【Windows Server 2008 実践評価ガイド】
システム運用管理コストを削減する最新管理機能の全貌

確実に仕事を楽にしてくれる新機能が満載！

（2008年02月17日）

【Active Directory】
IDとアクセス管理の統合基盤へ
Active Directoryサービス群

　情報漏えい対策やコンプライアンスに向けた内部統制の確立は、多くの企業にとって最重要課題である。これらの課題をクリアするには、ユーザーIDとアクセス権を完全に管理できなければならない。各種デバイスから社内のリソースにアクセスするために、別々に管理された複数のIDを使い分けるような状況では、ID管理の手間に加え、複雑さが増すためにセキュリティ上のリスクも増加する。

　Windows 2000 ServerのActive Directoryは、Windowsネットワークのためのディレクトリサービスとして登場し、メッセージングやアプリケーション基盤のためのディレクトリストアとして拡張されてきた。Windows Server 2008ではIDとアクセス管理の複雑さを緩和するため、Active Directoryを中心としたサービスを再編成し、次の5つの役割が与えられている。

Active Directory ドメインサービス（AD DS）
Active Directory ライトウェイトディレクトリサービス（AD LDS）
Active Directory フェデレーションサービス（AD FS）
Active Directory Rights Management サービス（AD RMS）
Active Directory 証明書サービス（AD CS）

　「Active Directory ドメインサービス（AD DS）」は、ユーザーとコンピュータ、プリンタなどのデバイスを一元管理するディレクトリサービスである。Windows Server
2008ではサービスとして実装され、サーバはオンラインのままでディレクトリサービスだけを停止したり、再起動したりできるようになった。

画面4●　Windows Server 2008には、Active Directoryがサービスとして実装されたため、ディレクトリサービスだけを停止したり、再起動したりできるようになる

　これにより、ディレクトリサービスだけをオフラインにして最適化したり、ディレクトリデータベースを復元したりするのに必要な時間が短縮され、管理が容易になる（画面4）。

　また、ディレクトリサービスのスナップショット機能や監査機能が新たに追加され、誤操作で削除してしまったオブジェクトの特定や内部統制のための変更管理の追跡が容易になる。

　新しいドメインコントローラである「読み取り専用ドメインコントローラ（RODC）」は、リモート拠点のセキュリティリスクを最小限に抑えながらドメイン環境を展開するのに役立つ。

　RODCは一方向の複製であるため、複製トラフィックが少なく、その意味でもリモート拠点向きだ。ドメインコントローラを追加する際は、どうしても大量の複製トラフィックが発生するが、この問題に対してもリムーバブルメディアからのインストールというオプションが用意されている。

　「Active Directory ライトウェイトディレクトリサービス（AD LDS）」は、これまで「Active Directory Application Mode（ADAM）」と呼ばれていたもので、アプリケーション向けのディレクトリサービスを提供する。

　「Active Directory フェデレーションサービス（AD FS）」は、Windows Server 2003 R2より追加された機能で、フォレストを超えたWebアプリケーションの認証連携を可能にする。

　「Active Directory Right Management サービス（AD RMS）」は、これまで「Windows Rights Management サービス（RMS）」と呼ばれていたもので、情報保護機能を提供する。

　「Active Directory 証明書サービス（AD CS）」は、これまで「証明書サービス」と呼ばれていたもので、暗号化や認証のためのメカニズムと、エンタープライズPKI（公開キー基盤）を提供する。

【評価ガイド2】
ドメインコントローラのインストールはDCPROMOで

画面5●　Active Directoryのインストールは、従来どおり「Dcpromo.exe」を使用して、フォレストの最初のドメインの1台目のドメインコントローラとして構成することで実行される

　初期構成タスクやサーバーマネージャから起動する「役割の追加ウィザード」では、「Active Directory ディレクトリサービス」の役割を選択できる。しかし、この役割を選択してインストールしても、Active Directoryはインストールされない。正確には、Active Directory ディレクトリサービス用のファイルがコピーされるだけだ。

　実際のインストールには、従来どおり「Dcpromo.exe」を使用して、フォレストの1台目のドメインコントローラをセットアップする。「Active Directory ディレクトリサービス」の役割はあらかじめインストールしておいてかまわないが、インストールされていなくても「Dcpromo.exe」実行時に組み込まれる。既存のフォレストにドメインコントローラを追加する場合も、対象サーバで「Dcpromo.exe」を実行すればよい。

　Windows Server 2008のActive Directoryは、フォレストの機能レベルとして「Windows 2000」「Windows Server 2003」「Windows Server 2008」の3つをサポートしており、Windows 2000 Server以降のActive Directoryとの互換性を維持している（画面5）。

　Windows Server 2003とWindows Server 2008で、機能レベルにほとんど差はないようだ。SYSVOLのDFSレプリケーション機能を使った複製、KerberosプロトコルでのAES128および256ビット暗号化サポート、最後の対話ログオン情報の記録、グループ単位のパスワードポリシーなどの違いがある。

　フォレストの機能レベルは、ドメインの機能だけでなく、Windows Server 2008のActive Directoryで作成したフォレストに追加できるドメインコントローラのバージョンを左右する。例えば、フォレスト機能レベル「Windows Server 2003」には、Windows Server 2003とWindows Server 2008の両方のドメインコントローラを追加可能だ。

　Windows Server 2003以前の既存のActive Directory環境へのWindows Server 2008ドメインコントローラの追加もサポートされている。ただし、それにはWindows Server 2008のインストールDVDに収録されている「Windowsのインストール前の注意事項（Sources\Readme.rtf）」にある手順で、既存のActive Directoryスキーマを拡張する必要がある。実運用環境のActive Directoryスキーマを評価のために現時点で拡張することはあまりお勧めできない。

【評価ガイド3】
Active Directoryの「ふりがな」サポート

画面6●　Windows Server 2008のActive Directoryでは、ユーザーの属性として新たに「ふりがな」をサポート。日本語のユーザー名や組織名を使用しても、正しくソートできるようになる

　Windows Server 2008のActive Directoryには、日本市場向けの新機能が追加されている。それは、ユーザーの属性として「ふりがな」がサポートされたことだ。

　Active Directoryのスキーマは独自に拡張できるので、これまでもふりがなのサポートは不可能ではなかった。Windows Server 2008のActive Directoryでは標準のスキーマとして拡張され、標準の管理ツールから直接設定できるようにオブジェクトのプロパティに「ふりがな」タブが追加されている（画面6）。日本企業ではかなり重宝されるのではないだろうか。

　ふりがなが入力できて何がうれしいかというと、ユーザーや連絡先の名前や会社名、部署名に日本語（漢字）を使用した場合でも、ふりがなを設定することで、あいうえお順に正しくソートできることだ。なお、ふりがなはカタカナでもひらがなでもよいようだ。単に、カタカナのほうがひらがなよりもソート順が上にくるだけである。あいうえお順で正しくソートするには、混在させずにどちらかに統一すればよい。

前のページへ < ｜1｜2｜3｜4｜ > 次のページへ