連載:常時接続時代のSOHOネットワーク構築術

第5回 Windows 2000 Serverを利用した
ドメイン・ネットワークの構築(2)


清水理史
2001/4/12


Active Directoryの構成

 dcpromoを実行すると、Active Directoryのインストールウィザードが開始される。まずは、ドメインコントローラの種類を選択する画面が表示されるので、ここで「新しいドメインのドメインコントローラ」を選択する。これにより、ネットワーク上に新たにドメインを構成することができる(画面2)。

画面2 dcpromoを実行して、Active Directoryのインストールウィザードを起動したところ。ここでは、「新しいドメインのドメインコントローラ」を選択しておこう

 続いて、ドメインツリーの作成方法が表示される。Active Directoryは、DNSを利用したツリー構造を構成し、幾つかのドメインが連続したネームスペースを持つことでドメインツリーが構成される。ここでは、そのツリーをどのように構成するかを選択するわけだ。例えば、「atmarkit.co.jp」というドメインがあり、その下位に、「sales.atmarkit.co.jp」というドメインを構成すれば、これは連続したネームスペースを持つツリー構造のドメインとなる。これがドメインツリーだ。ただし、ここでは、ネットワーク上に新たにドメインを構築するので、「新しいドメインツリーを作成」を選択すればいい(画面3)。

画面3 ドメインコントローラの種類を選択したあとは、ドメインツリーの作成方法の選択を行う。ここでも「新しいドメインツリーを作成」を選択する(画面をクリックすると拡大表示します

 次は、フォレストの構成方法を選択する。また見慣れない言葉が出てきて戸惑うユーザーも多いかもしれないが、このフォレストというのは、複数のドメインツリーをまとめた、さらに上位の概念だ。簡単に説明すると、異なる2つ以上のドメインツリーを信頼関係で結んだものとなる。ここでも、最初にドメインを構築する際は、新たにフォレストを作成する必要があるので、「ドメインツリーの新しいフォレストを作成する」を選択しておく(画面4)。

画面4 フォレストの作成について聞かれるが、今回はすべて新規に環境を作成するので、「ドメインツリーの新しいフォレストを作成」を選択しておく(画面をクリックすると拡大表示します

 ここまででドメイン全体のデザインが完成したら、具体的なドメイン名を入力していく。前述したとおり、Active DirectoryではそのネームスペースにDNSを利用する。このため、ドメインに付ける名前は、DNSの形式をとったものでなければならない。「atmarkit.co.jp」のように完全なDNS名を入力しておこう。このように入力しておけば、次の画面でいままでのNTドメインで利用されていたNetBIOSドメイン名が自動的に付けられる(画面5・6)。

画面5 ドメイン名の入力では、URLで使用するようなDNS形式のドメイン名を入力する必要がある(画面をクリックすると拡大表示します 画面6 先ほどのドメイン名入力の場面で入力された内容を反映して、これまでのNTドメインで使用していたような表記(NetBIOSドメイン名)が自動的に表示される(画面をクリックすると拡大表示します

 後は、Active Directoryのデータベースの格納場所、DNSのインストールを行い、最後にアクセス許可の種類を選択すれば設定は完了となる。アクセス許可の種類は多少分かりにくいかもしれないが、通常は標準設定のままで進めておこう。もし、ネットワーク上にWindows NTがインストールされたPCが存在せず、今後も接続する予定がないのであれば「Windows 2000サーバとのみ互換性があるアクセス」を選択しても構わないが、この場合、ネットワーク上のWindows NTがインストールされたクライアントからドメインコントローラに登録されているパスワードを変更できなかったり、Windows NT Serverがインストールされたバックアップドメインコントローラがある場合にRASでの接続がうまくいかないなどのトラブルが発生する可能性がある(画面7)。

画面7 アクセス許可の選択では、特に必要がなければ標準設定である「Windows 2000以前のサーバーと互換性があるアクセス許可」を選んでおこう(画面をクリックすると拡大表示します

 以上の設定が完了したら、実際にActive Directoryがインストールされる間しばらく待ち、サーバを再起動すれば、ドメインコントローラとして構成され、ドメインが構築される。

ユーザーとコンピュータの登録

 ドメインが構築されたら、ネットワーク上のユーザーやコンピュータを登録して、実際にクライアントからドメインを使えるようにする。

 このような各種管理作業には、スタートメニューにある「管理ツール」を利用する。Windows 2000 ProfessionalやスタンドアロンサーバとしてインストールしたWindows 2000 Serverでは、マイコンピュータを右クリックして表示されるコンピュータの管理などからユーザーを管理したが、これはサーバのローカル環境に登録されるユーザーを管理するツールとなるため、ドメインコントローラに昇格させた時点で利用できなくなる。前述したように、Active Directoryでは専用のデータベースに格納されたリソースを階層的に管理するため、管理には専用のツールが必要となるわけだ(画面8・9)。

画面8 Active Directory環境に移行後は、これまで使用していた管理ツールが使えなくなる
画面9 これ以降のユーザー管理は、「管理ツール」にある専用のツールで行う

