第6回 進化したActive Directory:Windows Server 2008 R2の真価(1/3 ページ)
2008 R2のADは待望のごみ箱機能を装備。PowerShellやオフラインでのドメイン参加機能など、注目すべきADの新機能を解説。
「Windows Server 2008 R2の真価」は、Windows Server 2008の後継OSである、Windows Server 2008 R2の注目機能について解説するコーナーです。
Windows 2000 Server 以降、Windows Server OSの新たなバージョンがリリースされるたびに、Active Directoryも進化し続けてきた。特にWindows Server 2003以降は、未来を見据えた機能が次々と実装され続け、いまやActive Directoryは、NIS(Network Information Service)やOpenLDAP(オープン・ソースにより実装されたLightweight Directory Access Protocol。一部のLinuxが標準でサポートしている)などの比較対象という存在から、全社ITを支える「IDとアクセス管理の基盤」と呼ぶのにふさわしい重要なインフラとなった。本稿ではWindows Server 2008 R2で新しくなったActive Directoryについて解説する。今回は主にActive Directory ドメイン・サービスを中心に解説し、グループ・ポリシーについては次回解説する。
Windows Server 2008での革命と「Business Ready Security」
Windows Server 2008 R2のActive Directoryについて解説する前に、そのベースとなったWindows Server 2008のActive Directoryについて簡単におさらいしておこう。Windows Server 2008ではActive Directoryに「革命」とも呼べるほどの大変革がもたらされた。それはActive Directoryが5つのサービス(役割)の集合体として再構成されたことだ。
| 従来の名称 | Windows Server 2008での名称 |
|---|---|
| Active Directory | Active Directoryドメイン・サービス |
| Active Directoryアプリケーション・モード | Active Directoryライトウェイト・ディレクトリ・サービス |
| Active Directory Federationサービス | (同名を継承) |
| Rights Managementサービス | Active Directory Rights Managementサービス |
| 証明書サービス | Active Directory証明書サービス |
| Windows Server 2008のActive Directoryを構成する5つのサービス(役割) | |
この背景には、マイクロソフトが推進する「Business Ready Security(ビジネスで使えるセキュリティ)」と呼ばれる戦略が存在する。本稿では詳しくは触れないが、「すべてのリソースがIDを中心として有機的に結び付いたセキュリティにより、ITはビジネスの戦略的資産となる」とする考え方である。セキュリティに関するリスクを重視するあまり、ルールのためのルールによって社員の経済活動に制限を加えたり、無理なビジネスロジックをシステムに組み入れたりすることは、それを支えるシステム部門や、さらには経営層にとっても大きなデメリットとなることはいうまでもない。かといって有効な解決策が明確に提示されていなかったことも事実である。こうした現状に対し、マイクロソフトは「ID」を中心としたリソース間の結合がこれらの問題を解決するための第一歩であると考えた。
Windows Server 2008によるActive Directoryの再編成はまさにこの戦略を象徴するものであり、ITシステム内のすべての領域における「IDとアクセス」をActive Directoryの管理下に置くことができるように構成されていた。
Windows Server 2008のActive Directoryではこうした改革に加えて、多くの重要な機能強化が行われた。Windows Server 2008で追加されたActive Directoryの新機能を次に示す。
| Active Directory ドメイン・サービス | |
| 読み取り専用ドメイン・コントローラ | |
| ディレクトリ・サービスのアクセスの監査 | |
| 細かい設定が可能なパスワード・ポリシー | |
| 再起動可能なActive Directoryドメイン・サービス | |
| データベース・マウント・ツール(Dsamain.exe)のサポート | |
| インストール・ウィザードの変更と機能強化 | |
| Active Directory 証明書サービス | |
| CNG(Cryptography Next Generation)の実装 | |
| オンライン証明書状態プロトコル(OCSP)のサポート | |
| ネットワーク・デバイス登録サービス(NDES)のサポート | |
| 証明書Web登録モジュールの改善 | |
| グループ・ポリシーでの証明書の設定 | |
| 制限付き登録エージェントのサポート | |
| エンタープライズPKI(PKIView)の標準実装 | |
| Active Directory Rights Management サービス | |
| Microsoft管理コンソール(MMC)による管理 | |
| Active Directoryフェデレーション・ サービス(AD FS)との統合 | |
| AD RMSサーバの自己登録 | |
| AD RMS管理権限委任方法の改善 | |
| Active Directoryフェデレーション・サービス | |
| Office SharePoint Server 2007との統合 | |
| AD RMSとの統合 | |
| フェデレーションの信頼を確立する際の管理性の向上 | |
| Active Directoryライトウェイト・ディレクトリ・サービス | |
| (前バージョンからの大きな変更点はない) | |
| Windows Server 2008のActive Directoryにおける新機能 | |
Windows Server 2008 R2 Active Directoryの強化点
Windows Server 2008 R2 Active Directoryは、それまでの機能が全体的に底上げされ、かゆいところにより手の届くサービスとなった。機能全体を見ると、全体的に次のバージョンもしくはService Packなどによって、さらなる強化につながっていく印象を残している。次の表に、Windows Server 2008 R2で新たに追加された、もしくは強化された機能を示す。
| Active Directoryドメイン・サービス | |
| アーキテクチャのWebサービス化 | |
| ごみ箱 | |
| PowerShellコマンドレット | |
| Active Directory管理センター | |
| オフライン・ドメイン・ジョイン | |
| 管理されたサービス・アカウントの作成 | |
| ベスト・プラクティス・アナライザ | |
| 認証メカニズム保証 | |
| ディレクトリ・サービス回復モードのパスワード同期 | |
| Active Directory証明書サービス | |
| Web サービスを使用した証明書の登録 | |
| フォレスト間の証明書登録 | |
| 大量の証明書発行の抑止 | |
| Active Directory Rights Managementサービス | |
| PowerShellコマンドレット | |
| Active Directoryフェデレーション・サービス | |
| (Windows Server 2008 R2のリリース時点では特にないが、2010年にリリースを予定されているAD FS 2.0の提供により、クラウド上のアプリケーション認証がサポートされるなどの大幅な機能強化が図られる計画) | |
| Active Directoryライトウェイト・ディレクトリ・サービス | |
| アーキテクチャのWebサービス化 | |
| ごみ箱 | |
| PowerShellコマンドレット | |
| Windows Serer 2008 R2 Active Directoryで強化された機能一覧 | |
| 要件 | 使用できる新機能 |
|---|---|
| Windows 7またはWindows Server 2008 R2クライアント | ・オフラインでのドメイン参加 ・管理されたサービス・アカウント |
| サーバ側に以下のサービスが必要 ・Active Directory Web Service ・Active Directory管理ゲートウェイ(Windows Server 2003/2008) |
以下の機能を使用したサーバの管理 ・Active Directory 管理センター ・Active DirectoryPowerShell コマンドレット |
| Windows Server 2008 R2ドメイン・コントローラ (QFEパッチによりWindows Server 2008でも使用可能) |
・ベスト・プラクティス・アナライザ ・回復コンソール・パスワード同期 |
| Windows Server 2008 R2ドメイン機能レベル | 認証メカニズム保証 |
| Windows Server 2008 R2フォレスト機能レベル | ごみ箱 |
| Active Directoryドメインサービスの新機能と使用条件 | |
以降では、読者になじみ深いと思われるActive Directoryドメイン・サービスにおける強化点のうち、主なものについて紹介していく。
Copyright© Digital Advantage Corp. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。