62 日経Windowsプロ 2004年8月（no.89）

Active Directoryの構築は着実に

進んでいる。Windows 2000 Server

から採用されたこのディレクトリ・サ

ービスは，Windows Server 2003にも

引き継がれさらに強化された。Win-

dows NT Serverから新しいOSへの移

行が進むにつれ，Active Directory

のシステムは増えている。

Active DirectoryはWindowsシス

テムの要である。この機能は，複数の

コンピュータを「ドメイン」という単位

でまとめることで，数々の管理作業を

効率化することを目指している。出発

点はWindows NTのドメインの仕組

みである。NTのドメインには，ログ

オンやアクセス許可の設定においてド

メイン内で共通に利用できるアカウン

トが登録される。Active Directory

のドメインでは，それが拡張され，共

有フォルダや共有プリンタのような情

報まで登録し，クライアントから検索

可能になっている。

さらにアカウント関係ではグループ

の種類が増え，より柔軟な利用が可能

になった。例えば，幅広い種類のユー

ザーやグループを所属させられるグル

ープが登場している。グループの中に

グループを所属させる場合の制限もか

なり緩和された。

Active Directoryの強力な機能の1

つとしてグループ・ポリシーも強調し

ておきたい。これは管理者が指示した

設定をドメイン内の全コンピュータに

自動設定する機能で，NTドメインに

あったシステム・ポリシーを大幅に強

化したものだ。ドメイン内の組織単位

（OU）という管理単位に対してグルー

プ・ポリシーを適用することで，ドメ

イン内のユーザーやコンピュータを一

括制御できるようになっている。

一方，こうした多彩な機能に対応で

きるよう，Windows管理者の技術レ

トラブル回避や早期復旧に効く

Active Directory運用の鉄則

特集2トラブル回避や早期復旧に効く

Active Directory運用の鉄則

Active DirectoryはWindowsで構築したシステムの要となる機能である。一度トラブルが起こると影響が広い範囲に及び，トラブル対策も場合により非常に複雑になる。しかし，日ごろの運用において一定レベルの管理を行っていれば恐れることはない。トラブル回避や早期復旧に役立つ運用管理の鉄則を基本知識とともに紹介する。

