第8回 Active Directoryの導入後の作業:改訂 管理者のためのActive Directory入門 (Windows Server 2003対応改訂版)(3/4 ページ)
AD導入後はサイトを定義し、組織単位やユーザー、グループを追加する。コマンドを使ってバルク登録もできる。
組織単位(OU)の作成
Active Directoryの運用では、さまざまなActive Directoryオブジェクトを作成することになる。代表的なオブジェクトとしては、「ユーザー・オブジェクト」「グループ・オブジェクト」「コンピュータ・オブジェクト」などがあるが、これら多数のオブジェクトが1つの格納場所に存在すると管理しにくい。このような場合には、オブジェクトを格納するためのオブジェクトとして「組織単位(OU)」を作成するとよい。
OUは、管理者が管理しやすい単位で作成してよいオブジェクトである(ユーザーの役職などの上下関係といった階層構造を表現するためのものではない)。だが管理者が自由に作成してよいといっても、あまり作りすぎると逆に管理しにくくなるし、複雑になってしまう。できるだけシンプルにOUの階層構造を作成するのがよいだろう。例えば、第1階層には地域ごとのOU、第2階層には組織ごとの階層といった具合だ。
OUの構造
ドメイン内のオブジェクトを「組織単位(OU)」に格納し、管理者が管理しやすいように構成する。例えば東京に勤務するユーザーを格納するためのTokyo OUと、大阪に勤務するユーザーを格納するためのOsaka OUを作成し、ユーザーをそれぞれのOUに格納すれば管理しやすくなる。図の「HR」はHuman Resources(人事部門)、「MKTG」はMarketing(マーケティング部門)という意味。
また、OUにはグループ・ポリシーの割り当てや管理の委任ができるため、管理範囲やグループ・ポリシーによる制限単位でOUを構成しておくと、機能的なOU構造を構成できる。
OUを作成する
OUを作成するには、[Active Directoryユーザーとコンピュータ]管理ツールを利用する。
[E]OUを作成したい場所で右クリックし、ポップアップ・メニューから[新規作成]−[組織単位(OU)]を選択する。→[E]へ
ユーザー・オブジェクトの作成
ディレクトリ・サービスでは、ユーザー・オブジェクト(ユーザー・アカウント)をはじめとするネットワーク上のリソースを集中的に管理することができる。ユーザー・オブジェクトを構成することにより、組織内でコンピュータを利用する従業員に対し、適切なセキュリティとコンピュータの使用環境を提供できるようになる。
ユーザー・オブジェクトの作成
ユーザー・オブジェクトを作成するには[Active Directoryユーザーとコンピュータ]管理ツールを使用する。作成したオブジェクトを後で移動することもできる。
[F]オブジェクトを作成したいOUを選択して右クリックし、ポップアップ・メニューから[新規作成]−[ユーザー]を選択すると、そのOU内にユーザー・オブジェクトを作成できる。→[F]へ
[F]
ユーザー・オブジェクトの作成画面
ユーザーごとの属性をここで指定する。
(1)姓。ラスト・ネーム。
(2)名前。ファースト・ネーム。
(3)ユーザー名のイニシャル。英語版のWindows OSでは、これはミドル・ネームのイニシャルを入力する欄であるが(英語版ではこの(2)と(3)の行が一番上にあり、(1)のラスト・ネームの行は2行目に表示されている。そのためこれはmiddle initial、つまりミドル・ネームの頭文字のことを指す)、日本では一般的ではないので特に入力しなくてもよい。
(4)フル・ネーム。上の3つのフィールドを連結して並べたものがデフォルト。
(5)ユーザーのActive Directoryにおけるログオン名。
(6)ドメイン名。
(7)Windows 2000以前の(Windows NTドメイン)環境におけるログオン名。
(8)これをクリックすると、オブジェクトが作成される。
ここまでの手順でユーザー・オブジェクトの作成は完了である。こうしてユーザー・オブジェクトを追加すれば、ユーザーは自分用のユーザーIDを利用してコンピュータからログオンできるようになる。
複数ユーザーの一括登録
今回はユーザーの作成方法として、複数ユーザー・オブジェクトの一括作成のコマンドを紹介しておこう。ほかのオブジェクトと比較すると、ユーザーやグループ・オブジェクトを作成する機会は多いので、1つ1つ作成するより、コマンドを利用して作成する方が効率よく作業できる。
