連載
» 2001年05月24日 00時00分 公開

NT管理者のためのActive Directory入門(1):Win2000のアカウント管理

[木村尚義,グローバル ナレッジ ネットワーク インク]

 Windows 2000の目玉機能であるActive Directoryだが、従来までWindows NTのネットワーク管理を行っていた管理者にとってみれば、新たなアーキテクチャだけに戸惑う場面が多いだろう。そこで本連載では、ネットワーク管理者にとって身近な存在である「管理ツール」にフォーカスをあて、「従来までのWindows NTに対してWindows 2000ではどこが異なるのか」「Active Directoryの運用管理における注意点」など、全体を通して管理ツール側から見たActive Directoryアーキテクチャの解説を行っていくことにする。オペレーションに対して何が行われているのかという、逆方向から見た仕組みを解き明かせればと思う。

 題字にあるようにWindows NTの管理者向けということではあるが、これから初めてWindowsネットワーク管理の世界に触れる読者の方でも分かるように、基礎の部分をしっかり押さえつつも、最終的にWindows 2000の管理ができることを目指したい。素朴な疑問にも答えていくつもりなので、人事異動でいきなり管理を命じられて戸惑っている読者も、ぜひ参考にしてもらいたい。

 まず今回は、管理者がWindows 2000を導入したとき最初に使うと思われる管理ツール、「Active Directoryユーザーとコンピュータ」を取り上げる。Active Directoryユーザーとコンピュータは、おもにWindows 2000のActive Directoryにおけるアカウント管理に使う。

Windows 2000のアカウント管理

Administrator(管理者)

 Windows NTのときと同様に、Windows 2000でもアカウントはあらかじめ管理者が登録しておかなければならない。そこで登録されたユーザーアカウントでなければ、コンピュータにログオンできないのだ。

 それでは、「アカウントを登録作業する管理者自身のアカウントはどうなのか? ログオンできなければ登録作業もできないのでは?」と疑問に思う読者もいるかもしれない。Windows 2000のインストール時にパスワードを入力したと思うが、これは、管理者が最初にログオンするユーザーアカウント「Administrator」のパスワードである。つまり、Windows 2000は最初から標準でユーザーを用意しているのである。このAdministratorと「Guest」というアカウントが、Windows 2000では標準で登録されている(これらを「ビルトインアカウント」という)。

 つまり、Windows 2000のインストール時にパスワードを入力した管理者しかログオンできないのだ。特にAdministratorは、すべての設定を自由に変更できる権限をもっているため、運用面において重要なアカウントだといえる。

ユーザーのアクセス権

 ユーザーは、登録されたユーザーアカウントでログオンすると、ローカル*1およびネットワーク上にあるフォルダやプリンタなどが使用可能になる。ここで、ユーザーが使用するフォルダやプリンタを共有リソースまたは共有資源と呼ぶ。

*1ローカル ユーザーが直接操作するコンピュータ、これをローカルと呼ぶ。読者がいま操作しているコンピュータはローカルである。ちなみに、ローカル以外のコンピュータはリモートと呼ぶ


 ローカルおよびリモートの共有リソースは、公開するときに任意にアクセス権を設定することで、共有リソースにアクセスするアカウントを限定する。共有リソースにアクセスするアカウントを限定しておけば、社内のサーバに人事共有フォルダがあるとして、「ドメインに所属している全社員は人事共有フォルダの中にある社員住所録ファイルを参照できるが、更新するのは人事グループだけ」といった運用ができる。

 アカウントを登録する管理ツールとしては、Windows NTでは「ユーザーマネージャ」および「サーバーマネージャ」を使っていたが、Windows 2000では「Active Directoryユーザーとコンピュータ」を使うことになる。「Active Directoryユーザーとコンピュータ」は、簡単にいえばWindows NTのアカウント管理作業で必要だった2つのツールを1つにまとめたものと考えるとよい。アカウント登録作業は、Windows NTの場合と同様にWindows 2000 Server上で行う(例外についてはコラムを参照)。この作業はドメインコントローラ(DC)メンバーサーバのどちら上でもかまわない。

