連載
» 2012年08月02日 00時00分 公開

次世代 新Windows「Windows 8」プレビュー:第12回 Windows Server 2012のActive Directory (2/3)

[打越浩幸,デジタルアドバンテージ]

 Active Directoryの新機能は数多くあるが、今回は、新しいActive Directory管理コンソールと仮想環境対応について見てみる。

Active Directory管理センターの強化

 「Active Directory管理センター」とは、Windows Server 2008 R2から導入された、GUIのActive Directory管理ツールである(内部的にはPowerShellモジュールを呼び出すためのGUIツールとなっている)。

Windows Server 2012のActive Directory管理センター

 Windows Server 2012のActive Directory管理センター・ツールではサーバ・マネージャと同様のデザインに変更されているほか、次のようないくつかの機能が強化されている。

  • Active Directoryごみ箱機能のGUIサポート
  • 「細かい設定が可能なパスワード・ポリシーのGUIサポート
  • Windows PowerShell履歴の表示

 以下、順に見ていこう。

機能強化1:Active Directoryのごみ箱機能のGUIサポート

 Active Directoryのごみ箱機能とは、削除してしまったユーザーやグループ、コンピュータ・アカウントなどのオブジェクトを復旧させる機能である。ごみ箱機能がない以前のActive Directoryでは、削除したオブジェクトを復旧させるのは簡単ではなかった。システムを「ディレクトリ・サービス復元モード」で起動して以前のバックアップ・セットからオブジェクトを復元し(バックアップを取っていなかった場合は復旧できない)、さらにntdsutil.exeというコマンドを使って、とても面倒な復元作業を行う必要があった。

 Windows Server 2008 R2では新たにActive Directoryの「ごみ箱(Recycle Bin)」機能が導入され、もう少し簡単な手順で削除したオブジェクトを復元できるようになっている。

 とはいえ、このWindows Server 2008 R2のActive Directoryのごみ箱機能はデフォルトでは無効化されており、最初に管理者が有効化したり、Active Directoryスキーマの拡張作業などを行うする必要がある(ドメインの機能レベルを「Windows Server 2008 R2」レベルまで昇格させる必要もある)。さらにオブジェクトの復元作業もあまり簡単ではない。GUIのツールは用意されていないので、管理者はPowerShellのコマンドレットを使ったり、lpd.exeというツールを使ったりして作業する必要があった。

 これに対してWindows Server 2012では、Active Directoryのごみ箱機能が最初から有効化されているだけでなく(ただしドメインの機能レベルを「Windows Server 2012」にする必要がある)、Active Directory管理センターを使って、GUI操作で削除されたオブジェクトを確認したり、復元したりできるようになっている。

Active Directoryのごみ箱機能
削除したオブジェクトは「Deleted Objects」というカテゴリを開くと確認できる。ここにあるオブジェクトを選択して(複数選択可能)、[復元]を実行すると、オブジェクトが復旧する。現在のActive Directoryのデフォルト設定では、削除後は最大180日間有効で、それを過ぎるとここからも削除され、復元できなくなる。

機能強化2:「細かい設定が可能なパスワード・ポリシー」のGUIサポート

 「細かい設定が可能なパスワード・ポリシー(Fine-Grained Password Policy)」とは、Windows Server 2008のActive Directoryドメイン・サービスで導入された、パスワード・ポリシーの新機能である。パスワードの最小限の長さや有効期限、複雑さ要求、パスワード履歴の保存数などの要件をまとめてパスワード・ポリシーというが、当初のActive Directoryではドメインごとにこのパスワード・ポリシーを1つだけ定義することができた(定義したパスワード・ポリシーはドメイン内のすべてのオブジェクトに適用されていた)。

 だが場合によっては、異なるパスワード・ポリシーを適用したいこともあるだろう。例えばモバイル・ユーザーや、より重要な情報を扱うユーザーや管理者などには、通常のパスワード・ポリシーよりも厳しくしたポリシーを適用できると便利である。このような要求に応えるために導入されたのがWindows Server 2008の「細かい設定が可能なパスワード・ポリシー」という機能だ。デフォルトのパスワード・ポリシーに加えて、新たに定義した別のポリシーも適用させることにより、同じドメイン内であってもユーザーやグループによってポリシーを使い分けることが可能になった。この機能の詳細については以下の記事を参照していただきたい。パスワード・ポリシーを定義する「PSO(Password Settings Object)」を定義して、アカウントに結びつける方法を紹介している。

 便利な複数パスワード・ポリシー機能であるが、実はこれを設定する簡単なツールやユーザー・インターフェイスは用意されていなかった。上の記事で分かるように、今まではADSIエディタでPSOオブジェクトを新規作成し、それを手動でActive Directoryのユーザーやグループに割り付けるという、信じがたい操作が必要とされていた。これでは使う気にはなれないだろう。

 Windows Server 2012のActive Directory管理センターでは、この操作を簡単に行えるように機能が拡張された。具体的には、管理センターでドメインの「System\Password Settings Container」を開き、「パスワードの設定」というオブジェクトを新規作成する。

PSOの作成(1)
PSOは「System\Password Settings Container」コンテナの中に新しく「パスワード設定」オブジェクトを作成する。

 このコンテナの中にオブジェクトを作成しようとすると次のような画面が開くので、新しいPSOを定義する。ここでは、デフォルトの設定よりも長いパスワードを強制するようなポリシーを作成してみた。

PSOの作成(2)
パスワードの最小長はデフォルトでは7文字だが、12文字以上を強制するなどの指定を行っている。複数のPSOで値が定義されている場合、優先度の数値が少ない方が優先される。

 作成したポリシーをドメインやユーザーなどに割り当てることにより、通常よりも厳しい制約のパスワードを強制できる。

機能強化3:Windows PowerShell履歴の表示

 Active Directory管理センターでは、内部ではPowerShellを呼び出して各種の処理を行っているが、そのとき実行したコマンドの履歴が確認できる機能が用意された。それが管理センターの下部に表示されている「Windows PowerShell 履歴」ウィンドウである。実行したコマンドレットとパラメータなどが確認できるので、自分でPowerShellで管理業務を行ったり、管理用スクリプトを組む場合の参考になる。

PowerShell履歴ウィンドウ
Active Directory管理センターで行った操作は、実際にはPowerShellのコマンドレットによって実行されている。そのコマンドの履歴を表示するのがこのウィンドウである。自分でPowerShellのスクリプトを組み場合の参考になる。

Copyright© Digital Advantage Corp. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。