- - PR -
ActiveDirectoryを途中から導入するには
| 投稿者 | 投稿内容 | ||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2006-09-04 19:31
ActiveDirectoryのメリットが判らないまま、ドメインも作らぬまま、クライアントを100台以上ばら撒いてしまいました。このような状態で、途中からActiveDirectoryにすることは簡単にできるのでしょうか?
現在は、本社セクションのみセキュリティ上、個別グループ・アカウントでアカウントを作ってファイル共有をしていますが、それ以外は共通のアカウントでログインしています。(ライセンスはサーバー導入時にPC分購入しています) このような状態での設定方法がネット上でなかなか見つかりません。 経験された方のアドバイスを頂けたら幸いです。 | ||||||||||||
|
投稿日時: 2006-09-04 22:48
こんばんわ.
Active Directory への移行方法という意味ですか? 見つからないと思います. Domain Controller はとくに支障ないと思いますが, 「ばら撒いた」後の client は個別に DNS の設定変更や Active Directory への参加をさせて廻らないとダメでしょう. それ以外にも「ばら撒いた」先の事情によっては printer などの手当てが必要になるでしょう. とりあえず Active Directory を構成して, model となる拠点を作って「こう便利になる」ということを披露したら如何でしょう? また,「今使っている環境はそのまま」という場合には, client を Active Directory に参加させた後も local logon して利用していただき, その後に徐に Active Directory 主体の利用方法に切り替えるなどが宜しいかと. 以上,ご参考までに. | ||||||||||||
|
投稿日時: 2006-09-05 09:34
kazさん。アドバイス有難うございました。
仰る通り、目の届く範囲でユーザーやグループを作って試すつもりなのですが、 ただ1点だけ知りたかったのは、ドメインを作ることによって既存のユーザーは そのまま使えるのかどうかということです。 既存のユーザーはそのまま残しておけば、ドメインには参加できなくとも、 ワークグループの一員として、従来通り使えるのでしょうか? 仰っているローカルログオンというのは、自分のマシンにログオンするという意味 ではなく、ワークグループにログオンするという意味に捉えればよいのでしょうか? きちんと理解していないので申し訳ないですが、アドバイス御願い致します。 | ||||||||||||
|
投稿日時: 2006-09-05 12:15
こんにちわ.
「既存」は今,client にも server にも登録してあるのでは? server をそのまま Domain Controller へ昇格させると, そのまま local の user account を Active Directory へ 登録してくれたと記憶しています. ですので,server 側は「既存の local user account が Active Directory に引き継がれてしまいます」となると思います. client も同様に local の user account があると思いますが, それは client の Windows が Active Directory に参加しても そのまま残ります. これは menber server の場合も同様です. よって,client を Active Directory に参加させつつ 今までの local user account を利用することは可能です. client では「Domain へ logon するか?local へ logon するか?」を 選択することができるようになります. が,その場合は user への Domain の global policy が適用できません. ですので,時機を見計らって Domain の user account へ移行すること, つまり local の profile から Domain の user account の profile へ 移行することを計画することをお奨めします. 以上,ご参考までに. | ||||||||||||
|
投稿日時: 2006-09-06 10:04
kazさん。再度のアドバイスありがとうございました。
おかげさまでぼんやりとしていた部分が少し見えてきました。 ワークグループ(ローカルユーザー)のアカウントとドメインのアカウントは別モノで管理されるのですね。 クライアントにプログラムのインストールを許可させているので、ローカルユーザーに管理者権限を与えています。 現在は統一のアカウントでワークグループにログオンさせていますが、何れは個別アカウントでログオンさせるつもりです。 この時、 サーバー上にクライアント数のドメインアカウントを作成、 クライアント上に管理者権限を持つローカルユーザーアカウントを作成し、ワークグループではなくドメインでログオンする設定、 現行の共通アカウント(このアカウントはサーバー上の資源に対するアクセス権限は与えていません)を消す という順で移行すればよいのですね。 どうも有難うございました。 | ||||||||||||
|
投稿日時: 2006-09-06 17:37
こんばんわ.
ここは「local では管理者権限を,でも Domain は管理させたくない」 という理解で良いですか? ちなみに「Workgroup への logon」というのはちょっと違います. あくまでも「local logon」であって,remote の共有資源に接続する際に 個別に remote logon しているだけだと思います. ですので,「Workgroup に logon する」のではなく, logon account を一致させておいて個別に logon 処理をすることで, あたかも「Workgroup に logon している」ように見えているだけです. で,local の管理権限は引き続き与えておきたいのであれば, client を Active Directory に参加させたあとに, local の Administrators に DomainUsers を参加させることで 「local では管理者権限を,でも Domain は管理させたくない」ことを実現できます. default では DomainUsers は local では Users に含まれます. 個人的には「local でも管理権限は与えたくない」ですけど, ある程度のことは許容するのであれば, local の PowerUsers に DomainUsers を参加させるのがよろしいかと. Administrators ほどではありませんが,PowerUsers のほうが Users より「できること」は多くなりますので. あくまでも「client 側ではいろいろやらせたい」場合に限りますが. それと
これは「PC 単位で account を統一する」のでしょうか? 個人単位で Active Directory の user account を発行するのではなく? できれば個人単位でお使いいただくほうがよろしいでしょうけど, account の管理や運用によっては「PC 毎に共通 account」もアリでしょう. いずれの場合でも,
client 側に user account を作る必要はありません. Active Directory に DomainUsers の user account を作成すると, default では client local の Users に含まれますので, local に user account を登録することなく Active Directory に登録した user account で logon できます. 少々乱雑に書いてしまいましたが, 要するに Active Directory に参加した Windows は local に user account を作る必要は無いはず,ということです. 以上,ご参考までに. | ||||||||||||
|
投稿日時: 2006-09-15 19:13
kazさん。どうも有難うございました。
おかげさまでおぼろげながら判ってきたようです。 ただ、localにプログラムインストールの権限を許すためには、
というお話ですが、
ということの意味が判りません。この辺は試行錯誤しながら触っていけば理解が深まるのでしょうが、理解が足りてないので、クライアントが一切使えなくなってしまうような事態を引き起こさないかと心配なため、質問を繰り返させてしまっています。そんなことはなさそうなので、取りあえず目の届く範囲で設定を変えてみて試行錯誤してみようかと思います。どうも有難うございました。 | ||||||||||||
|
投稿日時: 2006-09-15 22:03
こんばんわ.
まず試してみてください. それですぐにわかると思います. Active Directory の user/group account と Windows の local な user/group account は別個に管理されています. で,Windows を Active Directory に参加させると ・local の Administrators に Active Directory の DomainAdmins が登録される ・local の Users に Active Directory の DomainUsers が登録される ことがわかります. ということは自動的に ・DomainAdmins の user account は local の Administrators に含まれる ・DomainUsers の user account は local の Users に含まれる ことになります. ですから手動で ・DomainUsers の user account を local の Administrators に含める ことで,たとえば特定の user account は ・DomainUsers でありながら Windows の local だけで Administrators 権限を持つ 状態になります. ここで特定の user account ではなく DomainUsers 全体を local の Administrators に所属させれば, 全ての DomainUsers は Windows local でだけ Administrators の権限を持ちます. つまりその Windows 上では DomainAdmins と同等の権限を持つわけです. この辺は実際にやってみて確認すればすぐに理解できると思います. 以上,ご参考までに. | ||||||||||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。