 「Active Directoryユーザーとコンピュータ」で登録しなければならないアカウントの種類には、「ユーザーアカウント」「グループアカウント」「コンピュータアカウント」の3つが存在する。これらのアカウントはWindows NTのときと同様に、ドメインコントローラに保存される。

【コラム】 ドメインメンバーでサーバ管理

 もしも、Windows 2000 ProfessionalおよびServer、Advanced Serverを使用してサーバの管理ツールを使いたい場合は、Windows 2000 Server CD-ROMの「\I386」フォルダにある「adminpak.msi」をインストールする。すると、スタートメニューのプログラムに管理ツールというメニューが追加される。当然のことであるが、管理ツールを使うPCはドメインのメンバーとして、Active Directoryにコンピュータアカウントを登録しておく必要がある。


【コラム】 ディレクトリデータベースのありか

 Windows NTでは、アカウントはディレクトリデータベースに保存される。ディレクトリデータベースの実体はSAM(拡張子なしのファイル)である。場所は、

%SystemRoot%\system32\config\sam

となる。%SystemRoot%は通常OSがインストールされているフォルダのことでデフォルトでインストールしたのなら「C:\Winnt」である。


ドメインコントローラ(DC)とは?

 ドメインコントローラDC:Domain Controller)は、Active Directoryで使用する各種情報(ディレクトリデータベース)を格納するWindows 2000のサーバである。Windows NTでも、プライマリドメインコントローラPDC:Primary Domain Controller)とバックアップドメインコントローラBDC:Backup Domain Controller)というサーバが存在したが、DCも同様の役割を担っている。これらの違いは後述する。

 市販のパッケージとして入手できるのは、Windows 2000 ServerとWindows 2000 Advanced Serverの2製品。だが、いずれの製品も、そのままではドメインコントローラとしては機能しない。インストール後に、「DCPromo.exe」を実行することで、初めてドメインコントローラに昇格することができるのだ。

 それでは、ドメインコントローラがWindows NTとWindows 2000とでどのように変更されたのか、概略を見てみよう。

Windows NTのディレクトリデータベース

 Windows NTのディレクトリデータベースの特徴は、アカウントを登録すると必ずプライマリドメインコントローラ(PDC)内のディレクトリデータベースが更新される点である。このPDCは同一ドメイン内に1台しか存在できない。このように、アカウント登録時に1つのデータベースだけを更新する仕組みを「シングルマスター・レプリケーションモデル」と呼ぶ。万が一PDCが障害から復旧できない場合は、アカウントの情報が失われてしまうので、バックアップコントローラ(BDC)を用意するのが一般的である。PDCがダウンしてしまった場合は、BDCを手動でPDCに昇格させることができる。

 PDCはアカウントが変更されると、5分後にBDCに変更の通知(アナウンスメント)を行い、BDCはアナウンスメントを受けると、PDCからアカウント情報をオブジェクト単位で複製する(NTの用語では「同期」と呼ぶ)。

 ちなみに、BDCではアカウントの登録はできないが、ユーザー認証は行えるので、BDCを複数設置することで、ログオン時のユーザー認証の負荷分散に使用できる。

Windows 2000のディレクトリデータベース

 Windows 2000では、アカウント登録は「マルチマスター・レプリケーションモデル」となった。マルチマスター・レプリケーションでは、ドメイン内に複数存在するDCのうちのいずれかに接続してActive Directory情報を更新することができる。DCはアカウントが更新されると、やはり5分後に同じドメインのDCにアナウスメントを行う。マルチマスターにおける複製は複数のDC同士がアカウントを情報交換するため、アカウントの複製が完了するまでは、まったく同じ情報をもつことはない。DCの複製は同一ドメイン内でだいたい15分程度で完了する。

 回線の帯域が狭い遠隔地との複製を円滑に行うために、「サイト」という概念も採用されている。サイト同士は、「サイトリンク」と呼ぶ仮想のコネクタで接続する。DCの複製の時間は、サイトリンクのデフォルト値の3時間にドメイン内のDC間の複製時間をプラスするので、約3時間半程度で複製が完了する。また、通信料金が安くトラフィックが少ない時間帯に複製を行うように設定することもできる。