 では、管理ツールから「Active Directoryユーザーとコンピュータ」を起動して、ユーザーを登録していこう。まずは、左画面に表示されたドメイン名をツリーに展開する。続いて、「User」をクリックし、「操作」メニューから「新規作成」→「ユーザー」を選択すればよい。これで、ユーザーを作成するためのダイアログが表示されるので、ユーザーの姓と名、ログオン名、パスワードなどを入力すればユーザーが作成される。

 ちなみに、ユーザーログオン名の欄は完全なドメイン名が付加されたもの(UPN:User Principal Name)と、これまでのNTドメインと同様のユーザー名のみのものの2種類が存在するが、これはどちらも利用可能だ。クライアントにWindows 2000 Professionalを利用している場合であれば、起動時のログオンダイアログにUPNを入力することで、明示的にログオンするドメインを指定しなくても「@」以下からドメイン名を判断してログオンが行われる(画面10)。

画面10 Active Directory環境でのユーザー登録画面。ユーザー名はUPNと以前のNTドメインで使用していたタイプの2種類が存在する(画面をクリックすると拡大表示します

 さて、ここでOUについても解説しておこう。「Active Directoryユーザーとコンピュータ」で、ドメイン名をクリックして「新規作成」を選択すると「組織単位(OU)」という項目が追加されることが確認できる。これは、ドメインのリソースを階層的に管理するための単位だ。例えば、営業部や経理部などの組織単位を作成し、そこにユーザーを登録すれば、分かりやすく効率的に各種リソースを管理できる。OUには、ユーザーはもちろん、コンピュータ、共有資源など、さまざまなリソースを登録可能だ。

 ただし、ここで想定しているような10ユーザー程度のネットワークであれば、無理にOUを利用して階層化する必要はない。OUを利用して管理するのは、どちらかといえば、数百人などの大量のユーザーを抱えるようなネットワークが向いているといえるだろう。このようなOUを利用すれば、OU以下の管理権限を特定のユーザーに与えることで、管理作業を委任することなどが可能となる。つまり、大規模な環境では、部署単位に管理者がいるケースがあるが、これをWindows 2000 Serverでシステム的に実現できるわけだ。このほかにもOUごとにセキュリティポリシーを設定したり、ソフトウェアの配布を行うことなども可能となる(画面11)。

画面11 「営業部」というOUを作成してユーザーを登録したところ(画面をクリックすると拡大表示します

 ちなみに、先に作成したユーザーは、後から作成したOUに移動させることも可能だ。移動させたいユーザーを右クリックし、「すべてのタスク」→「移動」を選択すれば、任意のOUにユーザーを移動させることができる。

 さて、ユーザーの登録が完了したら、次はコンピュータを登録する。Windows 2000 Professionalがインストールされたクライアントは、事前にドメインにコンピュータのアカウントを登録しておかないと、ドメインにログオンすることができないからだ。この作業はドメインコントローラからも、クライアントからも可能だが、ここではクライアントから登録する方法を説明する。ドメインコントローラから行う場合は、ユーザーを追加したのと同様に「Computers」または作成済みのOUを選択し、新規作成でコンピュータを追加すればよいだけと簡単だからだ。

 では、クライアントをドメインに参加させるためにはどうすればよいのかというと、マイコンピュータのプロパティから「ネットワークID」タブを開き、ここに参加させるドメインを登録する。「プロパティ」ボタンを押すと、「識別情報の変更」ダイアログが表示されるので、「次のメンバ」にある「ドメイン」にドメイン名を入力する。このとき、ドメイン名は完全なDNS名ではなく、NTドメイン名で構わない。逆に「atmarkit.co.jp」のように「.」以下を付加すると、正常にドメインに参加できない場合がある(画面12)。

画面12 Windows 2000 Professionalなどのクライアントマシンがドメインに参加する場合には、マイコンピュータのプロパティから「ネットワークID」タブにあるプロパティボタンを押して、「識別の変更」ダイアログを表示させる。ここで、「ドメイン」を選択してドメイン名を入力する。ここで入力する名前はNTドメイン形式のものでかまわない(画面をクリックすると拡大表示します

 「OK」をクリックすると、ユーザー名とパスワードの入力画面が表示される。ここには、ドメインコントローラに登録されている管理者権限のユーザー(AdministratorもしくはAdministratorsグループのユーザー)とパスワードを入力しよう。無事に「atmarkitドメインへようこそ」と表示されれば完了だ。以降は、クライアントのログオン時にUPNでユーザー名を指定するか、「オプション」ボタンを押して、ログオン先にドメイン名を明示的に指定すればドメインにログオンできるようになる。

 これで、ユーザーアカウントとコンピュータについて、ドメインで統合的に管理することが可能となったわけだ。後は、前回の連載で解説したようにサーバ上に共有フォルダなどを作成すれば、いままでどおりにネットワークを利用可能となる。これまで、アカウントをサーバとクライアントの両方で管理していたことを考えれば、はるかに効率的なネットワークになったといえるだろう。


 さて、今回の解説は、とりあえずここまでとしておく。次回以降は、もう少し詳しくドメインでの管理方法を取り上げて、さらにユーザーを効率的に管理する方法について説明していく予定だ。


 


「Master of IP Network総合インデックス」

 



Master of IP Network フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Master of IP Network 記事ランキング

本日 月間
ソリューションFLASH