連載
» 2002年10月16日 00時00分 公開

管理者のためのActive Directory入門:第2回 Active Directoryによるディレクトリ管理 (2/3)

[伊藤将人,(株)コメット]

 Windows NTでも、ネットワークの資源をまとめて管理するために、「ディレクトリ・サービス」が提供されていた。Windows NTのディレクトリ・サービスでは、ユーザーやグループ、コンピュータを管理することができる。Windows NTのディレクトリ・サービスも管理する基本単位はActive Directoryと同じく「ドメイン」と呼ばれる。そしてディレクトリを管理するコンピュータを「ドメイン・コントローラ」と呼んでいる。

Windows NTにおけるドメイン
Windows NTにもドメインと呼ばれる管理単位が存在する。Active Directoryのドメインと区別して、ここでは「NTドメイン」と呼ぶ。NTドメインに参加するユーザーやコンピュータを登録したり、登録されたユーザーをグループでまとめたりすることができる。

 ユーザーがNTドメインに参加(ログオン)する場合には、ドメインに登録されているユーザー名とパスワードを入力し、参加するドメインをリストの中から選択すればよい。

 ログオン処理が終了して、正しく登録されたユーザーとして認証されれば、ユーザーはその後ドメインの資源を利用できるようになる。この処理はActive Directoryでも行われるため、ユーザーはNTドメインにログオンした場合とActive Directoryにログオンした場合の違いに気付くことは少ない。NTドメインにログオンできるクライアントは、Windows NTに限らず、Windows 2000からもログオンが可能である。これとは逆に、Windows NTクライアントを使いActive Directoryにログオンすることもできるため、自身がログオンしているドメインの違いをユーザーが識別することは難しい。

 逆にいうと、ユーザーは参加するドメインのバージョンは意識せずにログオンできるということである。

■Windows NTのログオン画面

■Windows 2000のログオン画面

Windows NTとWindows 2000のログオン・ダイアログ
クライアントから見れば、Active Directoryに参加するにせよ、従来のNTドメインに参加するにせよ、ログオン時に入力する値に違いはない。これだけでは、ログオン先がNTドメインなのかActive Directoryなのかは区別が付かない。


 このように、ユーザーは参加するドメインの種類を意識する必要はないが、管理者は、NTドメインを管理する場合と、Active Directoryドメインを管理する場合では、その違いをはっきりと意識しなければならない。その気になれば、NTドメイン管理の知識だけでActive Directoryドメインを管理することも可能である。基本的には、NTドメインを管理していた管理者は、それまで手がけていた作業をActive Directoryでもそのまま行えるように配慮されている。

 しかしそれでは、Active Directoryの機能を十分に生かすことはできないだろう。例えば、NTドメインでユーザーのパスワードの変更を依頼された場合を考えてみたい。この場合NTドメインのユーザー管理では、管理ツールの「ドメイン ユーザー マネージャ」というツールを使って作業していた。しかし例えば、登録されているユーザーが1万人いたとすると、パスワードの変更をしたいユーザーを探すだけでもたいへんな手間がかかる。これに対しActive Directoryでは、大規模なネットワークをより効率的に管理するためのユーザー管理ツールとして「Active Directory ユーザーとコンピュータ」ツールが提供されている。

NTドメインで利用できるユーザー管理ツール
Windows NT 4.0の[ドメイン ユーザー マネージャー]では、このようにすべてのユーザーがフラットに管理される。例えば東京勤務のユーザーと大阪勤務のユーザーと分けて管理するような機能は提供されていない。
 (1)ユーザー一覧。ユーザー数が多くなるとこの部分が長くなり、検索しづらくなる。
 (2)グループ一覧。グループとは、ユーザーをまとめて扱うための機能であり、階層的な論理構造を持たせるための機能ではない。

 対して「Active Directory ユーザーとコンピュータ」ツールには、検索コマンドが提供されているし、OUなどで管理者が事前に階層構造を構成しておくと、どの部門のユーザーかという情報をもとに、パスワードの変更を行いたいユーザーにすぐにたどりつける(検索コマンドを使った場合、検索結果からパスワードのリセットを簡単に実行できる)。

Active Directoryユーザーとコンピュータから検索
Active Directoryユーザーとコンピュータから、設定変更したいユーザーを検索することができる。
 (1)Active Directoryのツリーを指定して、ユーザー名などを簡単に検索することができる。

 検索結果が表示されれば、それらのユーザーに対して簡単に操作を適用することができる。

検索結果からのパスワードリセット
検索結果を右クリックして表示されるメニューを使って、パスワードをリセットすること(新しいパスワードを割り当てること)ができる。
 (1)パスワードをリセットするにはこれを選択する。

 このように、NTドメインからActive Directoryに移行すれば、さまざまな管理作業の効率化を図れるだろう。

Copyright© Digital Advantage Corp. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。