- PR -

スタンドアロン2003Serverのメンバサーバへの移行について

1
投稿者投稿内容
初級システム管理者
会議室デビュー日: 2008/07/02
投稿数: 7
投稿日時: 2008-07-02 18:27
お世話になります。

この度、ワークグループからADへの移行を行う事になりました。


環境:
DCサーバ(Windows2003Server ※既に構築済)
既存ファイルサーバ(Windows2003Server)
クライアントPC(150台 *Win2000、WinXP混在)


AD移行に際して、一括で全クライアントをAD環境へ移行する事が
難しいため、出来るPCから順次手を付けて行きたいと思っています。

既存ファイルサーバは、ワークグループ環境である為、
接続するクライアント分のユーザ、パスワードをサーバ上にも
ローカルアカウントとして設定、各フォルダへセキュリティ設定
を行った上で接続しております。

以下の点をお聞きしたいのですが、

・ファイルサーバのメンバサーバへの移行では、既存ローカルアカウントの
 設定は残るという認識でよろしいでしょうか?
 (※DCへの移行の場合は削除される事は承知しております)

・メンバサーバへの移行後、既存ローカルアカウントが残る場合、ワークグ
 ループ環境のユーザは、ファイルサーバを利用する上で、影響を受けない
 という認識でよろしいでしょうか?

・その他、既存サーバをメンバサーバとする上での注意点等ございましたら、
 何卒ご教授下さい。

以上、初歩的な質問ですがよろしくお願い致します。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2008-07-02 21:18
こんばんは.
引用:

初級システム管理者さんの書き込み (2008-07-02 18:27) より:


・ファイルサーバのメンバサーバへの移行では、既存ローカルアカウントの
 設定は残るという認識でよろしいでしょうか?
 (※DCへの移行の場合は削除される事は承知しております)


残ります.
引用:

・メンバサーバへの移行後、既存ローカルアカウントが残る場合、ワークグ
 ループ環境のユーザは、ファイルサーバを利用する上で、影響を受けない
 という認識でよろしいでしょうか?


Active Directory の policy にもよりますけど,
原則として影響は受けないと思います.
初級システム管理者
会議室デビュー日: 2008/07/02
投稿数: 7
投稿日時: 2008-07-03 01:54
kazさま

ご返信有難うございます。

>残ります.

ネット検索では、DCへの移行では消えるとの注意は多数検索できたの
ですが、メンバサーバでは消えないというものが検索できず(DCへの
移行では消えるという事なので、消えないとは思ったのですが)、
実行に移すにはどうしても不安があったのですが、助かりました。

>Active Directory の policy にもよりますけど,
原則として影響は受けないと思います.

サーバ側でNetBIOSのサービスを動いていて、PC名(変更なし)検索に応答出来れば、
設定済みのローカルユーザでのセキュリティ設定が継続し、特に新しい設定は無く、
今までと変わらずファイルサーバとしてのサービスを受ける事が出来る、という
認識でよろしいでしょうか?
それとも、ドメインに参加していない既存のワークグループのクライアントが、
DCで設定されたグループポリシによりファイルサーバへの接続に関して影響を受ける
場合があるのでしょうか?



現在はKazさんから頂いた情報をもとに、

1.予めDCサーバに各クライアントPCに対するドメイン参加用のユーザアカウント
  を設定する

2.既存ファイルサーバをADメンバサーバとする

  ※既存ワークグループ環境のクライアントPCに対し、ファイルサーバは残ってい
   るローカルユーザアカウントに対するセキュリティ設定により、以前と同じ様
   にサービスを継続できる

3.ファイルサーバに、1で設定したユーザアカウントに対する共有フォルダ単位
  での適切な(対応するローカルユーザアカウントと同等の)セキュリティ設定
  を追加する

4.段階的にクライアントPCに対し、ドメイン参加、及びプロファイルの移動を行う

  ※ADドメインに参加したクライアントPCは、3で設定されたセキュリティ設定に
   より、以前と同じ様にサービスを継続できる


という手順で移行を行いたいと思っています。


運用中のサーバをテスト環境の無い状態で移行せねばならず、少しでも情報を
頂きたい状況です。大変恐縮でありますが、何卒皆様の経験と知識をお貸し下
さい。


以上、よろしくお願い致します。

kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2008-07-03 10:44
こんにちは.
引用:

初級システム管理者さんの書き込み (2008-07-03 01:54) より:

>Active Directory の policy にもよりますけど,
原則として影響は受けないと思います.

