Insider's Eye

Active Directoryが次期Windowsで飛躍的進化(2)

―― 導入リスクも大幅に軽減 ――

Peter Pawlak
2002/08/28
Copyright(C) 2002, Redmond Communications Inc. and Mediaselect Inc.

ADの新機能:柔軟性の向上

 新しいADでは、ビジネスニーズの変化への対応がより容易になる。次のように、ADの柔軟性を高める4つの主要な強化点がある。

■ドメインの名前変更と構造の再構築
 Windows .NET Serverは、ドメイン名の変更とドメイン間の結合構造の再構築をサポートする。

 Windows 2000では、ドメインの名前を変更したり、設計ミスを修正したり、企業合併などに伴う新しいビジネス環境に対応して構造的な変更を加えたりすることは、いずれも困難だった。これらの変更を行うために、最初から作業をやり直さなければならないこともあった。

 新しいADでは、企業は組織構造の変化に合わせて命名スキームやフォレスト構造を変更できる。例えば、企業は社名を変更した場合、ADの名前空間を変更し、新社名を反映させることが可能だ。また、フォレスト内で任意のドメイン(ルートドメインを除く)の位置を変更することもできる。この機能は、例えば組織再編に伴い、各部門のシステム管理者が各部門の所有下のリソースのみを管理するように、新しい組織構造に合わせてADのドメイン構造を変更したい場合などに役立つ。ただし、あるフォレストから別のフォレストにドメインを移すことはできない。この操作を行うには、ADに付属する移行ツールを使用する必要がある(詳細は後述)。

■スキーマの無効化
 新しいADでは、企業はADのデフォルト・スキーマに対する変更を無効化したり、再定義したりすることができる。

 従来からADのスキーマは、新しいディレクトリ対応アプリケーションのニーズに合わせて拡張することができた。例えばExchange 2000は、ユーザーの電子メール・アドレスやメールボックス・サーバなどの情報を格納する新しい属性により、ADのユーザー・クラスを拡張して使用する。こうした拡張性は、NT 4.0のディレクトリよりもADを魅力的なものにしている特徴の1つだった。

 だが、Windows 2000では、スキーマの変更は元に戻すことができず、フォレスト全体に永続的に適用されるため、変更にミスがあったりニーズが変わったりすると、問題が生じることになる。また、スキーマのカスタム拡張はADの新しいバージョンと相いれない可能性があり、ADのアップグレードの妨げになりかねない。

 Windows .NET Serverはスキーマ変更を取り消す機能を提供するため、企業はADの拡張性をより安心して利用できる。

■フォレスト間の信頼関係
 Windows .NET ServerのADは、ADのフォレスト間の一方向および双方向の「推移的な」信頼関係をサポートする。

 Windows 2000のADも、あるフォレスト内の個々のドメインと別のフォレスト内にある個々のドメインの間の信頼関係をサポートしている。だが、その信頼関係ではKerberos認証ではなくNTLM認証のみをサポートしているため、信頼関係は推移的なものではない。このため、あるフォレストに属するドメインの全アカウントが、別のフォレストに属する任意のドメインの任意のリソースにアクセスできるように、マルチドメイン・フォレストを構成するのは困難だった。

 新しいフォレスト間の信頼関係を利用すれば、Windows .NET Serverベースの1つまたは複数のADフォレストを持っている企業を買収・合併した場合に、それらのフォレストを既存フォレストと迅速に結合できる。2つのフォレストにおけるルート間の双方向の信頼関係により、各フォレストに属す任意のドメインのリソースに、Kerberosベースのシングル・サインオンによってフォレスト間で相互にアクセスできる。また、フォレスト間の信頼関係は、自律的なITチームを持つ独立運営の部門や子会社を抱える企業が、あるフォレストの管理者に別のフォレストに関する権限を持たせることを望まない場合にも有益だ(フォレスト間の信頼関係についての詳細は、以下の図「Active Directoryにおけるフォレスト間の信頼関係」参照)。

Active Directoryにおけるフォレスト間の信頼関係
 複数のActive Directory(AD)フォレストは、よほど複雑なものでなければ、あるフォレスト内のユーザーが別のフォレスト内のリソースに簡単にアクセスできるように結合できる。ここでは、ABC LimitedがXYZ Corporationを買収したという架空の例を用いて説明する。
 両社は買収前にWindows .NET ServerベースのADフォレストを使用していた。ABCはカナダの会社で、子会社がカナダに2社、米国に1社ある。ABCのツリーには3つのドメイン(三角形)が含まれ、内訳はルート・ドメインのabc.comとカナダの子会社2社のドメインだ。これらのドメインは、ADにおけるネイティブな双方向の推移的な信頼関係(ドメインを結ぶ実線)で結合されている。米国子会社のabcus.comは、メイン・ドメインとソフトウェア開発グループのドメインからなる別個のツリーを持っている。このツリーとabc.comツリーは(ADにおけるネイティブな双方向の推移的な信頼関係を利用して)相互に信頼し合っているが、それぞれのツリーは異なる名前空間を持っている。推移的な信頼関係により、ABCのフォレスト内にあるすべてのドメインは相互に完全に信頼し合い、スキーマとグローバル・カタログを共有する。
 買収前にXYZ Corp.は、ルートドメインのxyz.comと子会社2社のドメインからなるフォレストを持っていた。
 買収後、ABCとXYZ Corp.はそれぞれのネットワークを結合し、2つのフォレストのルート・ドメイン間で双方向の信頼関係(ルート・ドメインを結ぶ破線)を確立した。現在、両社は従来通り、それぞれのフォレストを独立して管理できるが、どちらのフォレストのリソース所有者も、ほかのフォレストのユーザーやグループにアクセスを許可できる。例えば、devt.abcus.comに属すユーザーのグループは通常のログオンを使用して、west.xyz.com内のファイル・サーバに保存されている文書contract1.docにアクセスできる(この文書へのアクセス許可がそのグループに与えられていることが前提)。

■コンソールの強化
 新しいADでは、複数アイテムの編集や、オブジェクトのドラッグ&ドロップ、クエリの保存などの点で管理インターフェイスが改善されている。

 Windows 2000では、ADオブジェクトに広範囲に及ぶ変更を加えるには、通常はスクリプトを作成、使用する必要がある。これは大半の管理者にとって厄介な作業であり、臨機応変に変更を加える場合や、一時的な変更を加える場合には時間がかかりすぎる。例えば、特定のユーザー群の部門名といった属性を同時に変更することは、管理インターフェイスからは不可能だ。スクリプトを使わずに手作業で多数のオブジェクトを1つずつ編集するという方法も、実際的でない上にミスも起きやすい。

 新しいADの管理インターフェイスを使えば、管理者はルーチン作業をより迅速かつ簡単に行える。中でも、新しいADでは、NT 4.0で提供されていた複数アイテムの同時編集機能が復活している点が便利だ。これにより、管理者はクラスから複数のオブジェクト(複数のユーザーなど)を選択し、1つのプロパティ・ページを開いて、選択したすべてのオブジェクトについて、1つまたは複数の属性を同時に変更できる。さらに、管理者はコンテナ間でオブジェクトをドラッグ&ドロップできるほか、同じオブジェクトの操作を迅速に繰り返せるように、オブジェクトに対するクエリを保存できる。


 INDEX
  Insider's Eye
    Active Directoryが次期Windowsで飛躍的進化(1)
  Active Directoryが次期Windowsで飛躍的進化(2)
    Active Directoryが次期Windowsで飛躍的進化(3)
    コラム:Active Directory入門
 
「Insider's Eye」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
@IT