■ドメインの移行方法には,NT 4.0のドメイン・コントローラに対してWindows 2003をアップグレード・インストールする「アップグレード」と,新しくADを構築して,ユーザー/グループ/コンピュータの各アカウントをNTドメインからADドメインへコピーする「再構築」の2つがある。
■それぞれ一長一短があるが,ここでは「再構築」の手順を中心に解説しよう。
この連載では,Windows Server 2003を導入・構築・運用するための基礎知識を紹介している。前回はWindows Server 2003をドメイン・コントローラ*1(DC)としてセットアップし,Active Directory(AD)ドメインを新規に構築する方法を解説した。ADドメインは,NTドメインとの互換性を維持しつつインターネット技術を取り入れたもので,DNS(Domain Name System)サーバーが不可欠になる。また,Windows 2000のADドメインとWindows 2003のADドメインの仕組みはほぼ同じだが,細部が異なっていることを理解してもらいたい。 今回は,NTドメインをWindows 2003のADドメインへ移行する手順を説明する。ドメインの移行とは,NTドメインのドメイン・コントローラに登録されているユーザー・アカウント,グループ・アカウント,コンピュータ・アカウントなどセキュリティ・プリンシパルと総称するものをWindows 2003のADドメインでそのまま使えるようすることである。
ドメイン移行では,移行先システムで移行元のNTドメインのユーザーやパスワードがそのまま使えるので,アクセス権の再設定などが不要になるのが最大の利点だ(表1)。これに対してドメインの新規構築では,ユーザー・アカウントなどはすべて登録し直しになり,アクセス権などをすべて再設定しなければならない。Windows 2003を含めたWindows NT系のOSはアカウントをSID*2という識別子で区別している。登録し直されたアカウントはたとえ移行元と同じ名前でもSIDが違うのでこうしたことが起きる。 移行元となるNTドメインの構造を調べる (1)移行の計画 (2)移行計画の設計 (3)移行計画の吟味とパイロット・テストの実施 (4)移行計画の展開 (5)移行中・後のネットワーク保守
標準添付の移行ツールでドメインを再構築 NTドメインからADドメインへの移行を支援するツールは表2に示したものがある。この中で最も推奨できるものはADMT(Active Directory移行ツール)だ。Windows Server 2003のセットアップCD-ROMにはADMTの最新版v2.0が付属している。ウィザード形式のインターフェースで,以下のような機能がある(表3)。 ●あるドメインから,別のドメインにユーザー,グループ,コンピュータ・アカウントをコピーする。v2.0ではパスワードのコピーも可能だ。 ●ローカル・グループ*4,ユーザー・プロファイル*5,ファイルやフォルダ,プリンタに関するアクセス許可のセキュリティ設定を変換して,移行対象のドメインのユーザーやグループに対するアクセス許可を更新する。 ●移行対象のセキュリティ・プリンシパルのSIDを移行先ドメインのアカウントのSIDHistory*6という属性に組み込む。ドメイン再構築では,移行先ドメインにコピーされたアカウントのSIDは移行元のものと同じにはならない。しかし,移行先ドメインのアカウントのSIDHistoryに以前のSIDを記録することで,SIDごとコピーしたのと同じ効果が得られる。 ●コンピュータのセキュリティ設定を変換し,必要に応じて余分なSIDを削除する。 ●共有リソースのアクセス許可を再定義し,コピーされるユーザーやグループに関連するファイル,フォルダ,共有フォルダのセキュリティ問題を解決する。 これらの機能はいずれもウィザードによって実行できる(表4)。ただしADMTを使うには,移行先のWindows Server 2003ドメインの機能レベル*7が[Windows 2000ネイティブ]以上でなければならない。移行先のADドメインのすべてのドメイン・コントローラをWindows 2000あるいはWindows 2003にアップグレードして,管理ツールからこのモードに切り替えておこう。 *1 ドメイン・コントローラ Windowsのドメイン内にあるコンピュータの情報やそこで使うユーザーの情報などを管理するサーバー。NT 4.0までのドメインでは,プライマリ・ドメイン・コントローラ(PDC)とバックアップ・ドメイン・コントローラ(BDC)の2種類がある。[戻る] *2 SID WSecurity Identifierの略。Windows NT系列のOSのユーザー・アカウントなどは,名前のほか,自動的に作成されるSIDという番号で区別される。異なるドメインにも,同じユーザー名のアカウントは作成できるが,SIDは異なる。[戻る] *3 信頼関係 複数のWindowsドメインを連携させるときに行う設定。信頼関係を結ぶと,他のドメインに登録したユーザー・アカウントなどをログオンやアクセス権設定などに利用できる。[戻る] *4 ローカル・グループ 1台のコンピュータの中だけでアクセス権設定などに利用できるグループ・アカウント。これに対してドメインに登録するグローバル・グループは複数のコンピュータで利用できる。[戻る] *5 ユーザー・プロファイル ログオン・ユーザー別にデスクトップ環境を用意する機能。マシンにログオンしたユーザーごとにデスクトップやスタート・メニュー内のファイルやそれらに関する設定などを「C:\Document and Settings\ユーザー名」以下に保存することで実現する。[戻る] *6 SIDHistory Active Directoryの中に登録されたアカウントが持つ属性の1つ。ドメインをまたいで移動したアカウントにおいて移行元のドメインのSIDが記録される。移行先のドメインでは新しいSIDとともにSIDHistoryにある古いSIDがアカウントの識別に使われる。[戻る] *7 ドメインの機能レベル Windows Server 2003のActive Directoryドメインでは複数のバージョンのWindowsのドメイン・コントローラが混在できる。混在の程度に応じてドメインの機能レベルを設定する。ドメインのほかフォレストの機能レベルがある。[戻る] |