Deployment of Active Directory 1...
Active Directoryドメインへの移行
新たにネットワークOSを導入する際に重要となるのは,「従来使用していたネットワークOSとどのように互換性を維持するか」ということと,「どのようにして移行するか」という2点である。Active Directoryドメインは,従来のNTドメインと完全な下位互換性を保っているので,Active Directoryをサポートしていないクライアントからでも,Windows 2000 Serverに接続できる(ただし,その機能をすべて利用できるわけではない)。もちろん,NTドメインとActive Directoryドメインの混在環境でも問題はない。
実際,Windows NT Workstation 4.0やWindows 95,Windows 98といった従来のクライアントOSから見ると,Active DirectoryドメインとNTドメインの区別はつかない。Active Directoryドメインは,Kerberos認証だけではなく,従来と同様のNTLM(NT LAN Manager)認証をサポートしているので,既存の管理ツールなどもそのまま利用できる(もちろんActive Directory特有の機能を管理することはできない)。したがって,NTドメインからActive Directoryドメインへと移行する場合には,予算や時間などの都合に合わせて,一部のドメインやクライアントから徐々に移行させてゆくことも可能である。もちろん,ユーザーやアクセス権限などの設定も,一部を除いて既存のドメインからActive Directoryドメインへとそのまま引き継がれる。
起動ドライブをNTFSで構成している場合のアクセス権限は,Windows 2000にアップグレードした段階で,OS固有の設定に変更される。もし起動ドライブのアクセス権限をカスタマイズして運用していたならば,Windows 2000にアップグレードしたあと,Windows 2000のセキュリティ設定と矛盾しないように,NTFSのアクセス権限を再設定する必要がある。
ところが,完全に移行するとなると,それほど簡単にはゆかない。なぜなら,Active DirectoryドメインとNTドメインでは内部構造が大きく異なっているからである。確かに,Active DirectoryドメインとNTドメインとのあいだに互換性はあるが,互換性を有するのは下位バージョンのOSから見た場合の話である。Active Directoryドメインの設計は根本から見直されているため,Active Directoryのドメインコントローラの管理そのものも,Windows NT 4.0とはまったく異なるものとなっている。また,Active Directoryではポリシーによる管理が基本となるため,ドメインツリー全体のポリシー,ドメインのポリシー,組織単位のポリシー,サイトのポリシーなどを入念に設計する必要がある。したがって,効率のよいネットワークを構築するためには,必然的に設計を見直さなければいけないし,安定したネットワークを築くためには,十分な検証が必要となる。
 |
Deployment of AD−Part1 1/17 |  |
