|
システムポリシーを適用しているWindows NTドメインをActive Directoryドメインに移行する場合には,次の3点に注意してもらいたい。
- ポリシーは手動で移行しなければならない
- Active Directoryドメインでは,従来のシステムポリシーに代わり,グループポリシーという仕組みが用意されている。しかし,Windows NTをWindows 2000にアップグレードしたとしても,Windows NTドメインのシステムポリシーが自動的にWindows 2000のグループポリシーへと移行されるわけではない。管理者は,ドメインコントローラをWindows 2000に移行させたあと,新たに手作業でグループポリシーオブジェクトを作成し,システムポリシーを移行させる必要がある。
- グループポリシーはWindows 2000以外のコンピュータには適用されない
- グループポリシーが適用されるのは,Windows 2000が導入されているコンピュータだけである。Windows NTやWindows 95/98といった従来クライアントをActive Directoryドメインに参加させ,かつポリシーによって管理するためには,従来のシステムポリシーも引き続き併用してゆかなければならない。
- Windows 2000を導入するコンピュータからはシステムポリシーの痕跡を削除する必要がある
- 移行に際して最も厄介になると思われるのがこの点である。グループポリシーでは,Active Directoryドメイン内のOU間でユーザーやコンピュータを移動する可能性を考慮し,その情報をいったん専用のレジストリキーで保存する。つまり,実際にシステムの構成を管理するレジストリキーは,直接変更されない仕組みとなっている。この仕組みにより,OU間でユーザーやコンピュータを移動させても,以前のOUに割り当てられていたグループポリシーの影響を受けることはない。
しかし,Windows NT 4.0のシステムポリシーは,システム構成を管理するレジストリキーを直接書き換えてしまうため,OU間でユーザーやコンピュータを移動して新しいグループポリシーを適用されるようになっても,以前に設定されたシステムポリシーの設定を引きずってしまい,予期していない環境が構成されてしまうおそれがある(この問題を「刺青効果(タトゥーイング)」と呼ぶ)。
この問題を回避するには,Active Directoryドメインへの移行後,システムポリシーファイルを編集し,システムポリシーで設定されていた制限をすべて解除するか,あるいはシステムポリシーを適用したコンピュータを再インストールする必要がある。現在システムポリシーを適用したWindows NTドメインを管理している管理者は,将来の移行に備え,システムポリシーによって設定しているユーザーやコンピュータの環境の制限を,早めに整理しておくことをお勧めする。
|
