第7回　強化されたActive Directoryサービス（後編）：Windows Server 2008の基礎知識（3/3 ページ）

» 2008年01月10日 00時00分公開

　この機能も、最初に書いた文面にひも付くものである。それは、ブランチ・オフィスは管理者が不在、もしくは専任の管理者はおらず、ほかの仕事を持つ社員が拠点のサーバ担当としてアサインされているような場合も多いという点である。

　このような状況において、ブランチ・オフィスにRODCを展開することを考えてみてほしい。通常ドメイン・コントローラの追加作業にはドメインの管理権限が必要である。ドメインの管理者自身がドメイン・コントローラの追加を行う場合は問題ないが、ブランチ・オフィスにいる一般社員か誰かにドメインの権限を与えてしまうことには抵抗もリスクもあるだろう。思いどおりにドメイン・コントローラのインストールを実行してくれているかも心配である。

　そこでWindows Server 2008のActive Directoryには、ブランチ・オフィスにおけるRODCの追加を容易に実行するための機能が追加されている。まずは、RODCアカウントの事前作成とドメイン・コントローラの自動インストール用の自動応答ファイルの出力機能である。以下を見ていただきたい。

読み取り専用ドメイン・コントローラ・アカウントの事前作成
読み取り専用ドメイン・コントローラ・アカウントを事前に既存のドメイン・コントローラ上に作成しておくことができる。
　 （1）［Domain Controllers］オブジェクトを選択して、右クリックする。
　 （2）するとこのようなメニュー項目が表示され、事前に読み取り専用ドメイン・コントローラのアカウントを作成しておくことができる。

　［Active Directory ユーザーとコンピュータ］管理ツールを開くと「Domain Controllers」という組織単位（OU）が存在し、デフォルトでは、すべてのドメイン・コントローラが配下に登録されている。Windows Server 2008のActive Directoryでは、この組織単位（OU）を右クリックすると、［読み取り専用ドメインコントローラアカウントの事前作成］というメニューが表示される。そして、起動したウィザードはまさにdcpromo.exe（Active Directory導入のためのウィザード・ツール）でRODCのインストール作業をする際のものと同じであり、以下のような項目を入力することになる。

ドメイン・コントローラ名
サイト
DNS、グローバルカタログの追加
パスワード・レプリケーション・ポリシーの指定
RODC管理者の指定
設定のエクスポート（応答ファイルの出力）

　さて、1つ目のポイントは管理権限委任の項目である。RODCはドメイン・コントローラではあるが、ドメインの管理者の手の届かない所にあることを想定し、追加したRODCアカウントに対してローカルの管理権限とRODCインストール権限を付与することができる。ドメイン全体の管理権限を付与することはないので、あくまでもRODC単体の管理者としてネットワーク設定を行ったり、RODCをドメインに追加したりできるという限定的な権限の委任となる。

　この権限委任は、［Active Directory ユーザーとコンピュータ］のRODCオブジェクトのプロパティから［管理者］タブを開くと確認できる。また、変更もここから可能だ。

読み取り専用ドメイン・コントローラに対する権限委譲
読み取り専用ドメイン・コントローラを管理する権限（ローカルの管理権限とRODCのインストール権限）を、特定のグループに委譲できる。
　 （1）ドメイン・コントローラの［プロパティ］で、このタブを選択する。
　 （2）権限を委譲するグループ。
　 （3）これをクリックすると、権限を委譲するグループを変更できる

　そしてウィザードの最後では、ウィザードの各ページで入力した情報をファイルとしてエクスポート可能になっている。このファイルは、そのままdcpromo.exeを半自動化するための応答ファイルのフォーマットになっているため、限定的に権限を付与されたブランチ・オフィスの担当者がドメイン管理者の意図したとおりに現地でRODCの追加作業を進めることができる。

設定のエクスポート
読み取り専用ドメイン・コントローラを追加するための設定ファイルをあらかじめ作成しておくことができる。
　 （1）読み取り専用ドメイン・コントローラを追加するための設定の要約。
　 （2）これをクリックすると設定をエクスポートでき、この設定ファイルを基にして自動的に追加作業を完了させることができる。

