この特集のトップページへ

Deployment of Active Directory 2... NTドメインの再設計
sankaku.gif 方針と目標の設定

 Active Directoryに代表される今日的なディレクトリサービスには,ユーザーやコンピュータといった基本的なネットワークリソースに加え,セキュリティポリシーやアプリケーションの情報といったさまざまなオブジェクトが登録される。そのために,ディレクトリサービスにどのような情報を格納し,何のために利用するのかという目標を設定する必要がある。そして,一般ユーザーに対してディレクトリをどのように普及させてゆくかについて,綿密なプランを練る必要もあるだろう。

 また,NTドメイン以外に組織内にすでに何らかのディレクトリが存在する場合には,それらとActive Directoryを統合するのか,Active Directoryに移行するのか,そのまま共存させるのかという方針を定める必要がある。ディレクトリが複数存在すれば,それだけ管理コストは上昇する。ディレクトリ同士を同期させる方法やコストの問題もある。最終的に,ユーザーにとっては利用しやすく,管理者にとっては管理しやすいディレクトリとなるように,ディレクトリを導入する目的と活用の方針をきちんと見定めなければならない。

sankaku.gif 要求条件の明確化

 組織として採用する方針と目標に従って,ディレクトリに求められる要件を明確化する。また,実際にどのようなリソースをオブジェクトとしてディレクトリに登録するのか,オブジェクトの属性をどこまで登録するのか,オブジェクトのネーミングルールをどのようにするのか,といった管理運用上の要件も定める必要があるだろう。

 Active Directoryドメインの場合,NTドメインに比べれば登録可能なオブジェクトの件数は増加したものの,多様なオブジェクトをディレクトリで集中管理することになる今後のことを考えると,必ずしも十分な余裕があるとは思われない。また,あらゆるネットワークリソースをディレクトリに格納することが,必ずしもユーザーの利便性を高めることになるとは限らない。それゆえ,「ディレクトリに何を格納するのか」という点には十分な検討が必要となる。

 なお,Active Directoryでは,ドメイン内に同じWindows NT互換ログオン名は1つしか存在できない。また,UPNはドメイン名を含めてフォレスト内で唯一である必要がある。たとえば,複数の異なる組織単位のなかに“tyokoyama”という同一のログオン名でユーザーを登録することはできない。このため,オブジェクトのネーミングルールをどのようにするのかという点は重要になる。もっとも,この問題はWindows NT 4.0も抱えていたので,おそらくほとんどの組織では何らかのネーミングルールを確立させているものと思う。Active Directoryでも,そのネーミングルールを継承すればよい。

prevpg.gif Deployment of AD−Part1 9/17 nextpg.gif


Special

- PR -

Special

- PR -