Active Directoryの管理者がよく利用するツールにADSIEditというツールがある。いままでのADSIEditは、WindowsサーバOSのインストールCD-ROMに含まれるSupport Tools(\SUPPORT\TOOLSフォルダ以下に収録されている)の一機能として提供され、Active Directory Service InterfaceというAPIを利用して標準ツールでは表示されないようなスキーマ属性を表示したり、変更したりするために利用されている。Active Directoryのオブジェクトは非常に多くのプロパティ情報を持っており、標準の管理ツールではすべてのプロパティ情報を表示することができない。よって、ADSIEditをこのような普段表示されないプロパティに対する書き込みやスクリプトなどでデータを送り込んだ際の確認などで利用することも多いだろう。
Windows Server 2008は、そのADSIEdit(Windows Server 2008ではADSIエディタと呼んでいる)というツールをMMCスナップインとして標準で提供しているため、別途Support Toolsのインストールなどをしなくても利用できる。
また、Windows Server 2008の[Active Directoryユーザーとコンピュータ]や[Active Directoryサイトとサービス]などの標準ツールには、このADSIEditの機能が組み込まれており、以下のように、[属性エディタ]タブとしても確認できる。
ただしこの機能を利用するためには、[Active Directoryユーザーとコンピュータ]などの管理ツールにおいて、[表示]メニューの[拡張機能表示]を有効(オン)にする必要がある。このメニュー項目をオンにする作業は、監査設定などで[セキュリティ]タブを表示する際にも利用することがあるだろう。
Windows Server 2008のActive Directoryでは、「フリガナ」をサポートしている。同じ漢字でもいくつかの読み方を持つ日本語環境だからこそ、フリガナのサポートを待ち望んでいた方も多いことだろう。もちろん、Active Directoryが拡張可能であることを考えると、スキーマを拡張してフリガナ情報を保持することはいまでも可能だったが、管理ツールを含め標準機能として提供されることで、今後はより多くの企業で利用されていくだろう。
ちなみに、フリガナは[Active Directoryユーザーとコンピュータ]からユーザーを作成する際には出てこないので、ユーザー作成後に手動で入力するか、スクリプトなどで処理する必要がある。スクリプトを利用する場合は、以下のスキーマを対象にして操作していただきたい。
ユーザ・オブジェクトの属性値 | 内容 |
---|---|
msDS-PhoneticFirstName | 名 |
msDS-PhoneticLastName | 姓 |
msDS-PhoneticDisplayName | 表示名 |
msDS-PhoneticCompanyName | 会社名 |
msDS-PhoneticDepartment | 部署名 |
フリガナ・サポートのためのスキーマ |
Active DirectoryによるユーザーID管理のメリットの1つに、ネットワークからの匿名性排除が挙げられる。特定のアプリケーションを使うときにだけ認証される仕組みと違い、ネットワークにログオンしてからログオフするまでの間、常に「誰」であるかを表明しているわけだ。それだけセキュアな仕組みだということもあって、Active Directoryがパスワードの文字数や定期的な変更の強制、簡単なパスワードの排除などのパスワード運用ポリシーを、グループ・ポリシーを使ってルール化していることはご存じだろう。だがいままでのActive Directoryではこのルールをドメインに対して1つしか設定できなかった。そのためパスワードのルールを分けたければドメインを分ける作業が必要となり、その結果、シンプルに管理すべきActive Directoryが複雑化していく要因の1つになっていた。
そこでWindows Server 2008では1つのドメインに対して複数のパスワード・ルールを適用できるようにした。ただしパスワードの管理そのものが変わったわけではなく、いままでどおり各ドメインに対して1つのパスワード・ルールをグループ・ポリシーによって運用するのが基本である。そして、パスワードのルールに特例を作りたければ、新しい機能を利用してActive Directoryで管理されているグループに別のパスワード・ルールを割り当てればよい。
もう少し具体的な設定方法について触れてみよう。新しいパスワード・ルールはPassword Settings Object(以下PSO)というオブジェクトをActive Directoryに作るところから始まる。この作業はMMCスナップインとしてのADSIエディタを利用する。まずはADSIエディタを起動し、「ドメイン名\System」のツリーを展開後、「Password Settings Container」を右クリックしてオブジェクトを新規作成する。このタイミングで、(英語ではあるが)ウィザードが起動するので、最短パスワード長や有効期間、管理する履歴の数などを入力していけば、新しいパスワード・ルールを持つPSOが出来上がる。
次の図は、PSOで定義された新しいパスワード・ルールが、どのようにしてActive Directoryのグループやユーザーと結び付き、利用されるかを示したものである。
まず、(1)PSOを作成し、(2)PSOのmsDS-PSOAppliesToプロパティにActive Directoryのグループを割り当てる。そして、(3)グループのメンバーとしてユーザーを登録すると、(4)そのユーザーのmsDS-ResultantPSOプロパティに、(1)で作成したPSOが表示され、このユーザーと新しいパスワード・ルールが結び付く。例えば以下は「鈴木 花子」というユーザーのプロパティにPSOが結び付いたところである。
以下は、グループ・ポリシーの標準設定であるパスワード長7文字という基本設定に対して、最短パスワード長を12に設定したPSOを適用した場合のテスト画面である。鈴木(ログオン名「suzuki」)というユーザーのパスワード変更を試みているが、8文字では失敗し、12文字で成功したことが分かるだろう。
このように、複数のパスワード・ルールが導入可能となったわけだが、グループに対して設定をするということは、複数のパスワード・ルールが1人のユーザーに適用される可能性があるともいえる。このような状況において、どのルールを適用するべきか判断するために、PSOは「Password Settings Precedence」という優先度プロパティを持っていることを覚えておくとよいだろう。
Copyright© Digital Advantage Corp. All Rights Reserved.