2008ではActive Directoryの概念は変わらず大きな変化もありませんが,細かいところに手が届いたという印象を受ける新機能がいろいろあります。
読み取り専用ドメインコントローラ,ドメイン単位でしか設定できなかったパスワードポリシーの改善,日本語環境にはうれしい「ふりがな」機能など,「こうしてほしかった……」という思いが実現しています。順にご紹介していきましょう。
2008でActive Directoryと連携するようになった機能
2003までの「Active Directory」のサービスだけではなく,2008では他のさまざまなコンポーネントもActive Directoryと連携するようになりました。具体的には「Active Directory」という看板をつけたコンポーネントが合計5つ用意されています。従来の「Active Directory」は「Active Directoryドメインサービス(AD DS)」という名称となりました。
- ・Active Directoryドメインサービス(AD DS)
- 2003までのいわゆるActive Directoryのこと。セキュリティ性や柔軟性が強化されています。
- ・Active Directory証明書サービス(AD CS)
- 2003までの証明書サービスの後継版。特にエンタープライズ環境向けに機能が強化されました。
- ・Active Directoryフェデレーションサービス(AD FS)
- 2003のR2から提供されていたサービスの後継版。組織の違いを超えて認証の仕組みを連携します。
- ・Active Directoryライトウェイトディレクトリサービス(AD LDS)
- 2003までの「Active Directory Application Mode(AD AM)」の後継版。アプリケーション用の認証サービス。
- ・Active Directory Rights Management Services(AD RMS)
- Windows Rights Managements Services(RMS)をActive Directoryと統合したもの。ドキュメントの権限管理やコンテンツ保護などが実現できます。
RODCの役割と使い方
2008でのAD DSで目玉ともいえる新機能が,読み取り専用ドメインコントローラ(RODC)です。読み取り専用と聞くと,NT時代のBDCを思い出す方もいらっしゃるかもしれません。
そもそもRODCが生まれた背景として,ブランチオフィス(支店,支社)展開があります。本社のドメインコントローラ(DC)は厳重に管理されサーバルームに隔離されている場合が多いですが,ブランチオフィスではむき出しにサーバが置かれてしまっており,盗難などの危険が格段に高い場合が多く見受けられます。そしてそのマシンが盗まれてしまったことによって,全社の情報が漏洩してしまうという事態に発展する危険もあります。
そこで,ブランチオフィスにはRODCを配置し,支店ユーザからのログオンなどの参照のみを処理させます。書き込みをさせないことによって,ユーザ削除や誤動作による間違った情報が本社のDCへレプリケートされてしまうといったことを防ぐことが可能となり,セキュリティ性を高めることが可能です。またこのRODCはServer Core上にインストールできるため,CoreのマシンをBitLockerで暗号化するといったさまざまな技術を組み合わせて,よりセキュアな状態を維持できます。
RODCのインストールは非常に簡単で,通常のDCと同じ「DCPROMO」を実行します。ウィザード内で「読み取り専用ドメインコントローラ」にチェックを入れることでRODCとなります。もちろん,ドメイン内の1台目のDCをRODCにすることはできません。
図1 DCをRODC(読み取り専用)としてインストール
RODCを構成するにはいくつかの条件があります。
まずフォレストとドメインの機能レベルがWindows Server 2003以上となります。さらにそのなかで少なくとも1台は2008を実行しているドメインコトローラである必要があります。この2008がRODCの複製パートナーとなります。
また,同一サイト内の同一ドメインの中ではRODCは1台のみがサポートされています。複数のRODCの導入は,RODC同士の情報を共有しないのでサポートされていません。
図2 RODCの概要
RODCのレプリケーションは,書き込み可能な通常のDCからRODCへの一方向の複製となり,RODCディレクトリへの変更はできません。「Active Directoryユーザーとコンピュータ」などの管理ツールでユーザのプロパティを見ても,RODC上ではグレーアウトし,変更できない状態であるのがわかります。
また,RODCは資格情報(パスワード)をキャッシュします。ユーザの最初のログオンや,パスワード変更後のログオンの際にユーザのパスワードキャッシュはRODCに保存されます。この保存の対象となるユーザを管理者は選択することができるため,ブランチオフィスのメンバだけをキャッシュ保存の対象にすることができます。
またパスワードキャッシュに関する組み込みグループも用意されており,このグループにユーザやグループを追加することで,RODCでの資格情報キャッシュを許可するか,拒否するかを実装できます。
- ・Allowed RODC Password Replication Group
- 資格情報(パスワード)キャッシュ許可用グループ。既定ではメンバが含まれていません。
- ・Denied RODC Password Replication Group
- 資格情報(パスワード)キャッシュ拒否用グループ。既定でDomain AdminsやEnterprise Admins,Enterprise Domain Controllersなどのグループが登録されています。
図3 RODCパスワードキャッシュ利用ポリシーのグループ設定ダイアログ
図4 Denied RODC Password Replication Groupにデフォルトで含まれるグループ
また,あってはならないことですが,RODCが盗難にあってしまった場合も,パスワード情報の漏洩が全社的に影響を与えることはありません。盗難後にRODCを「Active Directory ユーザーとコンピュータ」から削除した場合には,キャッシュしているユーザやコンピュータアカウントのパスワードはリセットされるため,不正なログインを防ぐことが可能となっています。
図5 RODCを削除する場合に出るダイアログ
