第3回 強化されたActive Directory：Windows Server 2012クラウドジェネレーション（2/3 ページ）

Windows Server 2012のActive Directoryはドメイン・コントローラの仮想化や複製による展開にも対応。ごみ箱ツールがGUI化され、PowerShellやパスワード・ポリシー対応も強化されたActive Directory管理センターにも注目だ。

[打越浩幸，デジタルアドバンテージ]

　Active Directoryの新機能は数多くあるが、今回はそのうちのいくつかを取り上げて見てみる。

AD DS のインストール処理に統合された事前準備処理

　Active Directoryのドメインを作成する場合、従来はadprep.exeコマンドを使って既存ドメインに対して事前チェックを行ったり、スキーマを拡張するなどの操作が必要だった（新規ドメインの作成なら不要）。Windows Server 2012のActive Directoryではこれらの処理がドメインの導入ウィザードに統合され、個別に実行する必要がなくなった。また従来は、dcpromo.exeというコマンドでドメイン・コントローラに昇格させていたが、これもウィザードに統合され、AD DSの役割を導入すると自動的に昇格作業が行えるようになった。

AD DSの導入ウィザード
サーバ・マネージャでAD DS役割を導入すると、ウィザードの最後で、ドメイン・コントローラへ昇格させるためのリンクが表示される。これをクリックすると、自動的に昇格ウィザードが起動し、作業を完了できる。
　 （1）AD DS役割を導入すると、ドメイン・コントローラへの昇格を促すリンクやメッセージが表示されるので、簡単にドメインの導入作業が完了する。
　 （2）これをクリックすると、以前のdcpromoに相当するウィザードが起動する。

Active Directory管理センターの強化

　「Active Directory管理センター」とは、Windows Server 2008 R2から導入された、GUIのActive Directory管理ツールである（内部的にはPowerShellモジュールを呼び出すためのGUIツールとなっている）。

• 連載 Windows Server 2008 R2の真価 第6回「Active Directory管理センター」

Windows Server 2012のActive Directory管理センター
Active Directoryに関する操作を集中的に行うための管理ツール。Active Directoryオブジェクトのごみ箱やパスワード・ポリシーの設定なども行える。

　Windows Server 2012のActive Directory管理センター・ツールではサーバ・マネージャと同様のデザインに変更されているほか、次のようないくつかの機能が強化されている。

• Active Directoryごみ箱機能のGUIサポート
• 「細かい設定が可能なパスワード・ポリシー」のGUIサポート
• Windows PowerShell履歴の表示

　以下、順に見ていこう。

機能強化1：Active Directoryのごみ箱機能のGUIサポート

　Active Directoryのごみ箱機能とは、削除してしまったユーザーやグループ、コンピュータ・アカウントなどのオブジェクトを復旧させる機能である。ごみ箱機能がない以前のActive Directoryでは、削除したオブジェクトを復旧させるのは簡単ではなかった。システムを「ディレクトリ・サービス復元モード」で起動して以前のバックアップ・セットからオブジェクトを復元し（バックアップを取っていなかった場合は復旧できない）、さらにntdsutil.exeというコマンドを使って、とても面倒な復元作業を行う必要があった。

• 削除された AD DS オブジェクトの権限のある復元の実行（サポート技術情報）
• Active Directory から削除されたユーザーおよびユーザーのグループ メンバシップを復元する方法（サポート技術情報）

　Windows Server 2008 R2では新たに「Active Directoryのごみ箱（Recycle Bin）」機能が導入され、もう少し簡単な手順で削除したオブジェクトを復元できるようになっている。

• 連載 Windows Server 2008 R2の真価 第6回「進化したActive Directory」

　とはいえ、このWindows Server 2008 R2のActive Directoryのごみ箱機能はデフォルトでは無効化されており、最初に管理者が有効化したり、Active Directoryスキーマを拡張したりする必要がある（ドメインの機能レベルを「Windows Server 2008 R2」レベルまで昇格させる必要もある）。さらにオブジェクトの復元作業もあまり簡単ではない。GUIのツールは用意されていないので、管理者はPowerShellのコマンドレットを使ったり、lpd.exeというツールを使ったりして作業する必要があった。

　これに対してWindows Server 2012では、Active Directoryのごみ箱機能が最初から有効化されているだけでなく（ただしドメインの機能レベルを「Windows Server 2012」にする必要がある）、Active Directory管理センターのGUIを使って、削除されたオブジェクトを確認したり、復元したりできるようになっている。

