは、ソフトウェアのインストールの際にユーザーに要求される作業の違いだ。公開の場合、ソフトウェアが配布されても、ソフトウェアはデスクトップやスタートメニューに表示されない。「アプリケーションの追加と削除」にリストが追加されるのみとなるため、ログオン後に手動でアプリケーションをインストールしなければならない(関連づけされているファイルを起動した場合は自動インストールされる)。

 これに対して、割り当ては、ユーザーがログオンした時点でデスクトップやスタートメニューにソフトウェアのショートカットが自動的に作成される。このため、これらのショートカットを起動するだけで、自動的にソフトウェアのインストールが開始され、ソフトウェアが利用可能となる(同様に関連づけされたファイルを起動してもインストールが開始される)。

 つまり、ユーザーに強制的にソフトウェアを利用させたい場合は割り当てを利用し、ユーザーに利用したいソフトウェアを自分で選択させたい場合は公開を利用すればいいわけだ。ちなみに、適用対象としてコンピュータを選択した場合、公開は利用できず、割り当てのみが可能となる。

ソフトウェアの自動配布の設定

 それでは、以上のことをふまえて、実際の設定をしてみよう。ここでは、Office 2000をユーザーに対して「割り当て」で配布してみる。

 まずは、配布するパッケージを準備しておく。ソフトウェアの自動配布では、サーバの共有フォルダからネットワークを介してクライアントにインストールするため、サーバの共有フォルダに配布したいソフトウェアをコピーしておく必要があるのだ。ここでは、Office 2000をインストールするので、CD-ROM上のすべてのファイルを「\\Servername\Software」にコピーしておいた。

 パッケージの準備ができたら、実際の設定をしていく。Active Directoryユーザーとコンピュータからソフトウェアを配布したいOUを選択し、そのプロパティからグループポリシーの編集を開始。「ユーザーの構成」→「ソフトウェアの設定」→「ソフトウェアインストール」を選択し、右クリックして「新規作成」→「パッケージ」を選択する。

 すると、インストールするパッケージの選択画面が表示されるので、サーバの共有フォルダにコピーしておいたOffice 2000の「data1.msi」をネットワークパスで指定する(ローカルパスでは不可)。そして最後に配布方法で「割り当て」を選択すれば完了だ。一覧に配布するソフトウェアが追加されたことが確認できるだろう。

画面4 ソフトウェアの自動配布の設定。画面では、「Microsoft Office 2000」が配布パッケージとして設定されていることが分かる(画面をクリックすると拡大表示します) 画面4 ソフトウェアの自動配布の設定。画面では、「Microsoft Office 2000」が配布パッケージとして設定されていることが分かる(画面をクリックすると拡大表示します

 実際にソフトウェアがインストールされるかは、クライアントからサーバにログオンすることで確認できる。ログオン後、スタートメニューを開き、Office 2000の各アプリケーションのショートカットが作成されていれば、設定は成功だ。これらのショートカットを起動すれば、実際にソフトウェアのインストールが開始され、アプリケーションが利用可能となる。


 以上、今回はActive Directoryを利用した管理方法を幾つか紹介した。大規模なネットワークはもちろん、小規模なネットワークでも十分に利用価値がある機能なので、ぜひ活用してみてほしい。次回からは、ローカルの設定から少し離れ、サーバの公開など、インターネット系の話題に触れていきたいと思う。


Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。