Deployment of Active Directory 3... オブジェクトの作成と管理
オブジェクトの一括登録
Active Directoryには,さまざまなオブジェクトを格納することができる。ユーザー,グループ,コンピュータ,OUなど,その種類は多岐にわたる。一部のコンピュータオブジェクトのようにドメインに参加すれば自動的に登録されるものもあるが,ユーザーオブジェクトなどは管理者が明示的に登録しなければならない。また,ユーザーオブジェクトを1つとって見ても,さまざまなプロパティが用意されている。ユーザー名,姓,名,ログオン名,電話番号,電子メールアドレスなど,用意されているプロパティだけでもかなりの数に及ぶ。
オブジェクトにはさまざまなプロパティが用意されているものの,そのすべてに値を設定しなければならないとは限らない。各オブジェクトには,必ず値を設定しなければならない必須属性と,必要に応じて値を設定すればよいオプション属性とが用意されている。管理者は,必須属性のほか,組織内で必要とされるオプション属性だけをディレクトリに格納すればよい。ディレクトリ上にむやみに属性値を格納すると,そのメンテナンスコストが馬鹿にならなくなるので注意を要する。Active Directory上に不必要に多くの属性値を格納し,そのメンテナンスを怠ると,ディレクトリ自体の信憑性が低下してしまう。どの属性をディレクトリに格納し,どの属性を格納しないのか。これは,ディレクトリ設計時に検討すべき重要なポイントの1つである。ディレクトリ設計の段階で,必ず検討してもらいたい。
これらのオブジェクトやプロパティを,管理者が手作業で1つずつ設定しなければならないとすると,非常に面倒である。特にユーザーオブジェクトについては,さまざまなプロパティをまとめて設定できれば便利であろう。少なからぬ組織では,人事情報などを登録・管理するデータベースをすでに保有しているはずなので,そこから情報を抽出し,一括してActive Directoryに登録できることが望ましい。
このような場合に備えて,Windows 2000にはActive Directoryのオブジェクトを一括して登録したり抽出したりするためのコマンドが2つ用意されている。1つは,LDIFDEコマンドであり,もう1つはCSVDEコマンドである。前者はLDAP形式のファイルを介してデータを入出力する方式であり,後者はおなじみのCSVファイル(カンマ区切りテキストファイル)を介してデータを入出力する方式である。ここでは,なじみ深く柔軟性が高いという点で,CSVファイルからオブジェクトを一括登録する方法を説明しよう。
●CSVDEコマンドのCSVファイル形式
CSVDEコマンド(CSV Directory Exchangeコマンド)で利用されるCSVファイルの形式は,ごく単純である。登録するオブジェクトの種類や属性を1行目のヘッダ行に列挙し,それらに対応するプロパティ値を2行目以降に指定すればよい。
Active Directoryでは,取り扱えるオブジェクトの種類が多岐にわたるため,objectClassによって登録するオブジェクトの種類を指定する必要がある。objectClassとして指定可能な主な値は,次のとおりである。
Table 12 objectClassとして指定可能な主な値
| objectClass | オブジェクトの種類 |
|---|---|
| user | ユーザーオブジェクト |
| group | グループオブジェクト |
| computer | コンピュータオブジェクト |
| contact | 連絡先 |
| organizationalUnit | OU |
| volume | 共有フォルダ |
| printer | 共有プリンタ |
objectClassを特定したら,そのobjectClassに付随する属性名をヘッダ行に列挙する。すべての属性を列挙しなくても,必須属性と必要なオプション属性だけを指定すればよい。各オブジェクトごとに設定可能な属性についてはいちいち説明しないが,詳しく知りたければ,書籍『Windows 2000 Active Directoryドメイン構築ガイド』を一読するとよいだろう。
複数の種類のオブジェクトを1つのCSVファイルで登録する場合など,値を設定したくない,あるいは設定できない属性があるときには,その項目を空欄にしておけばよい。しかし,CSVレコードが冗長になってわかりにくくなるので,オブジェクトごとに1つのCSVファイルを用意することをお勧めする。
 |
Deployment AD-3 11/13 |  |