Active Directoryのごみ箱機能
削除したオブジェクトは「Deleted Objects」というカテゴリを開くと確認できる。ここにあるオブジェクトを選択して（複数選択可能）、［復元］を実行すると、オブジェクトが復旧する。現在のActive Directoryのデフォルト設定では、削除後は最大180日間有効で、それを過ぎるとここからも削除され、復元できなくなる。
　 （1）削除されたオブジェクトはいったんここに移動し、一定期間経過すると、完全に削除される。
　 （2）復元や別のOUへの移動などができる。

機能強化2：「細かい設定が可能なパスワード・ポリシー」のGUIサポート

　「細かい設定が可能なパスワード・ポリシー（Fine-Grained Password Policy）」とは、Windows Server 2008のActive Directoryドメイン・サービスで導入された、パスワード・ポリシーの新機能である。パスワードの最小限の長さや有効期限、複雑さ要求、パスワード履歴の保存数などの要件をまとめてパスワード・ポリシーというが、当初のActive Directoryではドメインごとにこのパスワード・ポリシーを1つだけ定義することができた（定義したパスワード・ポリシーはドメイン内のすべてのオブジェクトに適用される）。

　だが場合によっては、異なるパスワード・ポリシーを適用したいこともあるだろう。例えばモバイル・ユーザーや、より重要な情報を扱うユーザーや管理者などには、通常のパスワード・ポリシーよりも厳しくしたポリシーを適用できると便利である。このような要求に応えるために導入されたのがWindows Server 2008の「細かい設定が可能なパスワード・ポリシー」という機能だ。デフォルトのパスワード・ポリシーに加えて、新たに定義した別のポリシーも適用させることにより、同じドメイン内であってもユーザーやグループによってポリシーを使い分けることが可能になった。この機能の詳細については以下の記事を参照していただきたい。パスワード・ポリシーを定義する「PSO（Password Settings Object）」を定義して、アカウントに結びつける方法を紹介している。

• 連載 Windows Server 2008の基礎知識 第6回「強化されたActive Directoryサービス」

　便利な「細かい設定が可能なパスワード・ポリシー」だが、実はこれを設定する簡単なツールやユーザー・インターフェイスは用意されていなかった。上の記事で分かるように、これまではADSIエディタでPSOオブジェクトを新規作成し、それを手動でActive Directoryのユーザーやグループに割り付けるという、信じがたい操作が必要とされていた。これでは使う気にはなれないだろう。

　Windows Server 2012のActive Directory管理センターでは、この操作を簡単に行えるように機能が拡張された。具体的には、管理センターでドメインの「System\Password Settings Container」を開き、「パスワードの設定」というオブジェクトを新規作成する。

PSOの作成（1）
PSOは「System\Password Settings Container」コンテナの中に新しく「パスワード設定」オブジェクトを作成する。
　 （1）これを選択する。
　 （2）右クリックして、PSOを新規作成する。

　このコンテナの中にオブジェクトを作成しようとすると次のような画面が表示されるので、新しいPSOを定義する。ここではデフォルトの設定よりも長いパスワードを強制するようなポリシーを作成してみた。

PSOの作成（2）
パスワードの最小長はデフォルトでは7文字だが、12文字以上を強制するなどの指定を行っている。複数のPSOで値が定義されている場合、優先度の数値が少ない方が優先される。
　 （1）PSOの優先度。
　 （2）最小パスワード長。デフォルトでは7文字だが、これを12文字にしてみる。
　 （3）適用対象のグループやユーザー。

　作成したポリシーをドメインやユーザーなどに割り当てることにより、通常よりも厳しい制約のパスワードを強制できる。

機能強化3：Windows PowerShell履歴の表示

　Active Directory管理センターでは、内部ではPowerShellを呼び出して各種の処理を行っているが、そのとき実行したコマンドの履歴が確認できる機能が用意された。それが管理センターの下部に表示されている「Windows PowerShell 履歴」ウィンドウである。実行したコマンドレットとパラメータなどが確認できるので、自分でPowerShellを使って管理業務を行ったり、管理用スクリプトを組む場合の参考になる。

PowerShell履歴ウィンドウ
Active Directory管理センターで行った操作は、実際にはPowerShellのコマンドレットによって実行されている。そのコマンドの履歴を表示するのがこのウィンドウである。自分でPowerShellのスクリプトを組む場合の参考になる。
　 （1）PowerShell履歴ウィンドウ。
　 （2）PowerShellコマンド履歴の例。このコマンドをコピーしておけば、後で同じ操作を再実行できるし、PowerShellの使い方の参考になる。