細かい機能拡張を忘れずに

2008 R2で追加されたActive Directoryの新機能

2011年07月13日 06時00分更新

文● 横山哲也／グローバルナレッジネットワーク

Active DirectoryはWindows 2000で導入され、Windows Server 2003、2008と改良されてきた。1999年にはマイクロソフトのパートナー企業に対してWindows 2000のベータ3を使った大規模なトレーニングが開催され、Active Directoryのエンジニアが大量に育成された。あれから10年、Active Directoryは成熟期に入ったといえる。そのせいか、Windows Server 2008 R2での機能拡張は細かな改善が多いようだ。

Active Directory管理センター

　新しいActive Directoryの管理ツールとして、Windows Server 2008 R2では、「Active Directory管理センター」が導入された。このツールは、従来の管理ツール「Active Directoryユーザーとコンピューター」とほぼ同じ機能を持つが、画面レイアウトが変更され、さらに使いやすくなった（画面1）。

画面1　Active Directory管理センター

　この新しい管理ツールは、内部で「Active Directory Webサービス（ADWS）」とPowerShellを利用している。ADWSはActive Directory管理のためのWebサービスインターフェイスで、TCPのポート9389を利用する。プログラマーは、ADWSを使って新しい管理アプリケーションを作成できる。

　Windows Server 2003 SP2およびWindows Server 2008/2008 SP2用のADWSは「Active Directory 管理ゲートウェイサービス」として、マイクロソフトのWebサイトからダウンロードできる。

PowerShellとActive Directory

　PowerShellにはActive Directory管理用モジュールが追加され、多くの作業がコマンドラインから簡単に実行できるようになった。スタートメニューから「Windows PowerShell用のActive Directoryモジュール」を実行すると、必要なActive Directory管理モジュールを組み込んだ形でPowerShellが起動する。

　このPowerShell用のActive Directoryモジュールを組み込むと、Windows Server 2008では簡単に設定できなかった「きめ細かなパスワードポリシー」などが簡単に構成できる。ただし、このモジュールはADWSを呼び出しているので、少なくとも1台のドメインコントローラーはWindows Server 2008 R2として動作しているか、Windows Server 2003 SP2以降のドメインコントローラーで「Active Directory 管理ゲートウェイサービス」が動作している必要がある。

Active Directoryがごみ箱（リサイクルビン）に対応

　Windows Server 2008では、いったん削除したActive Directoryオブジェクトを復旧できるが、その手順はかなり複雑だった。しかも復旧できるのは、オブジェクトのユニークID（GUID）やアクセス許可に使っているSIDのみ。ユーザーの住所や部署など大半の属性は失われていたため、実際に復旧するのはかなり面倒だった。

　しかしWindows Server 2008 R2では「ごみ箱（リサイクルビン）」機能が追加され、完全な復旧が可能になった。ごみ箱機能が有効になっていない場合（初期状態）では、Active Directoryオブジェクトを削除すると、オブジェクトの削除マークがつき、多くの属性が実際に削除される。そのため、どんなツールを使ってもGUIDやSIDなど重要な情報しか復元できない。

　一方、ごみ箱を有効にすると、削除されたオブジェクトに削除マークがつくだけで、そのほかの属性は削除も変更も行なわれない。この状態を、「リサイクル」と呼ぶ。リサイクル状態から一定期間（既定では180日）経過すると、属性のほとんどが消失し、削除状態となる。完全に削除されるのは、さらに一定期間経過したあとである（図1）。

図1　Active Directoryオブジェクトのライフサイクル

　ごみ箱を有効にすると、オブジェクトを削除してもデータベースサイズに空き領域が発生しない。そのため、データベースのサイズが従来よりも大きくなる。作成と削除の頻度が高い組織は、特に注意が必要だろう。

　なお、Active Directoryのごみ箱を利用するためのGUIは存在しない。ごみ箱の準備から実際の復旧に至るまで、すべてのシーンでPowerShellを利用する必要がある。

まだまだある強化点

　Windows Server 2008 R2では、これまで紹介した機能以外にも強化が行なわれている。

　たとえば、Windows Server 2008 R2のHDDに直接書き込みを行なうことで、Active Directoryドメインへ参加させる機能が追加された。これを「オフラインドメイン参加」と呼ぶ。オフラインドメイン参加には、「DJOIN.EXE」という専用のコマンドラインツールを使用する。仮想マシンを起動せずにドメインに参加させたい場合などは、VHDファイルの内容に対して直接書き込みを行なうことで、ドメイン参加が可能になるわけだ。

　また、IISやSQLServerのために、パスワードをドメインコントローラーが定期的に自動設定するサービスアカウント「Managed Service Account」が追加された。多くの組織では管理作業の手間を省くため、サービスアカウントに無期限パスワードを設定している。

　だがこれは、セキュリティ上好ましくない。こうした場合にManaged Service Account を使えば、無期限パスワードを使わずに管理の手間を省けるため、セキュリティレベルを落とすことがない。しかもManaged Service Accountは、通常のユーザーアカウントではない。そのため対話的なログインはできないので、さらに安全性が高い。

　なお、Managed Service Accountの設定はPowerShellを使って行なう。構成済みのアカウント情報は「Active Directoryユーザーとコンピューター」などで表示できるが、初期設定をGUIツールで行なうことはできない。

　●

　本連載「SP1までわかる！Windows Server 2008 R2入門」では、Windows Server 2008 R2とSP1で強化された機能と役割を、9回にわたって紹介してきた。同じR2でも、Windows Server 2003 R2での新機能に比べると、変更点が非常に多い。クライアントと同じく名称を完全に変更して、メジャーアップグレードとなる「Windows Server 2010」にすべきだったのではないかと思うくらいだ（習慣で下半期に登場した製品は、翌年の年号を使う）。

　名称を変更しなかったのは、クライアントには目新しさが求められ、サーバーには安定性が求められるためなのだろう。

　Windows Serverは今後数年間、大きな変更はないと予想される。DirectAccessのように現在は使いにくい機能も含まれるが、将来を見据えて新しい機能の意味を感じてほしい。

筆者紹介：横山哲也

グローバルナレッジネットワーク株式会社
マイクロソフト認定トレーナ／マイクロソフトMVP
1994年からSEおよびプログラマー向けにWindowsのサーバーの教育を担当。1996年、グローバルナレッジネットワーク設立とともに同社に移籍。2003年より「マイクロソフトMVP（Directory Services）」

　本記事は、月刊アスキードットテクノロジーズ2009年12月号の特集2「Windows Server 2008 R2の強化点」を再編集し、Service Pack 1に関する情報を追加したものです。

ツイートする

カテゴリートップへ