(Mark Minasi)

 Active Directory(AD)は,すごいディレクトリ・サービスだが,2つ以上のドメインに所属するようなオブジェクトを作ろうとすると,困ったことになる。

 私がコンサルティングしている顧客の1つに,大学と提携している研究組織がある。この顧客は研究組織と大学の2つのドメインを持ち,ユーザーは研究者か教職員である。それで,研究組織ドメインのIT担当は研究者のユーザーのパスワードを変更でき,大学ドメインのIT担当は大学教職員のユーザーのパスワードを変更できる(これらは2つの別々のITグループである)。

2つのドメインに同時に所属するユーザーを
どうやって管理するか

 この状態はADを配置する方法としてはクラシックな例だ。1つのITグループがあなたのユーザーをサポートし,もう1つのITグループが別のユーザー集団をサポートするのなら,異なったドメインまたは組織単位(OU)に,別々のユーザー・グループを作ればよい。しかし,今回の場合は,何人かの研究者がたまたま教職員でもあるのだ。

 顧客としては,教職員でも研究者でもある人々が所属する小グループが,研究者を管理するIT担当と教職員を管理するIT担当の両方からサポートされるようにしたいと考えた。例えば,両方のドメインに属するメンバーは,研究者担当と教職員担当のどちらのヘルプデスクに電話をしても,パスワードをリセットするように頼めるようにしたい(パスワードのリセットは小さな問題だが,あくまで一例である)。

 ADに詳しい技術者がこの話を聞いたとしたら「ちぇっ,俺ならうまく解決できるぜ。特別なグループを作ればいいんだ」というだろう。それは確かに正しい。この特殊な問題は「Spackle」(訳注:速乾性のしっくいの商標名)のテクニックを使えば解決できるはずだ。

 ADでは,あるドメインに所属するユーザー・アカウントの委任パーミッションを手作業で変更すれば,他のドメインに属する管理者に対してそのユーザー・アカウントを変更できる権限を与えられる。両方のドメインに所属させたい人のユーザー・グループ「dual domain people」を作って,そのグループの全員が委任のパーミッションを持つようにするスクリプトを作ってもよい。しかし,どちらの方法を使っても,長い目で見ればさらにたくさんの管理問題を引き起こすことになる。

二重国籍問題を
「ADショートカット」で解決できないか

 どうすれば,ADで簡単に「二重国籍」を持つユーザーを作れるようになるだろうか。「ADショートカット」という考えはどうだろうか。ファイルやフォルダに対するショートカットという概念はよく知っている。ショートカットを使えば,例えばCドライブとDドライブの両方に同じファイルまたはフォルダの存在を見せることができる。

 では,前述したクライアントの問題を,ADショートカットでどう解決できるかを考えていただきたい。まず,教職員ドメインで研究者でもあるメンバー全員を選択してコピーを選ぶだろう。それから,研究者ドメインを右クリックしてショーカットの作成を選ぶ。すると研究者ドメインの中に教職員全員のショーカットができて,研究者のアカウントを管理できる人はだれでも教職員のメンバーのアカウントも管理できるようになるはずだ。

 ADのショートカットは,もう1つの大きな欠点もカバーできるはずだ。OUはドメインの管理負荷を小分けにする機能だが,1つの視点に沿って組織を分割する場合にしか役に立たない。例えば,地理的に別々な場所ごとに違うITグループを抱えている会社では,ADを使ってニューヨークとロサンゼルスとシャルロットのOUを簡単に作って,それぞれのITグループにその領域内だけを管理させる。同様に,その会社のIT部門を業務部門に合わせて分割することもできるはずだ。例えば,会社のエンジニアリング,製造,経理といったグループごとに個別のITサポート・グループを持つようにできる。どちらのケースでもOU群とADのその時点での委任構成はうまく働くだろう。

 しかし,複数の視点でその組織を分割するような,地理的にも業務面でもバラバラのユニットごとに異なるITサポート・グループに担当させたい場合はどうだろう。残念ながら,そのようなケースはADではうまく扱えないのだ。

 対処する唯一の方法は,ある視点で分割したトップレベルのOUに,すべてのサブレベルの集合を入れた形で作るという方法だが,これは恐ろしく莫大な数のOUを作ることになる。例えば,ある会社が4つの事業部門と5つの地理的な区域を抱えているとしよう。その場合,この会社は最低でも24のOUが必要になる。4つの事業部門のトップレベルOUに加え,それらの各OU内に5つの地理的なOUを作ることになるからだ。

 さらに悪いことに,この第2レベルのOUをまとめて管理できない。例えば,トップレベルのOU群を地理的なエリアにして,第2レベルのOUを事業部門で分けた場合に,特定の事業部門に結び付けられたすべての第2レベルのOUに対して,一括して変更を加える簡単な方法はない。

 もし,各トップレベルOU内に法務部門の第2レベルOUがあるとして,会社内の法務部門のOU全部に共通の変更をしたい場合があったとしても,地理的に分かれている各OUに対して個別に変更しなくてはならず,ミスの原因となる。

 もし,OUやその中身についてショートカットを作れるようになれば,多少は便利になるかもしれない。例えば,各業務と場所のユニットの組み合わせごとに1つのOUを作らなければならないのはいっしょだが,それらのOUのショートカットを他のOUのフォルダ内に作れる。最上位のレベルに場所ごとユニットを持つOUの階層と,業務のユニットを持つOUの階層の両方をもつようなAD環境が作れる。Longhornでこんな感じのことができると期待すべきだろうか。私は難しいと思う。しかし,この概念はかなりパワフルだ。いつかはきっとできるようになると期待したい。