アドバイザー佐野:それでは、ドメイン環境について説明しましょう。ドメインには2種類あり、Windows NTで構築されていたものはNTドメインと呼ばれます。Windows 2000以降では、さらにActive Directoryを搭載し、グループポリシーなどのリソースの管理機能、Kerberos認証などのセキュリティ強化、ドメインの拡張性などを高めました。Windows 2000 以降のドメインは、Active Directory ドメイン、または単にドメイン、Active Directory と呼ばれます
プチアド・豆アド:ふむふむ。
アドバイザー佐野:Active Directory ドメイン を利用するためには、Windows 2000 ServerまたはWindows Server 2003 上で「Dcpromo」コマンドを実行し、「Active Directory インストール ウィザード」を実行します(画面1)。こうしてActive Directoryがインストールされたコンピュータを、ドメインコントローラといいます。Active Directory には、Active Directory ドメインに参加するすべてのユーザーとコンピュータ、プリンタなどが登録されます(画面2)。いわば、住民台帳みたいなものですね。ユーザーは、ここに登録された1つのユーザー資格情報を利用して、やはりここに登録されたコンピュータからActive Directory内の他のコンピュータ上のリソースにアクセスします。
 |
|---|
| 画面1●Active Directoryインストールウィザード(画像クリックで拡大) |
|
|---|
| 画面2●ワークグループでは1台1台に設定していたユーザー情報を、Active Directory ドメインでは[Active Directory ユーザーとコンピュータ]で集中的に登録・管理する。(画像クリックで拡大) |
豆アド:ワークグループみたいに各コンピュータでユーザーアカウントを登録する必要などないのですね。登録は1度だけでいいし、リソースに接続するたびにユーザー資格情報を要求されることもない。
アドバイザー佐野:ドメインの管理者ならば、ドメイン上のどのコンピュータにもアクセスできますから、わざわざサーバまで出向かなくても、自分の席から共有の設定を行うこともできます。それだけではありません。
プチアド:はい、はい! それから、グループポリシーを利用すれば、コンピュータの環境設定を大量のPCとユーザーに一斉に提供できます(Case04 グループポリシーで安心環境!)。OU(組織単位)を利用すれば、部署やコンピュータの種類ごとに、異なるポリシーを適用することもできます!
アドバイザー佐野:うわっ、プチアド君、つば飛ばさないでよ。そうですね、「何日に1回、何文字以上のパスワードを設定する」とか「過去5回にさかのぼって、同じパスワードを使わない」なんていう細かいルールをユーザーに暗記して実行しろというのはほぼ無理です。
豆アド:無理、僕、絶対無理です。
アドバイザー佐野:場合によっては、パスワードの変更を嫌がって、コンピュータの設定を変えて、パスワードを無期限にするユーザーも出てきます。このような状況は、予測不能なトラブルの発生原因になりかねませんし、社内のセキュリティレベルも確保できません。
プチアド:グループポリシーを利用すれば、こういった社内のルールを最小の手間で提供することが可能ですね。組織において、運用上のルール変更があった場合、また、ユーザーの異動が発生した場合でも、Active Directory 上の情報に変更を加えれば、次回のグループポリシーが適用されるタイミングで、ユーザーの手を煩わすことなく設定が適用されますし。
豆アド:個々のコンピュータを個別に設定していくのに比べたら、僕ら(プチ管理者)もユーザーも、作業負担がずいぶんと軽減されるのですね。
プチアド:佐野さん、プロジェクトマネージャ経験者の立場から言うと、Active Directory ドメインを構築するためには、それなりの初期投資(費用)が必要でした。こういったActive Directory の利点を上手に生かしていけば、運用コストの削減というカタチで、しっかり費用を回収できますね!
アドバイザー佐野:Active DirectoryはIT環境の基盤なので、とっても地味に思えますが、機能を上手に活用すれば、セキュリティレベルの保持、運用コストの削減効果は絶大なのです。
 |
|---|
 |
||||
 |
 |
 |
|
 |
 |
||||
佐野 央のプチ管理者は本日も大忙し
【アスキービジネス 新刊ムック】
【ASCII.jp SaaS・ASP】