第2回 Active Directoryによるディレクトリ管理改訂 管理者のためのActive Directory入門 (Windows Server 2003対応改訂版)(2/3 ページ)

» 2006年02月17日 00時00分 公開
[伊藤将人]

 Windows NTでも、ネットワークの資源をまとめて管理するために、「ディレクトリ・サービス」が提供されていた。Windows NTのディレクトリ・サービスでは、ユーザーやグループ、コンピュータを管理することができる。Windows NTのディレクトリ・サービスでも管理する基本単位はActive Directoryと同じく「ドメイン」と呼ばれる。そしてディレクトリを管理するコンピュータを「ドメイン・コントローラ(DC)」と呼んでいる。

Windows NTにおけるドメイン
Windows NTにもドメインと呼ばれる管理単位が存在する。Active Directoryのドメインと区別して、ここでは「NTドメイン」と呼ぶ。NTドメインに参加するユーザーやコンピュータを登録したり、登録されたユーザーをグループでまとめたりすることができる。ドメインを管理するコンピュータを「ドメイン・コントローラ(DC)」と呼び、その中でも特にマスタとなるDCを「プライマリ・ドメイン・コントローラ(PDC)」、それ以外のものを「バックアップ・ドメイン・コントローラ(BDC)」と呼ぶ。

 ユーザーがNTドメインに参加(ログオン)する場合には、ドメインに登録されているユーザー名とパスワードを入力し、参加するドメインをリストの中から選択すればよい。

 ログオン処理が終了して、正しく登録されたユーザーとして認証されれば、ユーザーはその後ドメインの資源を利用できるようになる。この処理はActive Directoryでも行われるため、ユーザーはNTドメインにログオンした場合とActive Directoryにログオンした場合の違いに気付くことは少ない。NTドメインにログオンできるクライアントは、Windows NTに限らず、Windows 2000やWindows XP、Windows Server 2003からもログオンが可能である。これとは逆に、Windows NTクライアントを使ってActive Directoryにログオンすることもできるため、ログオンしているドメインの違いをユーザーがログオン時に識別することは難しい。

 逆にいうと、ユーザーは参加するドメインのバージョンは意識せずにログオンできるということである。

■Windows NTのログオン画面

■Windows 2000のログオン画面

■ Windows XPのログオン画面

Windows NT/2000/XPのログオン・ダイアログ
クライアントから見れば、Active Directoryに参加するにせよ、従来のNTドメインに参加するにせよ、ログオン時に入力する値に違いはない。これだけでは、ログオン先がNTドメインなのかActive Directoryなのかは区別できない。

 このように、ユーザーは参加するドメインの種類を意識する必要はないが、管理者は、NTドメインを管理する場合と、Active Directoryドメインを管理する場合では、その違いをはっきりと意識しなければならない。その気になれば、NTドメイン管理の知識だけでActive Directoryドメインを管理することも可能である。基本的には、NTドメインを管理していた管理者が、それまで手掛けていた作業をActive Directoryでもそのまま行えるように配慮されている。

 しかしそれでは、Active Directoryの機能を十分に生かすことはできないだろう。例えば、NTドメインでユーザーのパスワードの変更を依頼された場合を考えてみたい。この場合NTドメインのユーザー管理では、管理ツールの「ドメイン ユーザー マネージャ」というツールを使って作業していた。しかし例えば、登録されているユーザーが1万人いたとすると、パスワードの変更をしたいユーザーを探すだけでもたいへんな手間がかかる。これに対しActive Directoryでは、大規模なネットワークをより効率的に管理するためのユーザー管理ツールとして「Active Directory ユーザーとコンピュータ」ツールが提供されている。

NTドメインで利用できるユーザー管理ツール
Windows NT 4.0の[ドメイン ユーザー マネージャ]では、このようにすべてのユーザーがフラットに管理される。例えば東京勤務のユーザーと大阪勤務のユーザーとを分けて管理するような機能は提供されていない。
 (1)ユーザー一覧。ユーザー数が多くなるとこの部分が長くなり、検索しづらくなる。
 (2)グループ一覧。グループとは、ユーザーをまとめて扱うための機能であり、階層的な論理構造を持たせるための機能ではない。

 NTドメインがフラットにリソースを管理していたのに対して、Active Directoryではリソースを階層的に管理する。「Active Directory ユーザーとコンピュータ」ツールには、検索コマンドが提供されているし、OU(Organizational Unit:管理組織)などで管理者が事前に階層構造を構成しておくと、どの部門のユーザーかという情報をもとに、パスワードの変更を行いたいユーザーにすぐにたどりつける(検索コマンドを使った場合、検索結果からパスワードのリセットを簡単に実行できる)。

[Active Directoryユーザーとコンピュータ]ツールでの検索
[Active Directoryユーザーとコンピュータ]ツールでは、設定を変更したいユーザーをActive Directoryドメインのツリーから検索することができる。
 (1)Active Directoryのツリーを指定して、ユーザー名などを簡単に検索することができる。

 検索結果が表示されれば、それらのユーザーに対して簡単に操作を適用することができる。

検索結果からのパスワードリセット
検索結果を右クリックして表示されるメニューを使って、パスワードをリセットすること(新しいパスワードを割り当てること)ができる。
 (1)パスワードをリセットするにはここを選択する。

 このように、NTドメインからActive Directoryに移行すれば、さまざまな管理作業の効率化を図れるだろう。

Windows NTドメインの限界

 Windows NTのディレクトリ・サービスを使用してネットワーク上のユーザー、グループ、コンピュータを管理している環境(NTドメイン)も多いと思うが、Windows NTのディレクトリ・サービスには機能的な限界があった。

