PR

 「Windows Server 2008」では,「Active Directory」とその主要機能であるグループ・ポリシーは,どのように強化されるのだろうか?米Microsoftが今週開催した「TechEd 2007」での講演を元に,2007年内に出荷されるWindows Server 2008におけるこれらの機能強化点を確認しよう。

 Active Directoryにとってグループ・ポリシーは,「キラー・アプリケーション」と言ってもよい存在である。企業ユーザーがActive Directoryを導入する最大の目的は,グループ・ポリシーを使ったWindowsクライアント管理であったりする。クライアント管理という観点で見たグループ・ポリシーの機能は,Windows Server 2008よりも一足早く,「Windows Vista」で大きく強化されている。

 例えばWindows Vistaでは,グループ・ポリシーの設定項目が新たに800個以上追加され,「外部接続ストレージの利用を禁止する」といったことが可能になった。このほか,(1)グループ・ポリシー・テンプレート・ファイルの形式が独自バイナリ形式からXML形式に変更された,(2)1台のローカル・マシンに複数のグループ・ポリシーを適用できるようになった,(3)どのようなネットワークに接続されているか(社内か社外かなど)を検出してネットワーク環境に適したポリシーを適用できるようになった,(4)従来Win logonプロセス上で動作していたグループ・ポリシーを単独のプロセスとして動作させるようにした---などの変更があった。

 Windows Server 2008では,もっぱらグループ・ポリシーを管理するツールの機能が強化されている。例えば,Windows Server 2008のグループ・ポリシー・エディタでは,強力な検索・フィルタリング機能が搭載された。Windows Vistaでグループ・ポリシーの設定項目が800個以上追加されたことから,グループ・ポリシーの設定項目総数は,2000個を超えてしまった。これほど大量の設定項目は,もはや従来のツリー上の管理ツールだけでは,把握不可能である。そこでWindows Server 2008では,テキストによってグループ・ポリシーの名称や説明文を検索して,自分が必要としている設定項目を探せるようにした。

 グループ・ポリシーの各設定項目には,管理者が自由にコメントを記入できるようになり,さらにこのコメントも検索できるようになる。特定の設定項目に対して,特徴的なコメントを入れておき,それをキーに設定項目を検索機能から探し出したりできるようになったわけである。

シナリオに沿ってグループ・ポリシーを設定

 さらにWindows Server 2008には,「Starter GPO」と呼ばれる,グループ・ポリシー設計を支援する機能も搭載される。これは,Microsoftがシナリオ別に推奨するグループ・ポリシー設定を,ユーザーに教えるものだ。シナリオに基づいた推奨設定は,Microsoftが随時更新して,ユーザーがダウンロードできるようにするという。

 またMicrosoftは,同社が買収した米DesktopStandardのグループ・ポリシー管理支援ツール「PolicyMaker」の機能(写真)も,将来的にWindows Serverに取り込む予定である。PolicyMakerは,Microsoftの標準ツールよりも使い勝手が優れたグループ・ポリシー管理ツールで,グループ・ポリシー設定を機能別に細かく分類したり,OSのバージョンによって設定可能なグループ・ポリシーを絞り込んだりできる。

写真:使い勝手が優れた「PolicyMaker」の機能も,Windows標準になる見込み   写真:使い勝手が優れた「PolicyMaker」の機能も,Windows標準になる見込み

[画像のクリックで拡大表示]

 買収したDesktopStandardのツールに関しては,「GPOVault」というオフラインでグループ・ポリシーの編集などができるツールを,2007年7月に「Microsoft Desktop Optimization Pack(MDOP)」というツール群の一部として,Windows Serverなどのソフトウエア・アシュアランスを購入したユーザーに対してのみ提供する予定でもある。

Active Directoryの運用がよりセキュアに

 Windows Server 2008における,Active Directory最大の変更点は,「Read-Only Domain Controller」というモードの追加である。Read-Only Domain Controllerは,システム管理者が常駐できない遠隔拠点に設置することを想定した,ドメイン・コントローラの新しいモードだ。

 Windows Server 2003までは,Active Directoryのドメイン・コントローラはマルチ・マスターであった。つまり,ドメイン・コントローラが複数存在した場合,それらは同列であり,あるドメイン・コントローラが乗っ取られると,ドメイン全体が乗っ取られる危険性があった。

 Read-Only Domain Controllerは,ドメイン・コントローラ間のレプリケーションにおいて「リードオンリー」になっているドメイン・コントローラという意味である。ユーザーの認証などは可能だが,格納されているディレクトリ・データは,他のドメイン・コントローラからコピーされたものであり,Read-Only Domain Controller内のデータを書き換えたり,書き換えたデータをほかのドメイン・コントローラに移したりはできない。

 またドメイン・コントローラのメンテナンスには,ドメインの管理者権限が必要であるが,Read-Only Domain Controllerのメンテナンスは,Read-Only Domain Controllerのローカルの管理者権限で可能であり,ドメインの管理者権限は必要ではない。つまり,遠隔拠点にいる社員にドメインの管理者権限を与えなくても,ローカルの管理者パスワードだけ教えておけば,Read-Only Domain Controllerのメンテナンスを依頼できるわけである。

ドメイン・コントローラの再起動は大幅減少

 もっとも,Read-Only Domain Controllerのメンテナンス自体が,そう発生しない可能性がある。まずWindows Server 2008では,「サーバーコア」というサーバーの機能を限定したインストール設定が可能である。例えば,ドメイン・コントローラとしてのサービスだけが有効で,DHCPやDNS,ファイル/プリント・サーバーといった他のサービスが無効になっているサーバー構成が,サーバーコアによって可能になっているのだ。サーバーにインストールされているサービスが少なければ,パッチを適用する回数も少なくなり,メンテナンスや再起動の回数も減る。

 さらにWindows Server 2008では,Active Directoryのサービスに対してパッチを適用する際には,OSではなくActive Directoryのサービスの再起動だけが必要である。サーバーコアで運用するActive Directoryでは,OSを再起動する回数自体が非常に少なくなると見られているのだ。

正式名称が長くなった

 最後に,ささいな変更点を紹介しよう。Windows Server 2008では,Active Directoryの正式名称が「Active Directory Domain Services」に変更される。また,単体アプリケーション用のディレクトリであった「Active Directory Application Mode(ADAM)」の名称も,「Active Directory Lightweight Directory Services」に変更されるほか,「Windows Rights Management Services(RMS)」や「Windows Certificate Services」といった,これまで「Windows」を冠していた各種サービスの名称も,「Active Directory RMS」や「Active Directory Certificate Services」に変更される。

 Microsoftは製品のバージョンアップを行うたびに,名称を長くする傾向がある。また名称が長くなると,技術文書の中で同社固有の略語が頻繁に使われるようにもなりがちだ。今後は同社の技術文書で,「AD DS」(ADとDSの中に半角スペースを入れて略していることが多い)という単語を目にすることが,多くなるのだろう。