第2回 Active Directoryによるディレクトリ管理：改訂 管理者のためのActive Directory入門 （Windows Server 2003対応改訂版）（2/3 ページ）

[伊藤将人，著]

　Windows NTでも、ネットワークの資源をまとめて管理するために、「ディレクトリ・サービス」が提供されていた。Windows NTのディレクトリ・サービスでは、ユーザーやグループ、コンピュータを管理することができる。Windows NTのディレクトリ・サービスでも管理する基本単位はActive Directoryと同じく「ドメイン」と呼ばれる。そしてディレクトリを管理するコンピュータを「ドメイン・コントローラ（DC）」と呼んでいる。

Windows NTにおけるドメイン
Windows NTにもドメインと呼ばれる管理単位が存在する。Active Directoryのドメインと区別して、ここでは「NTドメイン」と呼ぶ。NTドメインに参加するユーザーやコンピュータを登録したり、登録されたユーザーをグループでまとめたりすることができる。ドメインを管理するコンピュータを「ドメイン・コントローラ（DC）」と呼び、その中でも特にマスタとなるDCを「プライマリ・ドメイン・コントローラ（PDC）」、それ以外のものを「バックアップ・ドメイン・コントローラ（BDC）」と呼ぶ。

　ユーザーがNTドメインに参加（ログオン）する場合には、ドメインに登録されているユーザー名とパスワードを入力し、参加するドメインをリストの中から選択すればよい。

　ログオン処理が終了して、正しく登録されたユーザーとして認証されれば、ユーザーはその後ドメインの資源を利用できるようになる。この処理はActive Directoryでも行われるため、ユーザーはNTドメインにログオンした場合とActive Directoryにログオンした場合の違いに気付くことは少ない。NTドメインにログオンできるクライアントは、Windows NTに限らず、Windows 2000やWindows XP、Windows Server 2003からもログオンが可能である。これとは逆に、Windows NTクライアントを使ってActive Directoryにログオンすることもできるため、ログオンしているドメインの違いをユーザーがログオン時に識別することは難しい。

　逆にいうと、ユーザーは参加するドメインのバージョンは意識せずにログオンできるということである。

■Windows NTのログオン画面

■Windows 2000のログオン画面

■ Windows XPのログオン画面

Windows NT／2000／XPのログオン・ダイアログ
クライアントから見れば、Active Directoryに参加するにせよ、従来のNTドメインに参加するにせよ、ログオン時に入力する値に違いはない。これだけでは、ログオン先がNTドメインなのかActive Directoryなのかは区別できない。

　このように、ユーザーは参加するドメインの種類を意識する必要はないが、管理者は、NTドメインを管理する場合と、Active Directoryドメインを管理する場合では、その違いをはっきりと意識しなければならない。その気になれば、NTドメイン管理の知識だけでActive Directoryドメインを管理することも可能である。基本的には、NTドメインを管理していた管理者が、それまで手掛けていた作業をActive Directoryでもそのまま行えるように配慮されている。

　しかしそれでは、Active Directoryの機能を十分に生かすことはできないだろう。例えば、NTドメインでユーザーのパスワードの変更を依頼された場合を考えてみたい。この場合NTドメインのユーザー管理では、管理ツールの「ドメイン ユーザー マネージャ」というツールを使って作業していた。しかし例えば、登録されているユーザーが1万人いたとすると、パスワードの変更をしたいユーザーを探すだけでもたいへんな手間がかかる。これに対しActive Directoryでは、大規模なネットワークをより効率的に管理するためのユーザー管理ツールとして「Active Directory ユーザーとコンピュータ」ツールが提供されている。

NTドメインで利用できるユーザー管理ツール
Windows NT 4.0の［ドメイン ユーザー マネージャ］では、このようにすべてのユーザーがフラットに管理される。例えば東京勤務のユーザーと大阪勤務のユーザーとを分けて管理するような機能は提供されていない。
　（1）ユーザー一覧。ユーザー数が多くなるとこの部分が長くなり、検索しづらくなる。
　（2）グループ一覧。グループとは、ユーザーをまとめて扱うための機能であり、階層的な論理構造を持たせるための機能ではない。

　NTドメインがフラットにリソースを管理していたのに対して、Active Directoryではリソースを階層的に管理する。「Active Directory ユーザーとコンピュータ」ツールには、検索コマンドが提供されているし、OU（Organizational Unit：管理組織）などで管理者が事前に階層構造を構成しておくと、どの部門のユーザーかという情報をもとに、パスワードの変更を行いたいユーザーにすぐにたどりつける（検索コマンドを使った場合、検索結果からパスワードのリセットを簡単に実行できる）。

［Active Directoryユーザーとコンピュータ］ツールでの検索
［Active Directoryユーザーとコンピュータ］ツールでは、設定を変更したいユーザーをActive Directoryドメインのツリーから検索することができる。
　（1）Active Directoryのツリーを指定して、ユーザー名などを簡単に検索することができる。

　検索結果が表示されれば、それらのユーザーに対して簡単に操作を適用することができる。

検索結果からのパスワードリセット
検索結果を右クリックして表示されるメニューを使って、パスワードをリセットすること（新しいパスワードを割り当てること）ができる。
　（1）パスワードをリセットするにはここを選択する。

　このように、NTドメインからActive Directoryに移行すれば、さまざまな管理作業の効率化を図れるだろう。

Windows NTドメインの限界

　Windows NTのディレクトリ・サービスを使用してネットワーク上のユーザー、グループ、コンピュータを管理している環境（NTドメイン）も多いと思うが、Windows NTのディレクトリ・サービスには機能的な限界があった。

