連載
SE ハジメくん物語
― 新米SEのActive Directory導入奮闘記 ―

【第2話】SE ハジメくん ほかのお客さまの職場へ行く (3)

高添 修
マイクロソフト株式会社 IT Pro エバンジェリスト
2006/04/21

(真田はハジメくんを真田のマシンのところに連れて行きます)

え〜と、「Active Directory ユーザーとコンピュータ」っていうツールを開いて、ハジメくんを追加してと…。
 

私のパスワードは、some…★
 

はあ?
パスワードはAbcdefg7#にして…、はい登録完了。
 

えっ、そんなパスワード使わないといけないんですか?
 

はは、まあ見てなって。
それからハジメくんをIT部門のグループに入れてと。後でハジメくんが使えるPCを教えるけど、最初にログオンするときにパスワードの変更を求められるから自分なりのパスワードを設定してね。変更する前のパスワードがさっきのやつ。
これで作業は終了だから、社内のサーバにはアクセスできるよ。

 

えっ、たったこれだけ? それに、私のパスワードは私だけが知ってればいいんだ!

 

当たり前だろ。お前のパスワードなんだから。

確かに・・・

管理者だからって何でもできちゃまずいですからね。でも、ユーザー登録できたってことは真田さんも管理者権限を持ってるんですね。

ADは全体の管理をする管理者と、一部の管理だけできる管理者を分けることができるんだよ。俺は一部だけ認められてるから、ハジメくんの登録とか削除はできるけど、ここの会社の人の情報を変更したりはできないんだ。

へえ、ADってちゃんと現場での利用を考えてあるって感じがしますね。
 

そう、実はここのポリシーは厳しくて、半年に1回はパスワードを変えないといけなかったりもするんだけど、その設定は俺にはできなかったりするしね。
 

必要な会社のポリシーだからベンダ任せにはしないってことですね。半年に1回のパスワード変更は面倒な気もしますけど、覚えないといけないパスワードが1つなら仕方がないですね。それがルールになってることは分かるんですけど、どうやってユーザーさんにパスワードの変更をさせるんですか?
 

もちろん、グループポリシーだよ。1カ所、パスワードの有効期限の設定を変更しておくと、ログオンするときにパスワード変更のメッセージが出てくるようになるんだ。
 

すごく便利ですね。でも、そのころには私はいない気がするんですけど
 

ここの会社のルールでは、1カ月ログオンしないとユーザーが無効になって、1年間使われないと削除されることになってるんだ。いきなり削除しちゃうと問題も出てくるし、使ってないユーザーがいつも使える状態で残っているというのはセキュリティ上好ましくないからバランスの取れた運用だね。だから、ハジメくんが次に来るときは、パスワード変更の前にユーザーIDを有効にしなきゃならないだろうね。
 

それもADの機能?
 

ユーザーIDの有効化・無効化の設定はユーザーのプロパティでできちゃうんだけど、全部がADの機能ではなくて、ADが持っているユーザーのプロパティ情報を使って動くツールを作ったのさ。そういう、お客さまに合わせた環境づくりこそシステム・インテグレータとしての腕の見せどころかもね。
 

すごいですね! ADも真田さんも。
 

そういう勉強をする時間を作るためにもADを有効活用して、いかに楽をするか考えるってワケ。そうそう、ADのことはちゃんと勉強した方がいいよ。ADの良さをうまく生かせるようになればお客さまにとっても自分にとってもメリットはあると思うし、いろんなことができるからこそ知っておくべきことも多いからね。
 

ADがあればLDAPサーバはいらなそうですね。
 

確かに、ADがあればLDAPサーバの代わりまでできるけど、LDAPサーバはADの代わりはできないからね。でも、ADを本格導入しようとすると、ADに担ってもらう役割も大きくなるから、LDAPサーバとうまく使い分けることだってあるよ。Active DirectoryのLDAPサーバ機能だけを切り出した無償のツールで、Active Directory Application Mode(ADAM:アダム)ってのがあるから、それを使うのもいいよ。ADとの連携ツールも使えるしね。
 

ADAMですか。いろいろあって難しいですね。
 

難しいと思うのは基本的な情報の量が足りないからだよ。一連のパターンをつかんでしまえば、新しいものが出てきても、すぐに自分にとって大切なものかどうかの判断ができるようになるよ。
 

なんか、手伝いに来たのに教えてもらってばっかりですいません。
 

大丈夫、ADの話は手伝ってもらうための下準備で、これからちゃんと活躍してもらうから。

なんだかプレッシャー感じるなあ。

おっ、こんな時間かぁ。これから会議だから、ADの勉強しといて。

はい!!


