Q

組織再編に伴って,現在複数あるActive Directoryドメインを1つに統合することになりました。ユーザー情報の移行については,ADMT(Active Directory移行ツール)などを用いて実施するめどが立っていますが,クライアント・マシンの所属ドメインの変更をどのように実行するかで苦慮しています。GUI(グラフィカル・ユーザー・インターフェース)から実施するのは手間が掛かる上,ドメインの管理者権限が必要なので,エンドユーザーに依頼して実行してもらうわけにもいかない状況です。

A


△ 図をクリックすると拡大されます
図1●移行したいクライアントがある環境

△ 図をクリックすると拡大されます
図2●Netdomコマンドによる所属ドメインの移動
コンピュータのドメインへの参加や別のドメインへの移動といった作業を自動で行う場合に有用なツールとしてはNetdomが標準で利用できます。NetdomはWindows NT Server 4.0のころはリソース・キットのツールだったため,サポート外の扱いでした。これに対してWindows XPやWindows Server 2003ではSupport ToolsとしてそれぞれのOSのセットアップCD-ROMに収録され,OSの一部としてサポートが受けられます。

 Netdomコマンドにはいくつかのサブコマンドがあり,ドメインの移行は,MOVEというサブコマンドで実行できます。図1のような環境で,MIZUKIという名前のコンピュータをRUMBAドメインからMTITドメインのmonyo1というOU(組織単位)に移動させる場合のコマンド入力例を図2に示します。コマンドを入力するコンピュータがドメインの外にある場合を示しています。このコマンドはMTITドメインにMIZUKIのコンピュータ・アカウントが既に存在していると移動に失敗するので注意してください。

 オプションは多数ありますが,指定すべき内容自体は,それほど難しくありません。移行対象のコンピュータ名,移行先ドメイン名,移行先OU名,さらに移行元/移行先/移行対象のマシンそれぞれの管理者アカウントとそのパスワードから成ります。「/REB:<再起動までの時間(秒)>」オプションを付加すれば,自動的に再起動させることも可能です。


△ 図をクリックすると拡大されます
図3●Netdomコマンドのヘルプ画面

△ 図をクリックすると拡大されます
図4●Netdomコマンドによるワークグループ構成マシンのドメイン参加
 なお,Netdomコマンドには,図3のようにMOVE以外にもADD/QUERY/RENAMEなど様々なサブコマンドが存在します。ドメイン管理をバッチ処理化する上で,一度すべてのサブコマンドについて機能を確認しておいても損はないと思います。

 例えばADDサブコマンドを用いることで,図4のようにワークグループ構成のマシンをドメインに参加させることが可能です。リモートからWindows XP Professionalマシンに対してこのコマンドを実行するときは,対象マシンのローカル・セキュリティ・ポリシーで[ネットワークアクセス:ローカルアカウントの共有とセキュリティモデル]が[クラシック - ローカルユーザーがローカルユーザーとして認証する]になっている必要がある点に気をつけてください。

Netdomはバージョンに注意
 前述したように,NetdomコマンドはWindows NT Server 4.0のリソース・キットに付属のものから,Windows Server 2003のSupport Toolsに付属のものまで様々なバージョンがあります。それぞれのバージョンごとに備えているサブコマンドが異なるほか,対応しているWindowsのバージョンが異なりますので,注意してください。

 筆者が確認している限りでも,Windows 2000のNetdomがWindows XPに対して使用できないといった事例があります。現時点ではWindows Server 2003のSupport Toolsに付属のNetdomを用いるのが最も確実のようです。

WMIによる自動化も可能
 Windows XP/Windows Server 2003以降では,WMI(Windows Management Instrumentation)のWin32_ComputerSystemクラスに追加されたJoinDomainOrWorkGroupメソッドを用いることで,ドメインへの参加やドメインからの削除を行うスクリプトを作成できます。具体的な方法については,マイクロソフトのスクリプトセンターの「コンピュータアカウント」にある「コンピュータのドメインへの追加」を参照してください。

高橋 基信