（大塚商会　テクニカルソリューションセンター　MSソリューショングループ＝板垣智和，田中理絵，野口靖貴，田端健二）

ドメイン，DNS，OU，FSMO

日経Windowsプロ 2004年8月（no.89）63

ベルも高いものが要求されている。

高度な機能は新しい知識を要求

例えば，Active DirectoryはDNS

（ドメイン・ネーム・システム）の仕組み

に全面的に依存しており，DNSの正

常な稼働なくして正しく運用すること

は難しい。

Windowsには丁寧なウィザードが

付いているし，互換性維持のため，

DNSを利用しなくても動作する機能

が多く残っているがこれが油断につな

がる。中途半端な設定でもある程度は

動作するので，Active Directoryの

一部機能が正常に機能しなくなった

り，動作に時間がかかったりする複雑

なトラブルになるのだ。一見すると

DNSが原因とは思えないので，知識が

なければ解決に非常に時間がかかる。

グループの中に，別のグループやユ

ーザーを入れるネスト機能も安易な利

用は禁物だ。グループの中にグループ

を何階層も重ねて入れても，その様子

を一覧するツールは標準機能としては

用意されていない。1つのグループを

削除するとアクセス許可などで予想外

の影響が生じる可能性がある。

しかし，Active Directoryで起こ

るトラブルは，予備知識があれば回避

できたり，早期に復旧できたりするも

のがほとんどである。前述のDNSの

問題にしても，頻繁にトラブルが起こ

る原因となる部分は限られている。そ

こを押さえておけば，トラブルが起き

てもあわてる必要はない。そこで，本

特集では，こうしたActive Directo-

ry運用管理のポイントを6つの鉄則に

まとめた。記事では鉄則とともにそれ

が重要な理由をActive Directoryの

基礎知識から解説している。仕組みか

ら理解することで応用が利くようにな

るのでぜひ参考にしてほしい。

イラスト：今竹智

Active Directoryではドメイン関

連機能の名前解決に，NTドメインで

用いていたNetBIOS＊名解決ではな

く，DNSによるホスト名解決を基本

的に採用している。そのため，Active

DirectoryではDNSに障害が出ると多

くの主要機能に影響する場合がある。

例えば，Active Directoryドメイ

ン内のコンピュータは，認証などを行

うドメイン・コントローラ（DC）という

役割のマシンがどれかという情報を

DNSサーバーにアクセスして得る。ま

た，DCはアカウント情報の複製など

で他のDCと接続する場合，DNSサー

バーから接続先DCのサーバー名を取

得する。DNSはサーバー関係の管理

ツールを実行する際にも利用される。

こうした機能が正常に動作しなかっ

たり，処理に時間がかかったりすると

きは，DNSサーバーやDNS関係の設

定に問題がないか調べてほしい。

トラブル時にまず点検するのはDNS

サーバーのレコード情報である。

Active DirectoryのDNSサーバーは

ホスト名からIPアドレスを解決するA

レコードに加え，SRVレコード＊と呼

ばれる拡張レコードを利用する。SRV

レコードはDCの提供するサービスを

示すとともに，サービスを提供するホ

スト名の名前解決を実現している。

DNSサーバーのSRVレコードを調査

従って，Active Directoryを正常

に動作させるには，DNSサーバーに

DCのAレコードおよびSRVレコード

が正しく登録されている必要がある。

DNSのレコードは標準添付のDNS管

理ツールで調べよう（図1）。Active

D i r e c t o ryドメイン名（図1では

nikkeibp.local）の下の「_msdcs」のツ

リーの下部にDCのSRVレコードがあ

るかがとりわけ重要である。DCの

SRVレコードがないときは登録が必

要になる。

SRVレコードは複雑な構成になっ

ている。そのため，Active Directory

では，ダイナミックDNSと呼ばれる

レコードの動的更新の機能を利用し，

コンピュータの起動時に自動的に登録

することが基本である。

まず，Active Directory用の全

DNSサーバーで動的更新機能が有効

であることを確認する。Windows

Server添付のDNSサーバーならDNS

管理ツールでゾーンのプロパティを開

いて確認できる。［動的更新］の欄を

［なし］以外にする必要がある。

次にDNSクライアント機能で動的

更新が有効か調べる。DCとなってい

るサーバーのTCP/IPプロトコルのプ

ロパティ画面から［詳細設定］ボタンを

押して開く画面の［DNS］タブを表示

させよう。そこで①［DNSサーバーア

64 日経Windowsプロ 2004年8月（no.89）

1トラブル時はDNSの設定を疑え

図1●Active Directory用のDNSサーバーには独特の情報が記録されるDNSサーバーでスタート・メニューの［管理ツール］－［DNS］を実行すると，DNSサーバーの管理画面が現れる。SRV（サービス）という種類のレコードによって，ドメイン・コントローラの情報が記録されている。

1

2

図2●TCP/IPプロトコルのプロパティにあるDNSの設定を調べる調べる項目は，①DNSサーバーのIPアドレスがActive Directory用である，②［この接続のアドレスをDNSに登録する］がチェックされている――の2つ。ドメイン内の全マシンで調べる。

