第8回 Active Directoryの導入後の作業:管理者のためのActive Directory入門(2/3 ページ)
ADのインストールが完了したら、次はサイトとOUを必要に応じて適切に設定し、ユーザーやグループを登録する。
組織単位(OU)の作成
Active Directoryの運用では、さまざまなActive Directoryオブジェクトを作成することになる。代表的なオブジェクトとしては、「ユーザー・オブジェクト」、「グループ・オブジェクト」、「コンピュータ・オブジェクト」などがあるが、これら多数のオブジェクトが1つの格納場所に存在していたのでは管理がしにくい。このような場合には、オブジェクトを格納するためのオブジェクトとして「組織単位(OU)」を作成することができる。
OUは、管理者が管理しやすい単位で作成してよいオブジェクトである(ユーザーの上下関係(上司−部下などの関係)といった階層構造を表現するためのものではない)。だが管理者が自由に作成してよいといっても、あまり作りすぎると逆に管理しにくくなるし、複雑になってしまう。できるだけシンプルにOUの階層構造を作成するのがよいだろう。例えば、第1階層には地域ごとのOU、第2階層には組織ごとの階層といった具合だ。
組織単位(OU)の構造
ドメイン内のオブジェクトを「組織単位(OU)」に格納し、管理者が管理しやすいように構成する。例えば東京に勤務するユーザーを格納するためのTokyo OUと、大阪に勤務するユーザーを格納するためのOsaka OUを作成し、ユーザーをそれぞれのOUに格納すれば管理しやすくなる。図のHRはHuman Resources(人事部門)、MKTGはMarketing(マーケティング部門)という意味。
また、OUにはグループ・ポリシーの割り当てや管理の委任ができるため、管理範囲やグループ・ポリシーによる制限単位でOUを構成しておくと、機能的なOU構造を構成できる。
組織単位(OU)を作成する
OUを作成するには、[Active Directoryユーザーとコンピュータ]管理ツールを利用する。
[E]OUを作成したい場所で右クリックし、ポップアップ・メニューから[新規作成]−[組織単位(OU)]を選択する。→[E]へ
ユーザー・オブジェクトの作成
ディレクトリ・サービスでは、ユーザー・オブジェクト(ユーザー・アカウント)をはじめとするネットワーク上のリソースを集中的に管理することができる。ユーザー・オブジェクトを構成することにより、組織内でコンピュータを利用する従業員に対し、適切なセキュリティとコンピュータの使用環境を提供できるようになる。
ユーザー・オブジェクトの作成
ユーザー・オブジェクトを作成するには[Active Directoryユーザーとコンピュータ]管理ツールを使用する。作成したオブジェクトを後で移動することもできる。
[F]オブジェクトを作成したいOUを選択して右クリックし、ポップアップ・メニューから[新規作成]−[ユーザー]を選択すると、そのOU内にユーザー・オブジェクトを作成することができる。→[F]へ
[F]
ユーザー・オブジェクトの作成画面
ユーザーごとの属性をここで指定する。
(1)姓。ラスト・ネーム。
(2)名前。ファースト・ネーム。
(3)ユーザー名のイニシャル。英語版のWindows 2000では、これはミドル・ネームのイニシャルを入力する欄であるが(英語版ではこの(2)と(3)の行が一番上にあり、(1)のラスト・ネームの行は2行目に表示されている。そのため「イニシャル」とはmiddle initial、つまりミドル・ネームの頭文字のことを指す)、日本では一般的ではないので特に入力しなくてもよいだろう。
(4)フルネーム。上の3つのフィールドを連結して並べたものがデフォルト。
(5)ユーザーのActive Directoryにおけるログオン名。
(6)ドメイン名。
(7)Windows 2000以前の(Windows NTドメイン)環境におけるログオン名。
(8)これをクリックすると、オブジェクトが作成される。
ここまでの手順でユーザー・オブジェクト作成は完了である。こうしてユーザー・オブジェクトを追加すれば、ユーザーは自分用のユーザーIDを利用してコンピュータからログオンできるようになる。
複数ユーザーの一括登録
今回はユーザーの作成方法として、複数ユーザー・オブジェクトの一括作成のコマンドを紹介しておこう。ほかのオブジェクトと比較すると、ユーザーやグループ・オブジェクトを作成する機会は多いので、1つ1つ作成するより、コマンドを利用して作成する方が効率よく作業できる。