データベースの複製

 ディレクトリサービスに登録できる情報を「オブジェクト」と呼び、電話番号や住所、所属しているグループなどが格納できる。このようなオブジェクトが持つ情報を「属性」または「プロパティ」と呼ぶ。Windows NTのPDCとBDC間の複製はオブジェクト単位で行われているのに対し、Active Directoryの各DCではプロパティ単位で複製される(図1)。

 プロパティ単位の更新の場合、電話番号を変更したときは電話番号だけが複製の対象となる。例えば、複数のDCで同じユーザーアカウントに対して同時に別のプロパティを変更したとする。ある管理者は住所を変更し、別の管理者は電話番号を変更したとしても、両者の行った変更は正しく反映される。また、複数の管理者が同じユーザーアカウントの電話番号を変更した場合はタイミングの問題となり、通常は最後に変更したプロパティが反映されることになる。

 オブジェクトはプロパティの集まりといえるので、オブジェクト単位の複製の場合は、変更されていない部分も含めすべてを複製対象としてしまう。つまり、トラフィックの観点からすると、オブジェクト単位よりはプロパティ単位のほうが交信するデータ量は少なくなる。

図1 Windows 2000ではプロパティ単位に細かく複製を行うことが可能だが、Windows NTではオブジェクト単位に複製が行われるため、たとえプロパティを1つ変更するだけでも、すべての内容を転送しなければいけない 図1 Windows 2000ではプロパティ単位に細かく複製を行うことが可能だが、Windows NTではオブジェクト単位に複製が行われるため、たとえプロパティを1つ変更するだけでも、すべての内容を転送しなければいけない

【コラム】 アカウントサイズの拡張

 Windows 2000では、1アカウントあたりのデータベースのサイズが、Windows NTと比べて大きくなっている。Windows NTの場合、ユーザーアカウントは1024bytesであるが、Active Directoryでは3600bytesと倍以上に増えている。このようにサイズが増えた理由は、オブジェクトごとに住所や所属部署などのプロパティがより細かく入力できるようになったためである。また、DC同士でのアカウントデータベースの更新がプロパティ単位に細かく行えるようになったのも、Windows 2000の特徴だ。例えば、パスワードを変更した場合で両者を比べてみると、Windows NTの場合は必ず約1kbytesの複製トラフィックが発生するのに対し(アカウント情報をすべて転送するため)、Active Directoryだとせいぜい数十bytesで済む。

 それ以外にも、Windows NTのシングル・ドメイン環境での大規模な運用の際は、アカウント管理と共有資源の管理の両立が難しいため、アカウントを管理するマスター・ドメインと共有資源を管理するリソース・ドメインをつくり信頼関係を設定する必要があった。このおもな原因は、アカウント登録の上限からくる制約である。そのほかにも、管理権限を分割したい、障害復旧のダウンタイムを最小限にしたいなどの理由がある。

 Active Directoryドメインでは、データベースサイズが大幅に拡張されたことと、階層構造で管理ができるOU(Organization Unit)が採用されたために、「マスター・ドメイン」や「リソース・ドメイン」といった分割が不要になり、シングルドメイン構成でも柔軟に管理できるようになった。


Active Directoryに登録できるオブジェクト

 いよいよ管理ツール「Active Directoryユーザーとコンピュータ」について紹介していこう。「Active Directoryユーザーとコンピュータ」で登録できるオブジェクトの種類は、メニュー順に表示すると以下の7種類である。

(1) コンピュータ
(2) 連絡先
(3) グループ
(4) 組織単位(OU)
(5) プリンタ
(6) ユーザー
(7) 共有フォルダ

コンピュータ

 コンピュータアカウントを作成できる。Windows NTでは「サーバーマネージャ」を使って登録していた情報だ。この「サーバーマネージャ(srvmgr.exe)」は、互換性維持のためにWindows 2000でも残されている。

 従来のWindows NTのときと同様に、あるPCがドメインに参加する場合には、あらかじめ該当するPCをActive Directoryに登録したあと、クライアント側でも登録作業をする必要がある(クライアント側の操作でドメイン管理者がActive Directoryに登録することもできる)。

