1. Active Directory が解決する代表的な3つの課題
あなたの会社で、次のような問題は起きていませんか?
●ユーザIDの認証が一元管理できていないため、いくつものサーバやクライアントにユーザIDを個別登録しなければならない
●ソフトウェア更新のタイミングやインストールされているアプリケーションがPCごとにバラバラで管理できていない
●ユーザ自身によってサーバのパスワードが変更できない
このような問題を解決するITシステム基盤として、Windows 2000 Server 以降、多くの企業で Active Directory の導入が進んでいます。
Active Directory は、PCや利用者の情報をまとめて管理し、管理にかかる手間を大きく軽減することができる、Windows Server に標準で搭載されたサービスです。多くの企業では、「(1)ユーザIDの一元管理と認証」、「(2)PCデバイスの一元管理とリソースへのアクセス制御」、「(3)他システムとの連携」という3つの重要な役割を担っています。
(1) ユーザIDの一元管理と認証
ユーザIDやパスワード情報等を一元管理し、認証システムとして利用できます。いくつものサーバに個別にユーザIDを登録し、管理する必要はありません。ユーザ自身が自身のPCからパスワードの変更を行い、認証情報をアップデートすることができます。
(2) PCデバイスの一元管理とリソースへのアクセス制御
管理対象のPCを登録し、ポリシーを適用するだけで、インストールするアプリケーションのバージョンや更新のタイミングを一元管理することができます。また、ファイルサーバのフォルダ等に対してもアクセス制限を設定することが可能です。
(3) 他システムとの連携
例えば Exchange サーバとActive Directoryを連携すると、メールアカウントやメールボックスの作成等を自動化することができます。また、他のシステムやクラウドサービスへのログイン認証をActive Directoryに登録されているIDとパスワードで行うよう構成することも可能です。
2. タイプ別 Active Directory の構築ノウハウ
次に、3つのタイプ別に異なる、Active Directory の構築ポイントについてご紹介します。取り上げるのは、(1)新規に Active Directory を構築する場合、(2)既存の複数の Active Directoryをひとつに統合する場合、(3)既存の Active Directory のOSをバージョンアップする場合の3タイプです。順に詳しく見ていきましょう。
(1) 新規に Active Directory を構築する場合
Active Directory を新規構築する場合は、
- ドメイン名を決めます。
- 既存の名前解決に影響しないようにDNSを設計します。
- 管理するPCや関連システムのコンピュータ名(ホスト名)の命名規則を決めておきます。
*OU(Organizational Unit:組織単位)と呼ばれる管理グループの単位は、可能な限りシンプルで柔軟性のある構成にすることが望ましいですが、ドメイン構築後に変更しても構いません。 - ドメインコントローラを構築します。
- ユーザ・グループを登録します。
- ファイルサーバを必要に応じてドメインに参加させ、アクセス権を付与します。
- クライアントをドメインに参加させ、クライアントプロファイルをドメインに移行します。
Active Directory の新規構築で一番手間がかかり大変なのが、クライアントのドメイン移行です。手動でプロファイル移行を行う場合、データコピーや再設定等で1台あたり1時間以上かかることが多いです。弊社ではダブルクリック1回でドメイン参加とプロファイル移行を行う独自のスクリプトツールによる、移行ソリューションを展開しています。
(2)既存の複数の Active Directory をひとつに統合する場合
企業の統廃合等で、2つの異なるドメインを管理する Active Directory を1つに統合する場合は、
- ドメインの詳細調査
- アカウント情報の移行(ユーザ情報とグループ情報の複製)
- グループポリシーの統合(ポリシーの再構成)
- ファイルサーバのアクセス権移行(ドメインが違うと権限も付け直しが必要)
- クライアントのプロファイル移行
という作業を行います。
ドメイン統合のポイントは
- オブジェクト名の重複があると、ドメイン参加ができなくなるなど様々な障害につながるため、オブジェクトの詳細調査が必要。
- グループポリシーに差異があると、移行したクライアントやユーザの設定が変わり、ユーザ業務に思わぬ副作用が現れることがあるため、慎重な統合が必要。
- ファイルサーバのアクセス権を変更するには、既存アクセス権の詳細な洗い出しと、変換が必要。
- クライアントが移行している途中では、両方のドメインにユーザが分散しているが、ファイルサーバ等の共有リソースは分散できないため、権限コントロールなど経過措置に対する特別な配慮が必要。
ドメイン統合や移行は、既存でドメインによる制御がされている環境を大幅に変更するため、詳細な調査と慎重な移行計画が必要になります。弊社では、特別なスクリプトソリューションにより Active Directory の情報洗い出し(設定情報、オブジェクト情報、グループポリシー、ファイルサーバアクセス権)を支援し、多様な移行ノウハウにより業務への影響を最小限に抑えた統合を可能とします。
(3)既存の Active Directory のOSをバージョンアップする場合
Active Directory サーバのOSをバージョンアップする場合は、Active Directory 以外に変更される機能やアプリケーションにも十分に留意する必要があります。また、バージョンアップ後も Active Directory サーバのIPアドレスやホスト名は、これまでのものと同一に設定しておくと、無用なトラブルを避けられます。Active Directory サーバが複数台ある場合は、1台ずつ降格させてバージョンアップ作業を行い、サービスの停止時間を最小限にするように計画します。
また、Active Directory のバージョンアップは、サーバの昇格より降格の方がトラブルが多いことを覚えておくと、いざというとき慌てなくて済みます。
まとめ
Active Directory はユーザIDやPCデバイスを一元管理し、社内のITシステムをセキュアに保つことを手助けする、非常に便利で優れたツールです。しかし、だからこそ、Active Directory サーバの変更やアップデートは、十分な事前準備や調査を行い、余裕をもった計画を立てることが必要です。具体的な構築や統合、バージョンアップの手法や詳しい情報は、 こちらの資料 に記載されていますので、ぜひダウンロードしてご一読ください。
