2.6 互換性と拡張性
Active Directoryは,単に認証サービスにとどまらない高機能なシステムである。NTドメインを使用している環境を移行しなければならない場合に,すべてを即座にWindows 2000環境へと移行するというのは,現実的に困難である。しかし,Active DirectoryはNTドメインとの互換性があり,併用することも可能であるため,必要に応じて徐々に環境を移行することもできる。
Windows NT WorkstationやWindows 95,Windows 98など,Active Directoryを使用できないクライアントからActive Directoryドメインを見た場合には,従来のNTドメインとまったく同じように使用できる。したがって,その時点で利用しているサーバーをWindows 2000にアップグレードし,Active Directoryに移行したとしても,ユーザーには影響しない。むろん,その後でクライアントもWindows 2000にアップグレードすれば,Active Directoryの機能をフルに活用できるようになる。
クライアントをWindows 2000にアップグレードしない場合,Windows 2000のリリース後にMicrosoftから提供される予定の「Directory Service Client Pack」を利用することで,従来クライアントからLDAPやDNSによる名前解決の恩恵にあずかることはできる。しかし,Directory Service Client PackではKerberos認証がサポートされないほか,グループポリシーやIntelliMirrorなどTCOの削減に貢献する主要な機能を利用できないので,注意を要する。
NTドメインをサービスしているWindows NT Serverにとっても,Active Directoryドメインは基本的にNTドメインと同じように見える。たとえば,信頼関係はNTドメインとActive Directoryドメインとのあいだで従来と同じように締結することができる。つまり,NTドメイン側とActive Directoryドメイン側で,それぞれ明示的に片方向の信頼関係を設定することになる。
また,Active DirectoryのドメインコントローラをPDCとし,Windows NT ServerをBDCとして情報を複製することも可能である(逆はできない)。ただし,Windows NT ServerのBDCに対して複製するためには,ドメインの状態が「混在モード」でなければならない。
混在モードでは,グループのネストなど一部の機能に制限がある。Active Directoryのインストール時点では,デフォルトで混在モードであるため,Active Directoryの機能を完全に引き出すためには「ネイティブモード」に変更する必要がある。ただし,ネイティブモードではWindows NT ServerのBDCに対して複製することはできなくなる。また,いったんネイティブモードに変更すると,混在モードに戻すことはできないので注意が必要である。
ネイティブモードに移行するには,まず[Active Directoryユーザーとコンピュータ]でネイティブモードに変更したいドメインを右クリックし,表示されたメニューから[プロパティ]を選ぶ。表示されたドメインのプロパティで[全般]ページを開き,[モードの変更]ボタンを押す(Fig.2-20)。
Fig.2-20 ネイティブモードへの移行
Active Directoryドメインは,NTドメインとは異なり,拡張可能な構造となっている。ディレクトリにどのようなオブジェクトがあり,それぞれどのような属性を備えているかを「スキーマ」として定義することができる。スキーマを拡張することにより,既存のオブジェクトを拡張したり,新しいオブジェクトを追加したりすることができる。
スキーマを変更するには,リソースキットのツールを使用したり,プログラムからADSI(Active Directory Services Interface)を使用したりする。ただし,スキーマの変更はフォレスト全体に複製されるうえ,一度変更したスキーマを元に戻すことはできない。不用意にスキーマを変更すると,最悪の場合はディレクトリを使用できなくなってしまうおそれもある。したがって,スキーマを操作する場合には,意味を十分に理解したうえで慎重に実行する必要があるし,既存の環境とは物理的に切り離されたテスト環境で十分試験するようにしてほしい。
 |
Chapter 2 18/19 |  |