 1つは、管理できる情報の種類が少ないということだ。NTドメインでは、ユーザーのメール・アドレスや所属部門、上司の名前などを登録する機能はない。

 もう1つは、管理できる情報の量が少ないということだ。NTドメインでは、ディレクトリ・サービスが使用するデータベースのサイズの実用上の上限は約40Mbytesである。NTドメインでは、ユーザー1人当たり1Kbytesの容量を消費するので、ディレクトリ・サービスで管理する情報がすべてユーザーだとすると、単純計算で4万人が限界ということになる。ユーザーだけでなくグループやコンピュータも管理することになると、登録可能なユーザー数はさらに少なくなってしまう。

SAMデータベースの上限
SAM(Security Account Manager)データベースには、ユーザーやグループ、コンピュータなどに関する情報が保存される。SAMデータベースは、マスタがPDC(プライマリ・ドメイン・コントローラ)に用意され、そのコピーがBDC(バックアップ・ドメイン・コントローラ)に用意されている。SAMデータベースの実用上の上限は約40Mbytesとされており、1ユーザー当たりの使用量は1024bytes、1コンピュータ当たりの使用量は512bytes必要になる。よって、管理データがすべてユーザーの場合は、約4万ユーザーまでしか格納できない(40Mbytes÷1024bytes)。1人1台NT系OSがインストールされたコンピュータを使用しているとするなら、約2万6000ユーザーしか格納できないことになる(40Mbytes÷(1024bytes+512bytes))。

 このようにデータベースの最大サイズに制限があるため、大規模環境では1つの組織でもドメインを複数に分けて運用することになる。ネットワークの規模や組織の構造などに応じて、この分け方にはいろいろな方法がある。例えばユーザー・アカウントとコンピュータ・アカウントで分けるマスタ・ドメイン・モデルなどである。

マスタ・ドメイン・モデルによるドメインの分割管理
ユーザーやグループ・アカウントはアカウント・ドメインで集中管理し、コンピュータ・アカウントなどのリソースは(複数の)リソース・ドメインに分割して管理する。アカウント・ドメインのSAMデータベースには、ユーザー・アカウントとグループ・アカウントだけを格納し、リソース・ドメインのSAMデータベースには、コンピュータ・アカウントだけを格納する。ただしこの構成で、アカウント・ドメインのユーザーがリソース・ドメインのコンピュータを利用するためには、ドメイン間で信頼関係を結ぶ必要がある。信頼関係を結べば、その後信頼関係を結んだドメインのユーザー・アカウントやグループ・アカウントにアクセス許可や権限を付与することができる。

Windows NTにおけるアカウント・データベースの複製

 ユーザー名やグループ名、コンピュータ名などの重要な情報を格納しているSAMデータベースは、ドメインを管理するうえで非常に重要な役割を担っている。もしこのデータベースが壊れてしまったり、何らかの障害によって使用できなくなったりすると、ユーザーはドメインにログオンすることも、ドメインの資源を利用することもできなくなる。そのため、Windows NTドメインでは「シングル・マスタ複製」を利用して、SAMデータベースの耐障害性を確保している。シングル・マスタ複製とは、NTドメインで利用するSAMデータベースのマスタ(元)が1つしかないということを意味している。NTでは、マスタとなるデータベースの複製をほかのコンピュータに持たせることができる(複製を作ることを「同期」という)。マスタのデータベースを管理するコンピュータのことを「プライマリ・ドメイン・コントローラ(PDC)」と呼び、複製のデータベースを持つコンピュータを「バックアップ・ドメイン・コントローラ(BDC)」と呼ぶ。

シングル・マスタ複製
NTドメインの複製処理は、PDCからBDCへの一方向の複製となる(デフォルトでは300秒間隔)。マスタ・データベース(書き込み可能)はPDCが保持する。ユーザーの追加や削除、グループの編集などはマスタでのみ行われる。マスタ・データベースは書き込み可能だが、BDCが保持するデータベースはマスタ・データベースのコピーであり、編集は不可能となっている。そのため、PDCが停止している状態では、ユーザーの追加、グループ・メンバの変更、パスワードの変更ができなくなるし、BDC間での複製処理も行われない。

 PDCが停止していても、BDCが稼働していればユーザー情報、グループ情報、コンピュータ情報を利用することができる。つまりユーザーはドメインへログオンして、ドメインのリソースを利用することはできる。

 しかしBDCでは、複製されたデータベースは変更ができないという制約がある(データベースを変更することができるのはPDCだけ)。変更ができないということは、例えば新たにユーザーを追加したり、ユーザーのパスワードを変更したり、グループのメンバを追加したり削除したりできないということである。

 ユーザーの追加やグループのメンバの変更はそれほど頻繁に発生する作業ではないため、このような場合は、PDCが復旧するのを待ってから作業をするという選択もできるだろう。しかし、例えばユーザーがパスワードを変更したいという要求は、ユーザー側の要望であるため、任意の時間に行えることが望ましい。このような管理情報のメンテナンスは、意外なときに発生するものだし、ひとたび発生すると、緊急性が高いケースが少なくない。例えばユーザーのパスワードも、ユーザー情報の一部の属性であり、ディレクトリ・データベースで管理されている。つまり、PDCが停止しているとパスワードの変更すらできない。こうした問題を回避するため、Windows NTでは、BDCをPDCに昇格するという機能が提供されていた。しかし、昇格の作業は管理者が手作業で行わなければならない。Active Directoryでは、こうした限界が改善されている。

Copyright© Digital Advantage Corp. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。