　1つは、管理できる情報の種類が少ないということだ。NTドメインでは、ユーザーのメール・アドレスや所属部門、上司の名前などを登録する機能はない。

　もう1つは、管理できる情報の量が少ないということだ。NTドメインでは、ディレクトリ・サービスが使用するデータベースのサイズの実用上の上限は約40Mbytesである。NTドメインでは、ユーザー１人当たり１Kbytesの容量を消費するので、ディレクトリ・サービスで管理する情報がすべてユーザーだとすると、単純計算で4万人が限界ということになる。ユーザーだけでなくグループやコンピュータも管理することになると、登録可能なユーザー数はさらに少なくなってしまう。

SAMデータベースの上限
SAM（Security Account Manager）データベースには、ユーザーやグループ、コンピュータなどに関する情報が保存される。SAMデータベースは、マスタがPDC（プライマリ・ドメイン・コントローラ）に用意され、そのコピーがBDC（バックアップ・ドメイン・コントローラ）に用意されている。SAMデータベースの実用上の上限は約40Mbytesとされており、1ユーザー当たりの使用量は1024bytes、1コンピュータ当たりの使用量は512bytes必要になる。よって、管理データがすべてユーザーの場合は、約4万ユーザーまでしか格納できない（40Mbytes÷1024bytes）。1人1台NT系OSがインストールされたコンピュータを使用しているとするなら、約2万6000ユーザーしか格納できないことになる（40Mbytes÷（1024bytes＋512bytes））。

　このようにデータベースの最大サイズに制限があるため、大規模環境では1つの組織でもドメインを複数に分けて運用することになる。ネットワークの規模や組織の構造などに応じて、この分け方にはいろいろな方法がある。例えばユーザー・アカウントとコンピュータ・アカウントで分けるマスタ・ドメイン・モデルなどである。

マスタ・ドメイン・モデルによるドメインの分割管理
ユーザーやグループ・アカウントはアカウント・ドメインで集中管理し、コンピュータ・アカウントなどのリソースは（複数の）リソース・ドメインに分割して管理する。アカウント・ドメインのSAMデータベースには、ユーザー・アカウントとグループ・アカウントだけを格納し、リソース・ドメインのSAMデータベースには、コンピュータ・アカウントだけを格納する。ただしこの構成で、アカウント・ドメインのユーザーがリソース・ドメインのコンピュータを利用するためには、ドメイン間で信頼関係を結ぶ必要がある。信頼関係を結べば、その後信頼関係を結んだドメインのユーザー・アカウントやグループ・アカウントにアクセス許可や権限を付与することができる。

Windows NTにおけるアカウント・データベースの複製

　ユーザー名やグループ名、コンピュータ名などの重要な情報を格納しているSAMデータベースは、ドメインを管理するうえで非常に重要な役割を担っている。もしこのデータベースが壊れてしまったり、何らかの障害によって使用できなくなったりすると、ユーザーはドメインにログオンすることも、ドメインの資源を利用することもできなくなる。そのため、Windows NTドメインでは「シングル・マスタ複製」を利用して、SAMデータベースの耐障害性を確保している。シングル・マスタ複製とは、NTドメインで利用するSAMデータベースのマスタ（元）が1つしかないということを意味している。NTでは、マスタとなるデータベースの複製をほかのコンピュータに持たせることができる（複製を作ることを「同期」という）。マスタのデータベースを管理するコンピュータのことを「プライマリ・ドメイン・コントローラ（PDC）」と呼び、複製のデータベースを持つコンピュータを「バックアップ・ドメイン・コントローラ（BDC）」と呼ぶ。

シングル・マスタ複製
NTドメインの複製処理は、PDCからBDCへの一方向の複製となる（デフォルトでは300秒間隔）。マスタ・データベース（書き込み可能）はPDCが保持する。ユーザーの追加や削除、グループの編集などはマスタでのみ行われる。マスタ・データベースは書き込み可能だが、BDCが保持するデータベースはマスタ・データベースのコピーであり、編集は不可能となっている。そのため、PDCが停止している状態では、ユーザーの追加、グループ・メンバの変更、パスワードの変更ができなくなるし、BDC間での複製処理も行われない。

　PDCが停止していても、BDCが稼働していればユーザー情報、グループ情報、コンピュータ情報を利用することができる。つまりユーザーはドメインへログオンして、ドメインのリソースを利用することはできる。

　しかしBDCでは、複製されたデータベースは変更ができないという制約がある（データベースを変更することができるのはPDCだけ）。変更ができないということは、例えば新たにユーザーを追加したり、ユーザーのパスワードを変更したり、グループのメンバを追加したり削除したりできないということである。

　ユーザーの追加やグループのメンバの変更はそれほど頻繁に発生する作業ではないため、このような場合は、PDCが復旧するのを待ってから作業をするという選択もできるだろう。しかし、例えばユーザーがパスワードを変更したいという要求は、ユーザー側の要望であるため、任意の時間に行えることが望ましい。このような管理情報のメンテナンスは、意外なときに発生するものだし、ひとたび発生すると、緊急性が高いケースが少なくない。例えばユーザーのパスワードも、ユーザー情報の一部の属性であり、ディレクトリ・データベースで管理されている。つまり、PDCが停止しているとパスワードの変更すらできない。こうした問題を回避するため、Windows NTでは、BDCをPDCに昇格するという機能が提供されていた。しかし、昇格の作業は管理者が手作業で行わなければならない。Active Directoryでは、こうした限界が改善されている。