このページの本文へ

SP1までわかる!Windows Server 2008 R2入門 ― 第9回

細かい機能拡張を忘れずに

2008 R2で追加されたActive Directoryの新機能

2011年07月13日 06時00分更新

文● 横山哲也/グローバルナレッジネットワーク

  • この記事をはてなブックマークに追加
  • 本文印刷

Active DirectoryはWindows 2000で導入され、Windows Server 2003、2008と改良されてきた。1999年にはマイクロソフトのパートナー企業に対してWindows 2000のベータ3を使った大規模なトレーニングが開催され、Active Directoryのエンジニアが大量に育成された。あれから10年、Active Directoryは成熟期に入ったといえる。そのせいか、Windows Server 2008 R2での機能拡張は細かな改善が多いようだ。

Active Directory管理センター

 新しいActive Directoryの管理ツールとして、Windows Server 2008 R2では、「Active Directory管理センター」が導入された。このツールは、従来の管理ツール「Active Directoryユーザーとコンピューター」とほぼ同じ機能を持つが、画面レイアウトが変更され、さらに使いやすくなった(画面1)。

画面1 Active Directory管理センター

 この新しい管理ツールは、内部で「Active Directory Webサービス(ADWS)」とPowerShellを利用している。ADWSはActive Directory管理のためのWebサービスインターフェイスで、TCPのポート9389を利用する。プログラマーは、ADWSを使って新しい管理アプリケーションを作成できる。

 Windows Server 2003 SP2およびWindows Server 2008/2008 SP2用のADWSは「Active Directory 管理ゲートウェイ サービス」として、マイクロソフトのWebサイトからダウンロードできる。

PowerShellとActive Directory

 PowerShellにはActive Directory管理用モジュールが追加され、多くの作業がコマンドラインから簡単に実行できるようになった。スタートメニューから「Windows PowerShell用のActive Directoryモジュール」を実行すると、必要なActive Directory管理モジュールを組み込んだ形でPowerShellが起動する。

 このPowerShell用のActive Directoryモジュールを組み込むと、Windows Server 2008では簡単に設定できなかった「きめ細かなパスワードポリシー」などが簡単に構成できる。ただし、このモジュールはADWSを呼び出しているので、少なくとも1台のドメインコントローラーはWindows Server 2008 R2として動作しているか、Windows Server 2003 SP2以降のドメインコントローラーで「Active Directory 管理ゲートウェイサービス」が動作している必要がある。

Active Directoryがごみ箱(リサイクルビン)に対応

 Windows Server 2008では、いったん削除したActive Directoryオブジェクトを復旧できるが、その手順はかなり複雑だった。しかも復旧できるのは、オブジェクトのユニークID(GUID)やアクセス許可に使っているSIDのみ。ユーザーの住所や部署など大半の属性は失われていたため、実際に復旧するのはかなり面倒だった。

 しかしWindows Server 2008 R2では「ごみ箱(リサイクルビン)」機能が追加され、完全な復旧が可能になった。ごみ箱機能が有効になっていない場合(初期状態)では、Active Directoryオブジェクトを削除すると、オブジェクトの削除マークがつき、多くの属性が実際に削除される。そのため、どんなツールを使ってもGUIDやSIDなど重要な情報しか復元できない。

 一方、ごみ箱を有効にすると、削除されたオブジェクトに削除マークがつくだけで、そのほかの属性は削除も変更も行なわれない。この状態を、「リサイクル」と呼ぶ。リサイクル状態から一定期間(既定では180日)経過すると、属性のほとんどが消失し、削除状態となる。完全に削除されるのは、さらに一定期間経過したあとである(図1)。

図1 Active Directoryオブジェクトのライフサイクル

 ごみ箱を有効にすると、オブジェクトを削除してもデータベースサイズに空き領域が発生しない。そのため、データベースのサイズが従来よりも大きくなる。作成と削除の頻度が高い組織は、特に注意が必要だろう。

 なお、Active Directoryのごみ箱を利用するためのGUIは存在しない。ごみ箱の準備から実際の復旧に至るまで、すべてのシーンでPowerShellを利用する必要がある。

まだまだある強化点

 Windows Server 2008 R2では、これまで紹介した機能以外にも強化が行なわれている。

 たとえば、Windows Server 2008 R2のHDDに直接書き込みを行なうことで、Active Directoryドメインへ参加させる機能が追加された。これを「オフラインドメイン参加」と呼ぶ。オフラインドメイン参加には、「DJOIN.EXE」という専用のコマンドラインツールを使用する。仮想マシンを起動せずにドメインに参加させたい場合などは、VHDファイルの内容に対して直接書き込みを行なうことで、ドメイン参加が可能になるわけだ。

 また、IISやSQLServerのために、パスワードをドメインコントローラーが定期的に自動設定するサービスアカウント「Managed Service Account」が追加された。多くの組織では管理作業の手間を省くため、サービスアカウントに無期限パスワードを設定している。

 だがこれは、セキュリティ上好ましくない。こうした場合にManaged Service Account を使えば、無期限パスワードを使わずに管理の手間を省けるため、セキュリティレベルを落とすことがない。しかもManaged Service Accountは、通常のユーザーアカウントではない。そのため対話的なログインはできないので、さらに安全性が高い。

 なお、Managed Service Accountの設定はPowerShellを使って行なう。構成済みのアカウント情報は「Active Directoryユーザーとコンピューター」などで表示できるが、初期設定をGUIツールで行なうことはできない。

 ●

 本連載「SP1までわかる!Windows Server 2008 R2入門」では、Windows Server 2008 R2とSP1で強化された機能と役割を、9回にわたって紹介してきた。同じR2でも、Windows Server 2003 R2での新機能に比べると、変更点が非常に多い。クライアントと同じく名称を完全に変更して、メジャーアップグレードとなる「Windows Server 2010」にすべきだったのではないかと思うくらいだ(習慣で下半期に登場した製品は、翌年の年号を使う)。

 名称を変更しなかったのは、クライアントには目新しさが求められ、サーバーには安定性が求められるためなのだろう。

 Windows Serverは今後数年間、大きな変更はないと予想される。DirectAccessのように現在は使いにくい機能も含まれるが、将来を見据えて新しい機能の意味を感じてほしい。

筆者紹介:横山哲也

グローバルナレッジネットワーク株式会社
マイクロソフト認定トレーナ/マイクロソフトMVP
1994年からSEおよびプログラマー向けにWindowsのサーバーの教育を担当。1996年、グローバルナレッジネットワーク設立とともに同社に移籍。2003年より「マイクロソフトMVP(Directory Services)」


 本記事は、月刊アスキードットテクノロジーズ2009年12月号の特集2「Windows Server 2008 R2の強化点」を再編集し、Service Pack 1に関する情報を追加したものです。

カテゴリートップへ

この連載の記事

関連記事

最新記事

ASCII.jp特設サイト

ASCII.jp会員サービス デイリーインデックスメール登録

ASCII.jp RSS2.0 配信中

ピックアップ