Windows Server 2012におけるActive Directoryの変更点(1)

1か月ほど前、「Computerworld.jp終了です」という話を投稿させていただきました。
Computerworld.jpが終了するとの話がサイトに掲載されていなかったこともあり、
なんだかオフィシャルアナウンスメントのようになっております。
(言うまでもないことですけど、私の投稿はアンオフィシャルですからね)
サイト自体もIT Proさんに移管されましたが、過去に連載させていただいた内容は現時点で宙に浮いているので、
タイムリーな内容を中心に前編集担当さんに伺ったガイドラインに基づき、転載いたします。
将来、明確なガイドラインが示され、投稿自体がクローズされる可能性があることを最初にお断りしておきます。

今回、ご紹介するのは「Windows Server 2012におけるActive Directoryの変更点」についてです。

■ ■ ■

プライベートクラウドに代表されるように、ITリソースを集約化して運用することが時代の潮流となりつつある。そして、プライベートクラウドのような集中管理される環境において、認証基盤は今まで以上に重要な役割を果たすこととなる。一方、Windows Server 2012のActive Directoryでは、このような時代のニーズに対してどのような解を示すのか?本連載ではWindows Server 2012のActive Directoryについて、様々な変更点や新機能の紹介をしながら、いまどきのActive Directoryの運用管理について解説する。

Windows Server 2012におけるActive Directoryの変化

Active Directoryドメインサービス(以下、Active Directory)はWindows 2000 Serverの登場以来、10年以上にわたってWindowsを中心とした認証機能を担ってきた。その間、マイクロソフトはActive Directoryをより使いやすく、便利なものにするために様々な機能追加や変更を行ってきた。Windows Server 2012におけるActive Directoryも同様で、今までのWindows Serverでは率直に言って使いづらいと思うような機能に対する改善が施されている印象がある。

では、具体的にWindows Server2012のActive Directoryでどのような変更が加わったかについて次から確認していこう。

変更点その1:ダイナミックアクセス制御

Windows Server 2012のActive Directoryの中でも非常に大きな機能追加がダイナミックアクセス制御(DAC)である。ダイナミックアクセス制御とはActive Directoryユーザーの属性に合わせたアクセス制御を実現する機能で、従来のようなグループを利用したアクセス制御方式に比べて、より直観的なアクセス制御が可能となる。例えば、従来のActive Directoryでは営業部のユーザーに対するアクセス許可を割り当てたければ、「営業部」というグループを作成し、営業部グループのメンバーとしてユーザーを追加してからアクセス許可の割り当てをしていた。それに対して、ダイナミックアクセス制御では、ユーザーのプロパティで設定された部署の属性を直接参照することで、アクセス許可のチェックを行うときにユーザーの属性が「営業部」であることを確認し、アクセスを制御するようになる(図1)。

図1 
図1●従来型(NTFSアクセス許可)とダイナミックアクセス制御の違い

ユーザーの属性に合わせて行う処理はアクセス制御だけでなく、アクセスの監査設定やファイルに対する暗号化等の設定なども行えるようになっている。

変更点その2:既存機能に対するGUIの強化

以前のバージョンのWindows Serverで用意されていた、Active Directoryのごみ箱ときめ細かなパスワードポリシー(Windows Server2012では「詳細なパスワードポリシー」と呼ぶ)に対するGUIが新たに提供された。
どちらの機能もこれまでは専用のユーザーインターフェイスが用意されておらず、Windows PowerShell(以下、PowerShell)やADSIエディタなどのツールを使って、少なからずキーボードをたたく必要があった。それに対してWindows Server 2012ではActive Directory管理センターにGUIを用意して、これまでより簡単に設定できるようになっている。

それぞれの機能のユーザーインターフェイスについて紹介しておく。

まず、詳細なパスワードポリシーは[Active Directory管理センター]から[System]-[Password Settings Container]を開き、パスワード設定オブジェクトを新規作成する。画面1のパスワード設定オブジェクトの中では、パスワードポリシーに関する各種設定と共に、ポリシーを誰に適用するかを画面1の[直接の適用先]部分で指定する。

画面1 
画面1●パスワード設定オブジェクトの新規作成画面

パスワード設定オブジェクトのユーザーインターフェイスはWindows Server 2008の機能レベルから利用可能である。

Active Directoryのごみ箱は[Active Directory管理センター]からドメイン名をクリックし、タスクペインから[ごみ箱の有効化]をクリックする(画面2)。

画面2 
画面2●Active Directory管理センターから[ごみ箱の有効化]を設定している様子

Active Directoryで削除したユーザー等のオブジェクトは、ドメインのDeleted Objectコンテナに保存される(画面3)。オブジェクトを右クリックして[復元]をクリックすれば、もともと保存されていたOUに復元される。画面3で[復元先]を選択すれば、任意のOUに復元することも可能だ。

画面3 
画面3●オブジェクトの復元はActive Directory管理センターのDeleted Objectコンテナから行う

Active Directoryのごみ箱機能のユーザーインターフェイスはWindows Server 2008 R2の機能レベルから利用可能である。

変更点その3:PowerShellコマンドレットの実行履歴の確認

Active Directory管理センターで行った操作は、内部的にPowerShellのコマンドレットに変換され、処理が行われていたが、Windows Server 2012ではActive Directory管理センターで行った操作をPowerShellコマンドレットとして確認できるようになった。PowerShellを利用してActive Directoryの操作をスクリプト化したいのだが、どうやってPowerShellのコマンドレットを書けばよいか?ということに悩むときにはお勧めである。

Active Directory管理センターから画面下部の[Windows PowerShell履歴]を展開すると、画面上で行われたActive Directoryに関わる操作がすべてPowerShellコマンドレットとなって表示される。

画面4 
画面4●GUIでユーザーを作成した後のWindows PowerShell履歴。ユーザーを作成する操作は1つの画面で行えるが、同様のことをPowerShellから行うと5つのコマンドレットを実行しなければならないことがわかる。

■変更点その4:Active Directory用PowerShellコマンドレットの拡張

Active Directory用PowerShellコマンドレットはWindows Server 2008 R2から提供開始されたが、Windows Server 2012では利用可能なコマンドレットの数が増えた。具体的にはドメインコントローラー間の複製に関する機能(GUIでいうと「Active Directoryサイトとサービス」に関連する機能)が新しくコマンドレットで用意されている。

[Windows PowerShell用のActive Directoryモジュール]管理ツールを開くと、以下のようなコマンドレットが新しく利用できる。

・ドメインコントローラー間の複製

ドメインコントローラーsrv01からsrv02にexample.comドメインの複製を実行

Sync-ADObject “DC=example,DC=com” srv01 srv02

・複製エラーの確認

srv01から複製エラーを表すデータを表示

Get-ADReplicationFailure -Target srv01

その他にもさまざまなコマンドレットが利用可能なので、詳細については次回以降で改めて紹介する予定である。

Windows Server 2012のActive Directoryを利用する前に….

ここまでの変更点からもわかるように、[Active Directoryユーザーとコンピューター]ではなく、[Active Directory管理センター]を利用する機能が多い。今後、私たちがWindows Server 2012を利用することになった場合、今まで以上にActive Directory管理センターを利用する機会が増えることになるので、今のうちからWindows Server 2008 R2にあるActive Directory管理センターを利用して、Active Directory管理センターそのもののユーザーインターフェイスに慣れておくと良いだろう。

次回はActive Directoryを実装するときに利用できる新しい機能や変更点を中心に解説する予定である。