ドレス］にActive Directory用のDNS

サーバーのIPアドレスが登録されてい

る，②［この接続のアドレスをDNSに

登録する］が有効である――の2つを

確認する（図2）。

クライアントPCやメンバー・サーバ

ーで「グループ・ポリシーが適用されな

い」「ドメインへのログオンが遅い」な

どの現象が発生する場合も同様にそれ

らのコンピュータが参照するDNSサ

ーバーの設定を確認しよう。特に

Active Directory用のDNSサーバー

を新規導入した場合は，クライアント

側のDNSサーバーの設定が古いもの

になっていることが多い。

ドメインのクライアントPCやメン

バー・サーバーも，Active Directory

ドメインへログオンする際，DCの一

覧をDNSサーバーから受け取りドメ

インのログオンなどを行う。このため

Windows 2000 Professional以降のク

ライアントは，参照するDNSサーバ

ーとしてActive Directory用のもの

を指定する必要がある。

クライアントPCでは，優先DNSサ

ーバーのIPアドレスをDHCP（動的ホ

スト構成プロトコル）で設定すること

もよく行われる。その場合は，DHCP

サーバーの設定を確認する。ただし，

PCのユーザーが手動で優先DNSを

設定すると，そちらが有効になる。

DHCP環境でも，その点を考慮してお

きたい。

注意したいのは，ブロードキャスト

やLMHOSTSなどでNetBIOS名解決

が可能だと，ドメインへの参加やログ

オンができてしまうことだ。ただし，

アクセス許可の設定などでドメイン・

ユーザーの検索操作を行うと，DNS

によるLDAP＊サーバー情報の取得が

必要となり，エラーになる。ちなみに

LMHOSTSを利用したログオンでは，

DNSの問い合わせがタイムアウトす

るのを待つため，非常に時間がかかる

ことが多い。

複数DNSの指定では使用順に注意

TCP/IPのプロパティでは，DNSサ

ーバーが使用順に複数設定できる。こ

の順序にも注意したい。

DNSでは最初に参照したDNSサー

バーから必要な情報が取得できない

と，すぐ問い合わせを終了してしまう。

次のDNSサーバーに問い合わせるの

は，最初のDNSサーバーが停止中な

どまったく応答がない場合だけだ。

このため社内にインターネット用

DNSサーバーとActive Directoryの

DNSサーバーが併設されている場合

は，［優先DNSサーバー］として

Active DirectoryのDNSサーバーの

IPアドレスを指定する。

クライアントPCにActive Directo-

ryのDNSとインターネットのDNSの

両方を参照させたい場合は，DNSサ

ーバー側の設定を変更して対応する方

法がある。Active DirectoryのDNS

サーバーで「フォワーダ＊」を有効にし

た上，インターネットDNSのIPアド

レスを設定しよう（図3）。これにより

Active Directory用DNSで解決でき

ない問い合わせがインターネット用

DNSに転送され，クライアントから

は両方のDNSサーバーのレコードを

参照可能になる。

特集 2Active Directory運用の鉄則

＊NetBIOSNetwork Basic Input/Output Sys-tem。米IBM社が開発したパソコンLAN用のプロトコルとAPI。Windowsでは長らく16バイトのNetBIOS名で通信相手となるコンピュータを識別しており，互換性のため現在も使われている。

＊SRVレコード特定のネットワーク・サービスを提供するホスト名を管理するための標準規格。Active Directoryでは，DCが提供する認証や検索などサービスとホスト名やポート番号などの情報を記録するために使われる。

＊LDAPLightweight Directory Access Pro-tocol。ISO標準のX.500を簡易化したディレクトリ・アクセスのためのプロトコル。Active Directoryのドメイン・コントローラはLDAPサーバーになっている。

＊フォワーダクライアントから対処できない検索要求がきたとき，別のDNSサーバーに要求を転送するDNSの機能。

日経Windowsプロ 2004年8月（no.89）65

DNSクライアント�

インターネット用DNS

フォワーダ設定�

Active�Directory用�DNS

DNSサーバーのフォワーダ設定画面�

インターネット用DNSの�IPアドレス�

図3●DNS管理ツールで見たDNSサーバーのフォワーダ設定クライアントにActive DirectoryのDNSとインターネットのDNSの両方にアクセスさせるときは，Active Direc-toryのDNSサーバーでフォワードの設定を有効にして，インターネットのDNSサーバーへ名前解決要求を転送する方法がある。

