本業とネットワーク管理を兼務している管理者は多忙だ。特にパソコンの入れ替え時期や人事異動の季節は、管理の仕事が増える。少しでも管理を楽にしたいというのが、多くのネットワーク管理者の望みだろう。

図9●多忙な管理者の三つの要望
図9●多忙な管理者の三つの要望
活用編ではこれら三つの要望をかなえるための機能の使い方を解説する。
[画像のクリックで拡大表示]

 例えば、基礎編で登場したY商事の村田さんは、(1)アクセス権の設定を簡単にしたい、(2)セキュリティ対策を徹底させたい、(3)クライアントパソコンをきちんと管理したい──という三つの要望を持っていた(図9)。これらをかなえるために選んだ手段が、Active Directoryの導入だったというわけだ。

 (1)のアクセス権の設定は、これまでサーバーごとにユーザーアカウントを作成し、ユーザーを指定していた。Y商事には企画チームをはじめ、開発や営業など複数のチームがそれぞれサーバーを立てアクセス権を設定している。社員の異動があると、異動元と異動先のそれぞれのサーバーでアクセス権を変更しなければならない。ただでさえ兼務で時間がないなか、こうした作業の負担は大きい。Active Directoryならば、ドメインの「グループアカウント」を活用することでアクセス権の変更は楽になる。

 (2)のセキュリティ対策の徹底と(3)のクライアントパソコンの管理は、管理者が呼びかけてもなかなか全ユーザーには行き届かなかった。Y商事ではセキュリティ対策として、ログオン時のパスワードを定期的に変更することをはじめ、スクリーンセーバーを使ったパスワードによる保護や、Windows Updateの定期実行を定めているが、きちんとやらない社員がいた。パソコンの管理については、デスクトップ環境やアプリケーションの設定を指定したり、万が一パソコンが壊れたときに備えてデータのバックアップをとるように言ったりしている。しかし、完全には実施できていなかった。

 Active Directoryだと、セキュリティ対策の徹底は「グループポリシー」を使って実現できる。クライアントパソコンの管理は、「移動ユーザープロファイル」と「フォルダーリダイレクト」の組み合わせで、どのユーザーにも同じ設定とデータのバックアップを強制できる。

 ここからは(1)~(3)を実現するActive Directoryの各機能について、それぞれ詳しく見ていこう。

 複数のサーバーで複数ユーザーのアクセス権を設定するときには、ドメインのグループアカウントを活用するとよい。Active Directoryでは、ドメインに所属する複数のユーザーをまとめたグループを作成できる。ファイルサーバーでは、グループに対して各フォルダーのアクセス権を設定すればよい。これで個別のユーザーをいちいち指定せずに済む。