ユーザーやグループ・オブジェクトを一括作成するには、Windows 2000 Serverで提供されているCSVDE.EXEやLDIFDE.EXEコマンドが利用できる。
「CSVDE(CSV Directory Exchange)」コマンドは、オブジェクトのプロパティ値をカンマ区切りで記述したCSV形式のファイルをインポートできる。CSV形式(カンマ区切り)のファイルはExcelなどのアプリケーションで編集できるため、複数ユーザーを作成する管理者の方には使いやすいコマンドだろう。
「LDIFDE(LDIF Directory Exchange)」コマンドは、プロパティ値を行区切りで記述したLDIF形式のファイルをインポートできる。LDIF(LDAP Data Interchange Format)とは、RFC2849で定義されている、LDAP準拠のディレクトリ・サービスでデータを交換する場合に利用される標準ファイル・フォーマットである。LDIFDEコマンドの具体的な利用方法については、サポート技術情報の「LDIFDEを使用したディレクトリ オブジェクトのADへのインポート/エクスポート」を参照していただきたい。
今回は、CSVDEによる登録の例を紹介しておこう。CSV形式ファイルをインポートする手順は次のとおりである。
最初に、ユーザーごとの属性を記述したCSV形式ファイルを用意する、このとき先頭行には、次のようなタイトル(属性を表す文字列)をカンマ区切りで並べておく。
| 属性名 | 意味 |
|---|---|
| DN | 識別名。例:"CN=Yamada Taro,OU=TokyoOU,DC=domain,DC=local" |
| objectClass | オブジェクト・クラス。ユーザーを追加する場合はuser、グループの場合はgroup、コンピュータはcomputerとする |
| sAMAccountName | ユーザー・ログオン名(Windows 2000以前の互換ログオン名)。例:Tyamada |
| userPrincipalName | ユーザー・ログオン名(Active Directory環境で利用されるユーザー名)。例:Tyamada@domain.local |
| displayName | 表示名。例:山田 太郎 |
| userAccountControl | ユーザー・アカウントの属性。通常のユーザー・アカウントなら512とする |
| オブジェクトを一括登録する場合のCSVファイルの属性 新しくユーザーを登録するためには、このような項目が記述されたCSVファイルをCSVDEコマンドに与える。これ以外にもいくつか利用できる属性があるが、詳細についてはここでは述べない。「Csvde を使用して連絡先およびユーザー オブジェクトを Active Directory にインポートする方法」や「Active Directory Schema(英語ドキュメント)」、およびこれらの文書中の関連ドキュメントなどを参照していただきたい(ただし、すべての属性を定義してインポートできるわけではない)。 | |
2行目以降には、ユーザーごとの属性を、1行ずつ記述する。実際には、次のようなファイルを用意する。
CSVDE.EXEコマンドに与えるCSVファイルの例
CSV形式のデータを用意して、CSVDEコマンドに与えることにより、複数のアカウントを一括して登録することができる。これはCSVファイルの内容をEXCELで表示させたところ。
サンプル・ファイルは以下のリンクから入手できる。これをクリックし、「user.csv」という名前でファイルに保存してCSVDEコマンドに与えると、自動的にユーザーが登録される。
このファイルを使って一括登録するには、コマンド・プロンプト上で「CSVDE -i -f ファイル名」を実行する。
C:\>csvde -i -f user.csv
"(null)" に接続しています
SSPI を使って現在のユーザーとしてログインしています
ファイル "user.csv" からディレクトリをインポートしています
エントリを読み込んでいます....................(一部省略)
52 個のエントリを正しく修正しました。
コマンドが正しく完了しました
C:\>
Copyright© Digital Advantage Corp. All Rights Reserved.