★Active Directory移行ツール(ADMT)の日本語版が,マイクロソフトのサイトでダウンロードできるようになった。
★複数のNTドメインを1つのWindows 2000ドメインに移行したり,複数のWindows 2000ドメインを統合するのに利用できる。
★GUIを使ったウィザードによって,オブジェクトの移行作業は簡単になる。ただし,ドメインの移行のプロセスそのものは,複雑であることに変わりはない。移行に当たっては,事前に入念な計画と検証作業が必要だ。
図1●複数のNTドメインを統合してWindows 2000ドメインへ移行する例 NTのシングル・マスタ・ドメインを,Active Directory移行ツールを使って,アカウント・ドメイン→リソース・ドメインの順にユーザー,グループ,コンピュータなどをWindows 2000ドメインに移行する。 |
japan/windows2000/downloads/
deployment/admt/)。複数のNTドメインを再構築して1つのWindows 2000ドメインにアップグレードしたり,複数のWindows 2000ドメインを1つに統合できる。
ADMTはマイクロソフトにとって,NT環境からWindows 2000環境への移行を促進させる,戦略的なツールである。本来はWindows 2000の製品発売(2月17日:米国)と同時に提供する予定だったが,米国で今年3月,国内では5月8日にずれ込んだ。
Windows 2000はドメイン統合が理想
既存のNTドメイン環境からWindows 2000ドメインに移行する場合,複数あるNTドメインの構造をそのままWindows 2000ドメインにアップグレードするのは比較的簡単だ。たとえば,ユーザーやグループだけを集中管理するアカウント・ドメインと,サーバーなどのコンピュータを管理するリソース・ドメインからなるマスタ・ドメイン・モデルの場合ならば,アカウント・ドメイン→リソース・ドメインの順に,同じWindows 2000のドメイン・ツリー内にアップグレードすればよい。ドメイン間には自動的に信頼関係が結ばれ,既存のユーザー・アカウントやグループ・アカウントもそのまま引き継がれる。
しかしWindows 2000とActive Directoryの新機能のメリットを最大限に享受するには,複数あるドメインを1つのWindows 2000ドメインに統合した方がよい場合が多い。ドメイン内の管理単位である組織単位(OU)*を利用すれば,基本的にドメインを分散する必要はない。ユーザーやコンピュータなどのOU間の移動は,ドメイン間の移動に比べて簡単なので,ドメインを統合しておけば,アカウント移動時の管理も楽になる。
図1[拡大表示]はドメイン統合の例である。シングル・マスタ・ドメインの環境を単一のWindows 2000ドメインに移行する場合,まずはアカウント・ドメインのユーザーやグループをWindows 2000ドメインに移行し,続いてリソース・ドメインを移行する。移行元のアカウントも過渡的に残せるので,システムを混在運用しながら徐々に移行できる。
Windows 2000では,Windows 2000 ServerのCD-ROMからインストールできる「Windows 2000 Support Tools」に,ドメインの移行のためのコマンド・ツールが用意されている。ClonePrincipalやnetdom,movetreeといったツールを組み合わせて,ADMTと同様にドメインを移行できる。しかしこれらはキャラクタ・ベースのツールで使い勝手はよくない。GUIベースのADMTによって,移行作業は格段に楽になる。
オブジェクト別にウィザードを起動
今回,Active Directory移行ツールを実際に使ってみた。図1のマスタ・ドメイン・モデルのWindows 2000ドメインへの移行をテストした。移行先となる新規のWindows 2000ドメインを作成し,既存のNTドメインを移行する。このとき,移行先のWindows 2000ドメインは,NTのバックアップ・ドメイン・コントローラが完全に取り除かれたネイティブ・モード*にしておく必要がある。移行できるのは,ユーザー,ローカル・グループ,ドメイン・ローカル・グループ,グローバル・グループ,コンピュータである。
図2●Active Directory移行ツールの移行ウィザードの例 管理コンソールから,ユーザーやグループ,コンピュータの移行ウィザードを起動する。移行元ドメインと移行先ドメインを選択してから,ウィザードに従って各種オプションを設定していく。画面はグループ・アカウントの移行ウィザード。 |
ADMTは,Windows 2000マシンにインストールする。ツールを起動したら,コンソールの「Active Directory移行ツール」のツリーを右クリックして,ユーザーやグループ,コンピュータの移行などのウィザードを実行する(図2[拡大表示])。たとえばアカウント・ドメインの移行では,グループ・アカウント→ユーザー・アカウントの順に移行する。移行を適切に行うには,ウィザード実行の順序も重要なようである。ADMTのオンライン・ヘルプには,アカウント・ドメインとリソース・ドメインそれぞれの移行手順が解説してある。
ウィザードではまず,移行元のドメインと移行先のドメインを選択し,続いてオプションを指定していく。具体的にはユーザー・アカウントの移行ウィザードでは,移動プロファイル*をコピーするかどうか,移行先のアカウントのユーザー権限を移行元のアカウントと一致させるかどうか,移行したアカウントが所属しているグループ・アカウントを移行するかどうかなど,細かな指定ができる。
図3●移行ツールを実行したときのログ・ファイル 図は,アカウント・ドメインのグローバル・グループを移行したときのログ・ファイル。実際の移動処理をしないテスト実行でも,ログを確認できる。 |
SID履歴を使いアクセス権を移行
Windows NT/2000では,アクセス権をSIDというセキュリティ識別子を使って管理している。たとえば,フォルダにあるユーザーのアクセス権を設定する場合,フォルダのアクセス制御リスト(ACL)に,そのユーザーのSIDを保持する。ユーザーがそのフォルダにアクセスしようとすると,ユーザーのSIDとACLのSIDのリストを比較して,アクセスできるかを判断する。
ドメイン間でユーザーやグループを移行する処理では,実際には移行先のドメインに新しいアカウントを作成している。そのためSIDはまったく新しいものが発行され,このSIDを使って元のドメインのリソースにアクセスすることはできない。
Windows 2000では,ドメインをまたぐアカウントの移動を可能にするため,「SIDhistory(SIDの履歴)」という機能を提供している。移行先に作られるアカウントに,新しいSIDとは別に,元のドメインのSIDを格納できるのだ(図4[拡大表示])。ADMTでは,ウィザードでSIDを移行するオプションを指定できる。リソースにアクセスするときは,新旧2つのSIDを使うので,移行前のアカウントと同様にアクセスできる。
また,移行完了後は,セキュリティの変換ウィザードを使って,リソースのACLを移行後のアカウントの新SIDに書き換えることができる。このとき,不要になったアカウントのSIDhistoryは,手動で削除する。
事前の入念なテストが必須
図4●移行後のユーザーが元のリソースにアクセスできる 移行ツールでは,ユーザーの移行のときに,元のユーザーのSIDをSIDhistory(SIDの履歴)として移行できる。リソースにアクセスするときは,新しいSIDとSIDhistoryにあるSIDの両方を使うので,移行前のユーザーにアクセス権を設定したリソースにアクセスできる。 |
(森重 和春=morishig@nikkeibp.co.jp)