 ここでは、Windows NTおよびWindows 2000がインストールされているPCをコンピュータアカウントとして登録できる。

連絡先

 連絡先オブジェクトの作成ができる。連絡先オブジェクトとは、ログオン認証などのセキュリティ目的に使わないユーザーのことである。例えば、Active Directoryにログオンするわけではないが、ユーザー名や電話番号などの情報だけは登録しておきたいユーザーを、連絡先として登録しておける。

 連絡先は、Microsoft Exchange 2000などのメールのあて先として利用できるので、取引先の担当者や得意客を登録したいときに便利である。

グループ

 グループアカウントの作成ができる。Windows NTでは「ドメインユーザーマネージャ」で登録していた「セキュリティグループ」と同様のものである。

 「セキュリティグループ」では、大幅に拡張された以下のグループが使用できる。

――ユニバーサルグループ

 Active Directory混在モード*2の場合は、後述の「配布グループ」としてメールのあて先に使用する。ネイティブモード*2なら、別ドメインのユーザーやグループが登録できる、もっとも汎用性が高いグループとして使用できる

*2Active Directory混在モード/ネイティブモード Active Directoryでは、従来のWindows NTドメインからの移行の過程で、Windows NT ServerなどのWindows 2000以外のマシンが存在する「混在モード」と、完全にWindows 2000のActive Directory環境に移行した状態の「ネイティブモード」の2種類が存在する。混在モードでは、旧来の環境が並存できる代わりに機能制限があり、ネイティブモードに移行することでActive Directoryのすべての機能が利用できるようになる


――グローバルグループ

 Active Directory混在モードのときはWindows NTのグローバルグループ*3と同様の機能となるが、ネイティブモードの場合は同じドメインのグローバルグループをネストできる。使い方は従来と同じく、ユーザーを組織化する目的で使用する。

――ドメインローカルグループ

 ドメイン全体で使えるローカルグループ*3である。通常は、リソースを公開したいコンピュータ上で使用し、リソースに対してドメインローカルグループを割り当てる。ドメインローカルグループにグローバルグループを追加することにより、リソースと人事上の変更を別々に管理できる。ドメインローカルグループはネイティブモードでも混在モードでも使える。

 Windows NTのローカルグループでは、リソースを公開したいPCのディレクトリデータベースに個々に登録をしていた。PCごとにローカルグループの名前をつけられるので、注意しないといつのまにかバラバラにローカルグループ名がつけられてしまうことがあり、ドメイン全体で統一した名前づけは面倒だった。また、共有リソースに新たにグローバルグループを追加しようとしたとき、いちいちローカルグループに登録する作業が必要だった。ドメインローカルグループでは、リソースのあるPC上に登録するのではなく、Active Directoryにまとめて登録する。「Active Directoryユーザーとコンピュータ」で一括して操作できるので、組織編成が頻繁に変わる会社では特に便利である。

*3グローバルグループ/ローカルグループ Windows NTでは、グローバルグループはドメインのユーザーを目的別にまとめるために、ローカルグループはユーザーやグループに対してアクセス権を与えるために使用していた。運用上においては、部署を区別するのはグローバルグループで、あるサーバに属するファイルやプリンタといったリソースを、どのユーザーやグループに対して公開するのかをローカルグループで設定する


――配布グループ

 グループのタイプとして、セキュリティグループのほかに「配布グループ」というものが使えるようになった。セキュリティグループでは、Microsoft Exchange 5.5 Serverで使用する「配布リスト」の機能も持っている。

 配布リストでは、Exchangeのセキュリティ機能を持っているが、実際の運用においてはセキュリティ機能を持たせない配布リストを作りたいことがある。例えば、社外ユーザーに一度に多量のDMを送信する場合など、社内ではログオンする必然性がないユーザーをグループ化したいときに使えるのが「配布グループ」だ。

 なお、互換性維持のために、Windows NTにあったローカルグループも存在する。

組織単位(OU)