　実際にエクスポートされたファイルは以下のようになっている。パスワード複製の設定項目の行が多く含まれていることが分かる。

※エクスポートされた設定ファイルの内容例

; DCPROMO unattend file (automatically generated by dcpromo)
; Usage:
; dcpromo.exe /CreateDCAccount /ReplicaDomainDNSName:example.jp /unattend:C:\Users\Administrator\Desktop\rodc01_unattend.txt
;
[DCInstall]
; Read-Only Replica DC promotion (stage 1)
DCAccountName=rodc01
; RODC Password Replication Policy
PasswordReplicationDenied="BUILTIN\Administrators"
PasswordReplicationDenied="BUILTIN\Server Operators"
PasswordReplicationDenied="BUILTIN\Backup Operators"
PasswordReplicationDenied="BUILTIN\Account Operators"
PasswordReplicationDenied="EXAMPLE\Denied RODC Password Replication Group"
PasswordReplicationAllowed="EXAMPLE\Allowed RODC Password Replication Group"
DelegatedAdmin="EXAMPLE\RODC01Admin"
SiteName=TOKYO
InstallDNS=Yes
ConfirmGc=Yes
ReplicationSourceDC=dc01.example.jp

　今後RODCがブランチ・オフィスで多用されることになり、ドメイン・コントローラだけでなく、いくつかのアプリケーションやサービスを動かすことになれば、この限定的な管理権限の付与が柔軟なシステム運用へとつながる可能性もあるだろう。

　今回はActive Directoryのブランチ・オフィス・シナリオを紹介したのでRODCの機能紹介が中心となってしまったが、ブランチ・オフィスでは、Active Directoryに関係なく、管理負荷とセキュリティリスクを削減したいはずである。このような状況を総合的にカバーするために、RODCが持つ読み取り専用ディレクトリや柔軟な管理権限委任機能に加えて、Windows Server 2008にて提供される以下の機能との組み合わせをブランチ・オフィス・シナリオの中で検討していただきたい。

サーバ・コアを利用した不要なサービスや管理モジュールの削減
BitLocker を利用したフルボリュームの暗号化によるサーバ盗難リスクへの対策

IDを中心としたセキュアなネットワーク基盤構築

　Windows Server 2008概要記事の第2回でも解説をした内容となるので、ここではおさらい程度に触れることにするが、Windows Server 2008をインストールし、サーバサービスを追加しようとする際、まず目に飛び込んでくるのがActive Directoryというタイトルの付いた以下の5つのサービスである。

Active Directory ドメインサービス
Active Directory ライトウェイトディレクトリサービス
Active Directory 証明書サービス
Active Directory Rights Management サービス
Active Directory フェデレーションサービス

　Active Directoryサービス群を見ていただくと分かるとおり、いずれもまったく新しく提供を始めたものではなく、いままでも別モジュールとして、もしくはWindows Serverの機能として提供されてきたものである。セキュリティ基盤を構築するうえで、それぞれの機能が意味を持つサービスとなり得るが、例えば、セキュアな認証基盤構築にはアイデンティティ管理と証明書の連携が欠かせなくなってきているように、また情報漏えい対策にはWindowsベースのセキュリティ設定として一般的に利用されているACL（アクセス・コントロール・リスト）ではなくRights Managementサービスが適切であるように、いくつかのサービスが連携しあうことで新しいソリューションが生まれている。そして、いくつかの連携パターンによる事例が生まれ、Windows Server 2008という1つのOSの情報として展開されていけば、すべての機能を知っているエンジニアでなくともそれらの利点を生かせるようになっていくだろう。

　以下の図にActive Directoryサービス群の連携についての全体像を示す。なお、Windows Server 2008のRC1からWindows SharePoint Services 3.0は別モジュール化され、別途ダウンロードして利用していただくことになるが、以前にも書いたActive Directoryフェデレーション・サービス（ADFS）やActive Directory Rights Managementサービス（ADRMS）との連携も同様に利用できるので、ご安心いただきたい。

Active Directory サービス群の連携

　今回は、Windows Server 2008のActive Directoryの新機能として取り上げられることの多いRODCを中心に新機能を紹介した。企業規模に関係なく、ブランチ・オフィスに相当する拠点を持つ企業は、Windows Server 2008のActive DirectoryやWindows Server 2008そのものが持つブランチ・オフィス・シナリオが自社にとって意味のあるものかどうかを検討してみていただきたい。また、今後は既存環境との共存や移行という話が出てくるだろうが、いまから調べてみたいという方は、ドメイン・フォレストの機能レベルや、Active Directory準備ツールAdprepをチェックしてみるのもよいだろう（Windows Server 2008 DVD-ROMのSources\Adprepフォルダ内に用意されている）。そして、前編で触れた既存機能の拡張とともに多くのエンジニアがActive Directoryに精通していただける日がくれば幸いである。

次の回へ »