第6回 強化されたActive Directoryサービス(前編):Windows Server 2008の基礎知識(2/3 ページ)
ADSIEdit機能の組み込み
Active Directoryの管理者がよく利用するツールにADSIEditというツールがある。いままでのADSIEditは、WindowsサーバOSのインストールCD-ROMに含まれるSupport Tools(\SUPPORT\TOOLSフォルダ以下に収録されている)の一機能として提供され、Active Directory Service InterfaceというAPIを利用して標準ツールでは表示されないようなスキーマ属性を表示したり、変更したりするために利用されている。Active Directoryのオブジェクトは非常に多くのプロパティ情報を持っており、標準の管理ツールではすべてのプロパティ情報を表示することができない。よって、ADSIEditをこのような普段表示されないプロパティに対する書き込みやスクリプトなどでデータを送り込んだ際の確認などで利用することも多いだろう。
Windows Server 2008は、そのADSIEdit(Windows Server 2008ではADSIエディタと呼んでいる)というツールをMMCスナップインとして標準で提供しているため、別途Support Toolsのインストールなどをしなくても利用できる。
また、Windows Server 2008の[Active Directoryユーザーとコンピュータ]や[Active Directoryサイトとサービス]などの標準ツールには、このADSIEditの機能が組み込まれており、以下のように、[属性エディタ]タブとしても確認できる。
属性エディタの表示画面ただしこの機能を利用するためには、[Active Directoryユーザーとコンピュータ]などの管理ツールにおいて、[表示]メニューの[拡張機能表示]を有効(オン)にする必要がある。このメニュー項目をオンにする作業は、監査設定などで[セキュリティ]タブを表示する際にも利用することがあるだろう。
「フリガナ」のサポート
Windows Server 2008のActive Directoryでは、「フリガナ」をサポートしている。同じ漢字でもいくつかの読み方を持つ日本語環境だからこそ、フリガナのサポートを待ち望んでいた方も多いことだろう。もちろん、Active Directoryが拡張可能であることを考えると、スキーマを拡張してフリガナ情報を保持することはいまでも可能だったが、管理ツールを含め標準機能として提供されることで、今後はより多くの企業で利用されていくだろう。
新しく追加された[フリガナ]タブ[Active Directoryユーザーとコンピュータ]でユーザー・オブジェクトを確認すると、新しく[フリガナ]というタブが追加されて、ここで編集も可能になっている。
(1)新しく追加された[フリガナ]タブ。名前などの読み方を入力する。
(2)姓のフリガナ。
(3)名のフリガナ。
(4)表示名のフリガナ。
(5)会社名のフリガナ。
(6)部署名のフリガナ。
ちなみに、フリガナは[Active Directoryユーザーとコンピュータ]からユーザーを作成する際には出てこないので、ユーザー作成後に手動で入力するか、スクリプトなどで処理する必要がある。スクリプトを利用する場合は、以下のスキーマを対象にして操作していただきたい。
| ユーザ・オブジェクトの属性値 | 内容 |
|---|---|
| msDS-PhoneticFirstName | 名 |
| msDS-PhoneticLastName | 姓 |
| msDS-PhoneticDisplayName | 表示名 |
| msDS-PhoneticCompanyName | 会社名 |
| msDS-PhoneticDepartment | 部署名 |
| フリガナ・サポートのためのスキーマ | |
複数のパスワード・ポリシーの運用
Active DirectoryによるユーザーID管理のメリットの1つに、ネットワークからの匿名性排除が挙げられる。特定のアプリケーションを使うときにだけ認証される仕組みと違い、ネットワークにログオンしてからログオフするまでの間、常に「誰」であるかを表明しているわけだ。それだけセキュアな仕組みだということもあって、Active Directoryがパスワードの文字数や定期的な変更の強制、簡単なパスワードの排除などのパスワード運用ポリシーを、グループ・ポリシーを使ってルール化していることはご存じだろう。だがいままでのActive Directoryではこのルールをドメインに対して1つしか設定できなかった。そのためパスワードのルールを分けたければドメインを分ける作業が必要となり、その結果、シンプルに管理すべきActive Directoryが複雑化していく要因の1つになっていた。