 OU(Organization Unit)は、Active Directoryで新たに採用された管理単位である。Windows NTの「ドメインユーザーマネージャ」がアカウントを単に並べるだけなのに対し、OUは地域別のオブジェクトや組織別オブジェクトなどを管理者が任意に格納できる。OUでは、ユーザーアカウントのみならず、「コンピュータアカウント用OU」「プリンター専用OU」「共有フォルダ専用OU」といった共有リソースを管理することもできる。このように、ほかのオブジェクトを格納できるオブジェクトを「コンテナオブジェクト」と呼ぶ。コンテナオブジェクトの1つであるOUによって、管理者の作業がシンプルになるのだ。

 例えば、大規模運用の現場などではユーザーアカウントは本社で集中管理したいが、共有リソースは地域ごとの担当者に管理させたいといった要望がある。アカウントの集中管理とリソースの分散管理は、NTドメインではディレクトリデータベースの制約からシングルドメイン環境での運用が難しかった。そのため、NTドメインでは、アカウントを管理するマスター・ドメインと共有リソースを管理するリソース・ドメインを作り、リソース・ドメインがマスター・ドメインを信頼するという、一方向の信頼関係を結ぶのが一般的だった。Active DirectoryではNTドメインでの制約が大幅に緩和された。このため、特別な理由がない限りは、シングルドメインで運用ができるようになった。

 OUは、同じアプリケーションや同じセキュリティポリシーを設定したい場合に便利だ。OUでは、OUの中にOUを作るといった階層構造を持つことができるので、いくつかの制約(ポリシー)を重ねて適用することができる。ただし、管理を簡素化するためには、特に理由なくOUを階層化すべきではない。なにも、会社の組織図どおりに設定する必要はないのだ。例えば、営業部の全員が同じ地域におり、同じアプリケーションを使い、同じポリシーを適用するのであれば、営業部OUの中に第一営業部OU、第二営業部OUといった階層を設けるのは、無意味なことが多い。

【コラム】 特別な理由とは?

 Active Directoryでは、Windows NTにあったディレクトリデータベース上での制限が緩和され、特別な理由を除いてシングルドメインでの運用が容易になった。では、この特別な理由とはなんだろうか?

1. Active Directoryの各ドメインのデータベースサイズを減らす場合

 アカウント同期の際、各DCはフルレプリカを持つためにサイトを分けても、データベースサイズは変わらない。ドメインを分割した場合は、別ドメインの部分(パーシャル)レプリカをGC(グローバルカタログ)で持てばよいので、データベースサイズを減らすことができる。GCは、Active Directory 内のすべてのオブジェクトのレプリカを保持しているもので、デフォルトでドメインに最初に作られたDCが受け持つ。

2. セキュリティポリシーが異なる場合

 例えば、北米では128bits暗号は戦略物資になるので、他国では部分的な使用のみ認められている。ところが、フランスでは一切の暗号を認めていない。このように、セキュリティポリシーがまったく異なる場合には、ドメインを分けることになる。

3. 言語が異なる場合

 Windows 2000自体はUnicodeに対応しているので各国のフォントを表示できるのだが、管理者にとっては言語が異なると大変である。


プリンタ

 プリンタオブジェクトの作成ができる。ここで登録されたプリンタは、ドメインのメンバーが自由に検索できる。ただし、ユーザーがプリンタを検索できたとしても、実際にアクセスするには適切なアクセス権が必要である。

ユーザー

 ユーザーアカウントの作成ができる。Windows NTでは、「ドメインユーザーマネージャ」で登録していたユーザーアカウントである。「サーバーマネージャ」と同様、互換性維持のために、この「ドメインユーザーマネージャ(usrmgr.exe)」もWindows 2000上に残っている。ただし、管理対象となるのは信頼関係のあるWindows NTドメインであり、Windows 2000以降のユーザー管理には使用できない。

共有フォルダ

 共有フォルダオブジェクトの作成ができる。これも、管理者の負担を大幅に低減できる。管理者が共有フォルダにキーワードを入力することで、ユーザーはキーワードを手がかりに目的の検索することができる。プリンタと同じく、実際にアクセスするには適切なアクセス権が必要である。


 Windows 2000の管理ツール「Active Directoryユーザーとコンピュータ」を中心に、Windows NTとWindows 2000での違いや、新たに登場した要素などをざっと紹介してきた。次回は、実際に「Active Directoryユーザーとコンピュータ」を用いた設定方法について解説していこう。


Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。