サーバ側でNetBIOSのサービスを動いていて、PC名(変更なし)検索に応答出来れば、
設定済みのローカルユーザでのセキュリティ設定が継続し、特に新しい設定は無く、
今までと変わらずファイルサーバとしてのサービスを受ける事が出来る、という
認識でよろしいでしょうか?
それとも、ドメインに参加していない既存のワークグループのクライアントが、
DCで設定されたグループポリシによりファイルサーバへの接続に関して影響を受ける
場合があるのでしょうか?


今動いている server がどのようになっているか?
Active Directory でどういった group policy が設定されているか?
これらがわかりませんので,そこの影響は想像できません.
ですので,その点を除いて「影響はないはず」と思う程度です.
ですから,group policy によっては影響を受けることはあるとおもいますが,
具体的に「これ」と思いつくものではありません.
というか,そもそも Active Directory に統合するのであれば
そちらを基調に設計するように考えるものだと思います.
standalone と Active Directory と双方を意識して両立させる以上,
気楽に構えず個別に考えていかなければならないと思いますよ.
引用:

1.予めDCサーバに各クライアントPCに対するドメイン参加用のユーザアカウント
  を設定する


これから設定するのですか?
繰り返しになりますけど,Active Directory に参加させるのであれば,
そちらを基調に環境を移行することを検討したほうが
一般的には後々楽になれると思いますよ.
引用:

2.既存ファイルサーバをADメンバサーバとする

  ※既存ワークグループ環境のクライアントPCに対し、ファイルサーバは残ってい
   るローカルユーザアカウントに対するセキュリティ設定により、以前と同じ様
   にサービスを継続できる


これも繰り返しになりますが,global policy によって
「継続できる」とは断言できないでしょう.
よほどいろんなことやってなければ大丈夫だとは思いますが.
それに,global policy は local の policy より優先されますし.
引用:

3.ファイルサーバに、1で設定したユーザアカウントに対する共有フォルダ単位
  での適切な(対応するローカルユーザアカウントと同等の)セキュリティ設定
  を追加する


これは access control ですよね.
普通に可能です.
引用:

4.段階的にクライアントPCに対し、ドメイン参加、及びプロファイルの移動を行う

  ※ADドメインに参加したクライアントPCは、3で設定されたセキュリティ設定に
   より、以前と同じ様にサービスを継続できる


Active Directory に参加するとして,profile の移行も必要ですか?
server が local security を利用するのと同様に,
client も local へ logon して利用すればその必要はないと思います.

以上,ご参考までに.
初級システム管理者
会議室デビュー日: 2008/07/02
投稿数: 7
投稿日時: 2008-07-03 11:28
Kazさま

度々のご返信恐れ入ります。

>そもそも Active Directory に統合するのであれば
そちらを基調に設計するように考えるものだと思います

おっしゃる通りだと思います。肝に銘じます。

実は現在、全てのクライアントPCに対し、詳細な
ローカルセキュリティポリシを設定しており、クライアントで
パスワードの変更(有効期限を設けているため)がある度に、
稼働中の複数のサーバのアカウント情報も修正せねばならない
等の状況で運用を行っており、この運用には限界があることを
どうにか上が理解を示してくれたため、AD導入となった次第です。


望む形としては、今後新規にたてたADサーバを基調にして、
ユーザアカウントや共有の管理を行いたいと思っています。

ADサーバに設定したセキュリティポリシには、思いつく限り
共有アクセスに対する制限は設けておりません。

現ファイルサーバの共有に対し、メンバサーバに移行した後、
ADサーバから提供されるドメインユーザに対するアクセス制
御を追加設定しておき、段階的にADに統合して行きたいと思
います。


>Active Directory に参加するとして,profile の移行も必要ですか?
server が local security を利用するのと同様に,
client も local へ logon して利用すればその必要はないと思います.

今後は、アカウント、セキュリティポリシや共有等を一元管理していき
たいと考えておりますので、現クライアントPCはドメインにログインする
必要があり、今まで使用していたローカルプロファイルを新たに作成した
ドメインのプロファイル(※移動プロファイルではありません)に対して
移行が必要かと考えています。
*見当違いの話をしていたら申し訳ありません


メンバサーバへの移行により、設定されていたローカルアカウントが削除
されることは無いという事をご教授いただきましたので、万一接続が出来
ない等の問題が発生したとしても、ポリシ設定の見直しなどで対応出来そう
ですね。

貴重なご意見有難うございました。大変助かりました。
1

スキルアップ/キャリアアップ(JOB@IT)