そこでWindows Server 2008では1つのドメインに対して複数のパスワード・ルールを適用できるようにした。ただしパスワードの管理そのものが変わったわけではなく、いままでどおり各ドメインに対して1つのパスワード・ルールをグループ・ポリシーによって運用するのが基本である。そして、パスワードのルールに特例を作りたければ、新しい機能を利用してActive Directoryで管理されているグループに別のパスワード・ルールを割り当てればよい。
もう少し具体的な設定方法について触れてみよう。新しいパスワード・ルールはPassword Settings Object(以下PSO)というオブジェクトをActive Directoryに作るところから始まる。この作業はMMCスナップインとしてのADSIエディタを利用する。まずはADSIエディタを起動し、「ドメイン名\System」のツリーを展開後、「Password Settings Container」を右クリックしてオブジェクトを新規作成する。このタイミングで、(英語ではあるが)ウィザードが起動するので、最短パスワード長や有効期間、管理する履歴の数などを入力していけば、新しいパスワード・ルールを持つPSOが出来上がる。
新しいPSOの作成ADSIエディタを起動し、「ドメイン名\System」の下にある「Password Settings Container」の中に新しいPSOオブジェクトを作成する。
(1)このコンテナを選択する。
(2)新しいPSOオブジェクトを作成する。
(3)パスワードの最低長などを設定する。
次の図は、PSOで定義された新しいパスワード・ルールが、どのようにしてActive Directoryのグループやユーザーと結び付き、利用されるかを示したものである。
PSOとグループ/ユーザー・オブジェクトの関係PSOは、グループやユーザー・オブジェクトとこのように結びついている。
(1)作成されたPSOオブジェクト。
(2)このmsDS-PSOAppliesToプロパティにグループを割り当てる。
(3)グループのメンバにユーザーを登録する。
(4)ユーザーのmsDS-ResultantPSOプロパティにPSOが結びつけられる。
まず、(1)PSOを作成し、(2)PSOのmsDS-PSOAppliesToプロパティにActive Directoryのグループを割り当てる。そして、(3)グループのメンバーとしてユーザーを登録すると、(4)そのユーザーのmsDS-ResultantPSOプロパティに、(1)で作成したPSOが表示され、このユーザーと新しいパスワード・ルールが結び付く。例えば以下は「鈴木 花子」というユーザーのプロパティにPSOが結び付いたところである。
結びつけらたPSOユーザーのプロパティにPSOが結び付けられている。
(1)ユーザーのプロパティ。
(2)属性の表示。
(3)ユーザのmsDS-ResultantPSOプロパティ。
(4)結びつけらたPSO。
以下は、グループ・ポリシーの標準設定であるパスワード長7文字という基本設定に対して、最短パスワード長を12に設定したPSOを適用した場合のテスト画面である。鈴木(ログオン名「suzuki」)というユーザーのパスワード変更を試みているが、8文字では失敗し、12文字で成功したことが分かるだろう。
パスワードの変更例□最短パスワード長を12文字にしたPSOを適用した場合の例。8文字のパスワードを与えるとエラーとなり、パスワードは変更できないが、12文字だと成功する。
(1)8文字のパスワードに変更してみる。「net user <ユーザー名> <パスワード>」は、指定したユーザーのパスワードを変更するコマンド。
(2)失敗している。
(3)12文字のパスワードを設定してみる。
(4)今度は成功している。
このように、複数のパスワード・ルールが導入可能となったわけだが、グループに対して設定をするということは、複数のパスワード・ルールが1人のユーザーに適用される可能性があるともいえる。このような状況において、どのルールを適用するべきか判断するために、PSOは「Password Settings Precedence」という優先度プロパティを持っていることを覚えておくとよいだろう。
Copyright© Digital Advantage Corp. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。