(3時間後、真田が戻ってきました)

お疲れ〜。何か新しい発見でもあった?
 

グループポリシーの設定画面に、ユーザー用とコンピュータ用ってあるんですね。
 

そう、いいところに気付いたね。
 

??
 

今回は第2フェイズだっていわなかったっけ?
 

パッチ配布だってことは聞いたんですけど・・・
 
Windows Server Update Services ― 機能を大幅に強化した企業向け無償パッチ管理ソフトの最新版 ―

そう。第2フェイズで導入するのは Windows Server Update Services(WSUS ダブルサス)っていうツールだよ。

WSUS(ダブルサス)?

いま、Windowsのクライアントには、OSのパッチを自動的に当てる仕組みがあるんだけど、全部のクライアントがマイクロソフトにパッチをとりに行かないといけないし、会社として当ててほしくないパッチとかがあってもPCを使ってる人にお任せじゃあ、うまく運用ができなくてね。
 

だからポリシーですか?
 

いや、ポリシーでパッチ配布までやろうとするとADがどんどん複雑になるから、WSUSを使うんだよ。適材適所ってやつ。
 

ADはシンプルに…、だからWSUSか。WSUSも勉強しないといけないんですね?
 

パッチのダウンロードも自動化して、社内のPCとかサーバに当てていいパッチを管理者が事前に選べるようになってて、クライアントが自動的にパッチを当てたとしたときにちゃんと当たったかどうかのレポートも出せるよ。
 

へえ。あれっ、もしかしてADって関係ないんですか?
 

もちろん関係あるよ。クライアント側のWindowsアップデートの機能だと、インターネット上のマイクロソフトのサイトにパッチをとりに行くようになってるんだけど、パッチを社内に用意したWSUSサーバに取りにいくように設定を変えてあげなきゃならないんだ。
 

全部のクライアント?
 

そう。
 

サーバも?
 

サーバはアプリケーションの都合もあって完全自動化は無理だけど、ファイルサーバとかはもちろん設定するよ。
 

それを2週間でやるんですか? おかしくなりそう!
 

はは、まだ甘いな。こういうときにもグループポリシーが使えるんだよ。パッチはユーザーごとじゃなくて、コンピュータごとに当てる、だから、コンピュータに対するグループポリシー設定で、アップデート用の社内のサーバを設定したりアップデートをするタイミングを制御したりすればいいんだ。
 

そこでコンピュータの設定が出てくるってわけですね。でも、それで終わり?
 

もちろん。ただ、WSUSサーバ側の準備もいるし、全社に展開する前にテストもしないといけないから、ハジメくんには余裕をみて1カ月くらい来てもらうことにしたってわけよ。
 

そうでしたか。確かに設定が簡単でも、問題が起きたら大変ですもんね。

そう。でもハジメくんがいてくれるから大丈夫でしょう!

またプレッシャーをかける〜。

(ハジメくんがハジメ田電気にきてあっという間に1カ月、第2フェイズもうまくいき、お客さまも真田も喜んでくれました。でも、ハジメくんは何か自分でやった気がしません。とにかく学ぶことが多かったこの1カ月、ADのよさとともにITを「管理」することや、大きなことをシンプルに確実にこなすことの大事さを知りました。そして、START自動車のシステムがあまりにも遅れていることに気付いてしまったいま、START自動車に戻ったら自分が何をすべきかついて考え始めます)

(Illustrated by 正木茶丸

【第2話】 終わり
 

 INDEX
  [連載]SE ハジメくん物語 【第2話】
     SE ハジメくん ほかのお客さまの職場へ行く (1)
     SE ハジメくん ほかのお客さまの職場へ行く (2)
   SE ハジメくん ほかのお客さまの職場へ行く (3)
 
バックナンバ・ページへ  「SE ハジメくん物語」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
@IT