この特集のトップページへ

Deployment of Active Directory 2... NTドメインの再設計
sankaku.gif ディレクトリの実装

 ディレクトリの設計が完了したら,それに基づいて実装を開始する。NTドメインから移行する場合には,NTドメインに登録されていたアカウントなどがActive Directoryドメインのオブジェクトとして移行される。そのため,NTドメインからどのような情報がActive Directoryドメインに移行されるのかを,正しく理解しておく必要がある。

 NTドメインのSAMデータベースからActive Directoryのディレクトリに移行される情報は,次のとおりである。

  1. ユーザーアカウント
  2. グループアカウント
  3. コンピュータアカウント
  4. ファイルやプリンタへのアクセス権限
  5. ドメイン原則(信頼関係を含む)

 NTドメインで作成されたユーザーは,Active Directoryドメインのユーザーオブジェクトとなり,リソースに対して設定されていたアクセス権限もそのまま引き継がれる。したがってユーザーは,Active Directory環境に移行したあとも,ネットワーク上のリソースを以前と同じように利用できる。

 ところで,NTドメインにおけるSAMデータベースは,ユーザーなどをフラットに管理するのに対して,Active Directoryドメインのディレクトリは,オブジェクトを階層構造で管理する。しかし,Active Directoryを導入した直後は,まだほとんど階層化されていない。そのため,階層構造で管理する必要がある場合は,Active Directoryに移行したあと,ディレクトリの論理設計に従ってOUを作成し,ユーザーオブジェクトやコンピュータオブジェクトなどを適切な場所に配置する必要がある。

 Active Directoryに移行した直後の段階では,ディレクトリ上に“Users”というコンテナが作成され,NTドメインから移行されたものも含めて,ユーザーオブジェクトはUsersコンテナに配置される。これに対してコンピュータオブジェクトは,“Computers”というコンテナのなかに配置される。ただし,UsersコンテナやComputersコンテナはOUではない。そのため,UsersコンテナやComputersコンテナに対してグループポリシーを適用することはできないので注意してほしい。なお,ドメインコントローラが所属する“Domain Controllers”はOUである。管理ツールのうえでは同じように操作できるが,内部では区別されており,アイコンも異なる(Fig.17)。

Fig.17 ComputersコンテナとDomain Controllersコンテナ
fig17.gif

 NTドメインのローカルグループとグローバルグループも,アクセス権限などの割り当てを維持したまま移行される。ただし,ドメインコントローラのローカルグループのうち,ユーザーに定義されたものは,「ドメインローカルグループ」に変換される。また,Administratorsなどの組み込みローカルグループは,「ビルトインローカルグループ」に変換される。さらに,メンバサーバーのローカルグループは,Active Directoryではなく,そのコンピュータ自身に保存される。

 グループは,2種類のコンテナに分けて配置される。Windows NT Server 4.0のビルトインローカルグループ(Administrators,Users,Guestsなど)は“Builtin”というコンテナに,それ以外のローカルグループやグローバルグループはユーザーオブジェクトが収められる“Users”というコンテナに,それぞれ移行される(Fig.18)。Active Directoryドメインを混在モードで運用している場合に,Windows NT Server 4.0の管理ツールを使ってユーザーやグループを新規登録したときには,Usersコンテナに追加される。

Fig.18 Builtinコンテナ(上)とUsersコンテナ(下)(それぞれ,クリックで拡大可能)
fig18l.gif
 
fig18r.gif

 NTドメインにおけるセキュリティポリシー(ドメイン原則)の設定は,ローカルポリシーとドメインセキュリティポリシーへと移行される。

 プリンタや共有フォルダは,共有リソースとして移行され,セキュリティ設定も受け継がれる。しかし,Active Directoryには登録されない。これらをActive Directoryに組み込むには,[Active Directoryユーザーとコンピュータ]管理ツールで,新規にプリンタオブジェクトや共有フォルダオブジェクトとして登録する必要がある。

 たとえば,プリンタオブジェクトを登録するには,プリンタの管理権限の所有者としてログオンし,プリンタのプロパティを表示して[共有]パネルを開いて[共有する]を選択し,[Directoryの一覧に追加する]を有効にするだけでよい(Fig.19)。これで,プリンタが接続されているコンピュータに対応するコンピュータオブジェクトのなかにプリンタオブジェクトが登録され,任意のOUに移動できるようになる。ただし,コンピュータオブジェクトのなかにプリンタオブジェクトを表示させるには,[Active Directoryユーザーとコンピュータ]管理ツールの[表示]メニューで[コンテナとしてのユーザー,グループおよびコンピュータ]オプションを有効にしておかなければならないので,注意してほしい(Fig.20)。必要であれば,作成されたプリンタオブジェクトをOUの直下などに移動し,[表示]メニューで[コンテナとしてのユーザー,グループおよびコンピュータ]オプションを無効にしてもかまわない(ユーザーオブジェクトやコンピュータオブジェクトをダブルクリックしたときにプロパティを表示させたい場合には,このオプションを無効にしておく必要がある)。

 共有フォルダオブジェクトの場合は,特別な設定などは必要ない。[Active Directoryユーザーとコンピュータ]管理ツールを起動し,作成したいコンテナを右クリックすると表示されるメニューから[新規作成]-[共有フォルダ]を選択すれば,任意のUNC(Universal Naming Convention)を登録できる。

Fig.19 Active Directoryに対するプリンタオブジェクトの登録
fig19l.gif
 
fig19r.gif
Fig.20 プリンタのプロパティで[共有]パネルを表示するための設定(クリックで拡大可能)
fig20.gif
prevpg.gif Deployment of AD−Part1 15/17 nextpg.gif