ユーザーやグループ・オブジェクトを一括作成するには、Windows 2000 Serverで提供されているCSVDE.EXEやLDIFDE.EXEコマンドが利用できる。
CSVDE(CSV Directory Exchange)コマンドは、オブジェクトのプロパティ値をカンマ区切りで記述したCSV形式(カンマ区切り)のファイルをインポートできる。CSV形式のファイルはExcelなどのアプリケーションで編集できるため、複数ユーザーを作成する管理者の方には使いやすいコマンドだろう。
LDIFDE(LDIF Directory Exchange)コマンドは、プロパティ値を行区切りで記述したLDIF形式のファイルをインポートできる。LDIF(LDAP Data Interchange Format)とは、RFC2849で定義されている、LDAP準拠のディレクトリ・サービスでデータを交換する場合に利用される標準ファイル・フォーマットである。LDIFDEコマンドの具体的な利用方法については、マイクロソフトのサポート技術情報の「LDIFDEを使用したディレクトリ オブジェクトのADへのインポート/エクスポート」などを参照していただきたい。
今回は、CSVDEによる登録の例を紹介しておこう。CSV形式ファイルをインポートする手順は次のとおりである。
最初に、ユーザーごとの属性を記述したCSV形式ファイルを用意する、このとき先頭行には、次のようなタイトル(属性を表す文字列)をカンマ区切りで並べておく。
| 属性名 | 意味 |
|---|---|
| DN | 識別名。例:"CN=Yamada Taro,OU=TokyoOU,DC=domain,DC=local " |
| objectClass | オブジェクト・クラス。ユーザーを追加する場合はuser、グループの場合はgroup、コンピュータはcomputerとする |
| sAMAccountName | ユーザー・ログオン名(Windows 2000以前の互換ログオン名)。例:Tyamada |
| userPrincipalName | ユーザー・ログオン名(Active Directory環境で利用されるユーザー名)。例:Tyamada@domain.local |
| displayName | 表示名。例:山田 太郎 |
| userAccountControl | ユーザー・アカウントの属性。通常のユーザー・アカウントなら512とする |
| オブジェクトを一括登録する場合のCSVファイルの属性 新しくユーザーを登録するためには、このような項目が記述されたCSVファイルをcsvdeコマンドに与える。これ以外にもいくつか利用できる属性があるが、詳細についてはここでは述べないので、「How to Use Csvde.exe to Import Contacts into Active Directory(英語ドキュメント)」や「Active Directory Schema(英語ドキュメント)」などを参照していただきたい(ただしすべての属性を定義してインポートできるわけではない)。 | |
2行目以降には、実際のユーザーごとの属性を、1行ずつ記述する。実際には、次のようなファイルを用意する。
CSVDE.EXEコマンドに与えるためのCSVファイルの例
Excelなどで編集したCSV形式ファイルを使ってユーザーを一括登録することができる。以下のリンクにサンプル・ファイルを用意しておいた。これをクリックして「user.csv」という名前でファイルに保存し、CSVDEコマンドに与えると、自動的にユーザーが登録される。
サンプル・ファイル(user.csv)
このファイルを使って一括登録するには、コマンド・プロンプト上で「CSVDE -i -f ファイル名」を実行する(引数を何も与えないでcsvdeコマンドを実行すると使い方が表示される)。
C:\>csvde -i -f user.csv
"(null)" に接続しています
SSPI を使って現在のユーザーとしてログインしています
ファイル "user.csv" からディレクトリをインポートしています
エントリを読み込んでいます....................(省略)
52 個のエントリを正しく修正しました。
コマンドが正しく完了しました
C:\>
Copyright© Digital Advantage Corp. All Rights Reserved.