Active Directoryの新機能は数多くあるが、今回は、新しいActive Directory管理コンソールと仮想環境対応について見てみる。
「Active Directory管理センター」とは、Windows Server 2008 R2から導入された、GUIのActive Directory管理ツールである(内部的にはPowerShellモジュールを呼び出すためのGUIツールとなっている)。
Windows Server 2012のActive Directory管理センター・ツールではサーバ・マネージャと同様のデザインに変更されているほか、次のようないくつかの機能が強化されている。
以下、順に見ていこう。
Active Directoryのごみ箱機能とは、削除してしまったユーザーやグループ、コンピュータ・アカウントなどのオブジェクトを復旧させる機能である。ごみ箱機能がない以前のActive Directoryでは、削除したオブジェクトを復旧させるのは簡単ではなかった。システムを「ディレクトリ・サービス復元モード」で起動して以前のバックアップ・セットからオブジェクトを復元し(バックアップを取っていなかった場合は復旧できない)、さらにntdsutil.exeというコマンドを使って、とても面倒な復元作業を行う必要があった。
Windows Server 2008 R2では新たにActive Directoryの「ごみ箱(Recycle Bin)」機能が導入され、もう少し簡単な手順で削除したオブジェクトを復元できるようになっている。
とはいえ、このWindows Server 2008 R2のActive Directoryのごみ箱機能はデフォルトでは無効化されており、最初に管理者が有効化したり、Active Directoryスキーマの拡張作業などを行うする必要がある(ドメインの機能レベルを「Windows Server 2008 R2」レベルまで昇格させる必要もある)。さらにオブジェクトの復元作業もあまり簡単ではない。GUIのツールは用意されていないので、管理者はPowerShellのコマンドレットを使ったり、lpd.exeというツールを使ったりして作業する必要があった。
これに対してWindows Server 2012では、Active Directoryのごみ箱機能が最初から有効化されているだけでなく(ただしドメインの機能レベルを「Windows Server 2012」にする必要がある)、Active Directory管理センターを使って、GUI操作で削除されたオブジェクトを確認したり、復元したりできるようになっている。
「細かい設定が可能なパスワード・ポリシー(Fine-Grained Password Policy)」とは、Windows Server 2008のActive Directoryドメイン・サービスで導入された、パスワード・ポリシーの新機能である。パスワードの最小限の長さや有効期限、複雑さ要求、パスワード履歴の保存数などの要件をまとめてパスワード・ポリシーというが、当初のActive Directoryではドメインごとにこのパスワード・ポリシーを1つだけ定義することができた(定義したパスワード・ポリシーはドメイン内のすべてのオブジェクトに適用されていた)。
だが場合によっては、異なるパスワード・ポリシーを適用したいこともあるだろう。例えばモバイル・ユーザーや、より重要な情報を扱うユーザーや管理者などには、通常のパスワード・ポリシーよりも厳しくしたポリシーを適用できると便利である。このような要求に応えるために導入されたのがWindows Server 2008の「細かい設定が可能なパスワード・ポリシー」という機能だ。デフォルトのパスワード・ポリシーに加えて、新たに定義した別のポリシーも適用させることにより、同じドメイン内であってもユーザーやグループによってポリシーを使い分けることが可能になった。この機能の詳細については以下の記事を参照していただきたい。パスワード・ポリシーを定義する「PSO(Password Settings Object)」を定義して、アカウントに結びつける方法を紹介している。
便利な複数パスワード・ポリシー機能であるが、実はこれを設定する簡単なツールやユーザー・インターフェイスは用意されていなかった。上の記事で分かるように、今まではADSIエディタでPSOオブジェクトを新規作成し、それを手動でActive Directoryのユーザーやグループに割り付けるという、信じがたい操作が必要とされていた。これでは使う気にはなれないだろう。
Windows Server 2012のActive Directory管理センターでは、この操作を簡単に行えるように機能が拡張された。具体的には、管理センターでドメインの「System\Password Settings Container」を開き、「パスワードの設定」というオブジェクトを新規作成する。
このコンテナの中にオブジェクトを作成しようとすると次のような画面が開くので、新しいPSOを定義する。ここでは、デフォルトの設定よりも長いパスワードを強制するようなポリシーを作成してみた。
作成したポリシーをドメインやユーザーなどに割り当てることにより、通常よりも厳しい制約のパスワードを強制できる。
Active Directory管理センターでは、内部ではPowerShellを呼び出して各種の処理を行っているが、そのとき実行したコマンドの履歴が確認できる機能が用意された。それが管理センターの下部に表示されている「Windows PowerShell 履歴」ウィンドウである。実行したコマンドレットとパラメータなどが確認できるので、自分でPowerShellで管理業務を行ったり、管理用スクリプトを組む場合の参考になる。
Copyright© Digital Advantage Corp. All Rights Reserved.