完成度を増したActive Directory(最終回) 続き

WindowsアプリらしくなったGUI管理ツール
コマンド・ライン・ツールも充実

 日ごろシステムを管理している人間にとって,管理ツールの使い勝手は,日々の作業効率に直結することである。いくら優れたテクノロジであっても,使いにくいツールでは受け入れられない。

 Windows Server 2003では,3年にわたるWindows 2000の経験を基に,管理ツールに若干の手を加えた。その結果,大規模環境でも効率よく操作ができるようになった。第1回で紹介したオブジェクト・ピッカーの操作性の改良などがそうである(第1回目の図2)。逆に小規模システムには,不釣合いな部分も存在するが,全体の使い勝手はあまり損なわれていない。

●MMCスナップイン
 ADの管理者が最初に使うツールは,[Active Directoryユーザーとコンピュータ]であろう。しかし,このツールは,コンテナ当たりの登録ユーザーが数千人を超えるような場合には使い勝手が必ずしもよくなかった。よくいわれた不満点は,(1)条件を指定して検索するのが面倒,(2)ドラッグ&ドロップができない,(3)複数ユーザーの属性を同時変更できない——等々である。

 Windows Server 2003ではこうした問題が解決された。第1の不満点は,Windows Server 2003では,Windows 2000と同様の検索条件を指定できるだけではなく,新たに検索条件(クエリー)を保存し,何度でも再利用できるようになることによってかなり解消された。クエリーを保存すれば,単一コンテナに大量のオブジェクトがある場合でも容易に目的オブジェクトを指定できる。また,クエリーを保存して他のコンピュータで利用することもできる。


△ 図をクリックすると拡大されます
図4●複数のユーザーのアクセス許可を同時に設定できる

 第2の不満点は人によっては意外に感じるかもしれない。Windows 2000のAD管理ツールはドラッグ&ドロップが利用できなかった。Windows Server 2003ではドラッグが可能になったが,誤って他の場所にドロップしてしまわないように十分注意したい。従来のように,右クリックして,現れたメニューから[移動]を選ぶ方法も残っているので,必要に応じて使い分けたい。

 第3の不満点も意外なことに複数ユーザーを選択し,同時に編集することができなかった(図4上)。Windows Server 2003では複数のユーザーを選択して属性情報を変更するといったことが可能になった(図4下)。


表1●Windows Server 2003で追加されたコマンド・ライン・ツール

●コマンド・ライン・ツール  システム管理のルーチンワークを効果的に実現するには,コマンド・ライン・ツールが適している。Windows Server 2003では,ディレクトリ操作のためのコマンドなど,表1に示すようなコマンド・ライン・ツールを用意した。

 これらのツールを使うことで,表2のような複雑な操作を簡単に実行できる。

LDAPなど標準技術の見直しで相互運用性を高める
 Windows Server 2003では,Windows以外のシステムとの相互運用性も重視している。

 ここでは,インターネット標準のユーザー・オブジェクトinetOrgPersonと,ディレクトリ照会プロトコルLDAPについて,Windows Server 2003の改良点について紹介する。


△ 図をクリックすると拡大されます
表2●コマンド・ライン・ツールを使うことによってできる作業例

●inetOrgPersonのサポート
 ADは,X.500をベースに設計され,認証プロトコルにKerberos(RFC 1510),ディレクトリ・サービス照会プロトコルとしてLDAPバージョン3およびバージョン2(RFC2252,RFC1777など)をサポートする。そのため,他社のLDAPサーバーとの相互運用は原理的には可能である。

 実際,多くのインターネット・メール・クライアントが持つLDAP照会機能は,ADに対しても正常に動作している。

 しかし,ADはRFC 2798で定義された「inetOrgPerson」(ユーザーオブジェクトの定義)をサポートせず,実際に既存のLDAPサーバーとの相互運用を実現するのは難しかった。Windows Server 2003のADは,inetOrgPersonをサポートすることになり,相互運用への障害を取り除いた。inetOrgPersonはログオン可能なユーザーとして定義できる。

●LDAP3の新仕様
 Windows Server 2003では,LDAPの新しい仕様を取り込んだ。例えば,アプリケーション開発者は,RFC 2589に準拠した動的エントリを保存できるようになった。動的エントリには,自動的に削除される期間TTL(Time to Live: 生存期間)を設定できる。また,LDAPを使ったADへの接続はRFC 2830に準拠したTLS(Transport Layer Security)を使うようになった。さらに,RFC 2829で定義されたデジタル署名も利用できる。

●グループ・ポリシー
 グループ・ポリシーは,Windows 2000から追加されたクライアント管理機能である。グループ・ポリシーを使うことで,管理者は,クライアントの動作をドメイン,OU,サイト単位で制御できる。

 Windows Server 2003ではグループ・ポリシーが大幅に強化され,160を超える管理項目が追加された。もちろんWindows XPで追加されたグループ・ポリシーも使える。Windows XPでは,多くのグループ・ポリシーが追加されたが,Windows 2000で利用するにはテンプレートのエクスポートとインポートという面倒な作業が必要だった。Windows Server 2003を使うことで,ようやくWindows XPの新機能を手軽に管理できるようになるのだ。詳細な紹介は第4章を参照してほしい。

●ADMT Version 2.0
 ADMT(Active Directory Migration Tool)は,Windows NTドメインやADドメインに参加するユーザーやコンピュータのアカウントなどを,ウィザードを使って別のADドメインに移行するツールである。Windows 2000用のADMT 1.0が,Windows Server 2003では2.0にアップグレードされている。

 ADMTは従来,マイクロソフトのWebサイトからダウンロードする必要があったが,Windows Server 2003ではADMT 2.0が標準搭載されている。OSのCD-ROMから「¥386¥ADMT¥ADMIGRATION.MSI」を起動してインストールできる。また,従来の1.0ではできなかった機能が追加されている。

 追加機能で最も重要なのは,Windows 2000のADMT 1.0ではできなかったパスワードの移行ができるようになった点だ。ADMT 1.0では,新ドメイン移行時にパスワードを新規設定する必要があり,運用上の負担が大きかった。もし作業の手間を省くために仮の簡単なパスワードを発行した場合などは,これがセキュリティ・ホールになる恐れもあるだろう。この運用上の手間がADMT 2.0では解消された。

 スクリプト・インターフェースも新しいものが提供され,ユーザーやグループの移行など,何度も繰り返される作業を,スクリプトによって処理できるようになった。また,スクリプト・インターフェースはコマンド・ラインもサポートしているため,スクリプト中で実行できるすべてのタスクが,コマンド・ラインやバッチ・ファイルでも実行できる。