ユーザー・アカウントを誤って削除

してしまい，同じ名前で再作成した

が，これまで利用していたデスクトッ

プ画面が表示されない，または，共有

フォルダやホーム・ディレクトリ＊に

アクセスできないという経験はないだ

ろうか？Windows NT系列のOSでは

ユーザーやグループの作成時に「SID

（セキュリティ識別子）」と呼ばれるア

カウント固有の番号が割り当てられ

る。アカウントを一度削除すると，同

じ名前で作成し直したとしても，新し

いユーザーやグループには別のSIDが

割り当てられる。そのため，削除前と

は全く異なるユーザーやグループと判

断されてしまう。

SIDは，ユーザーやグループ固有の

番号，リビジョン，アカウント種別，

発行元ドメインなどの情報によって構

成されている（図1）。アクセス許可＊の

設定をはじめ，Windows NT系列の

OSでは，ユーザーやグループの名前

ではなく，SIDによって，アカウント

を特定する。

SIDはアカウント固有の番号

SIDは，ドメイン内はもちろん，他

のドメインのものと競合することなく，

常に一意の番号がアカウントに割り当

てられる。同一ドメイン内のアカウン

トではドメイン識別子までが同一に保

たれるが，相対識別子（RID）という部

分が変わるようになっている。ドメイ

ンが違うとドメイン識別子の部分も異

なる仕組みだ。

過去に発行したSIDが再利用される

ことはない。アクセス許可の設定はロ

グオン名＊や表示名ではなく，SIDで

行われている。SIDが再利用される

と，過去に別人が作成したフォルダな

どにアクセスできる恐れがある。

アクセス許可リストや，ユーザー・

プロファイル＊の一覧で，「不明なアカ

ウント」という表示を見たことのある

人もいるだろう（図2）。アクセス許可

を与えたユーザーを削除しても，アク

セス許可などの設定までは削除されな

いため，こうした「ゴミ情報」が残る。

ここで「不明なアカウント」の後ろに

記載されている「S-1-5-21-xxxxxxxx

xx-・・・」が，SIDである。ディレクト

リの中でSIDに対応するアカウント名

に変換できない場合，「不明なアカウ

ント」と表示される。前述のようにユ

ーザーを作成し直しても，以前とは別

のSIDが割り当てられるため，「不明

なアカウント」が，ユーザー名表記に

戻ることはない。

一度削除したユーザー・アカウント

を復元するには，バックアップ・デー

タから情報をリストアしなければなら

ず，非常に厄介だ。削除前に，削除に

よる影響を洗い出し，次のような方法

で対応できないか検討しよう。

①削除前に「無効」期間を設ける

利用しなくなったユーザーのアカウ

66 日経Windowsプロ 2004年8月（no.89）

2アカウントの削除は慎重に

S-1-5-21-1906921174-3818953813-4267461358-1009

リビジョン・レベルや�アカウント種別�

�

「ドメイン識別子」��ドメインを識別する番号�

�

「相対識別子（RID）」��アカウント自身の番号�

図1●セキュリティ識別子（SID）の構成ユーザーやグループ固有の番号，リビジョン，アカウント種別，発行元ドメインなどの情報によって構成されている。

不明なアカウント��ユーザーやグループを削除してもアクセス許可リストからはその情報は削除されず「ゴミ情報」が残る�

図2●ユーザーやグループを削除したときアクセス許可の設定に残る「不明なアカウント」アクセス許可を与えられたユーザーを削除しても，アクセス許可の設定までは削除されないため，「不明なアカウント」という「ゴミ情報」が残る。

ントを放置することは，セキュリティ

上好ましくない。すぐ実施したいの

は，アカウントの無効化である（図3）。

アカウントを無効にすると，そのユー

ザー名を利用してログオンができなく

なるが，アクセス許可などの設定は維

持される。無効期間中に，そのユーザ

ーからドメイン内のサーバーからファ

イルを取り出したいなどの要求があっ

たら，再度有効化して対応可能だ。

アカウント無効化の操作は「Active

Directoryユーザーとコンピュータ」

というアカウント管理ツールで行う。

ユーザーの一覧を表示したら，該当ユ

ーザーをマウスで右クリックして表示

されるメニューで［アカウントを無効

化する］を実行する。

②ユーザー名を変更する

ユーザー・ログオン名＊の命名規則を

変更したり，結婚などにより社員の姓

を変更したりする場合には，「名前の

変更」という機能で対応できる。

山田花子さんが「yamada」というロ

グオン名でシステムにログオンしてい

たとしよう。これを高橋花子さんが

「takahashi」でログオンするように変

更可能だ。利用するツールは前述の

「Active Directoryユーザーとコンピュ

ータ」である。ユーザーの一覧を表示

したら，「山田花子」の上でマウスを右

クリックして現れたメニューで［名前

の変更］を選択して実行する。後は表

示されたダイアログで，新しい姓・名

およびユーザー・ログオン名を指定す

ればよい。

ユーザーの表示名，姓・名，ログオ

ン名を変更してもSIDは変わらない。

名前を変更したタイミングで，アクセ

ス許可リストやグループ・ポリシーな

ど，すべての設定に新しい名前が自動

的に反映される（図4）。

特集 2Active Directory運用の鉄則

＊ホーム・ディレクトリログオン・ユーザー別に用意される個人用フォルダ。コマンド・プロンプトを実行するとデフォルトでそのディレクトリに飛ぶ。ホーム・フォルダとも呼ばれる。

＊アクセス許可ファイルやフォルダに対してユーザーごとに読み取りのみ，書き込みも可能などを設定する機能。設定はアクセス許可リストとして保存されている。

＊ユーザー・プロファイルログオン・ユーザー別にデスクトップ環境を用意する機能。デスクトップ上のファイルやスタート・メニューの内容およびそれらに関する設定などをユーザー別に保存することで実現されている。

＊ユーザー・ログオン名ログオンのときに［ユーザー名］欄に入力する名前。表示名は，ディレクトリの一覧などで表示されるもの。ログオン名と表示名は別 に々付けられる。

日経Windowsプロ 2004年8月（no.89）67

Active Directoryのアカウント管理ツール�

クライアントのログオン画面�

設定後�

アカウントの無効化�

鈴木一郎�

図3●アカウントの無効化を実施したところアカウントを無効にすると，そのユーザー名を利用してログオンすることができなくなるが，アクセス許可などの設定は維持される。

Active Directoryのアカウント管理ツール�

「山田花子」さんを�「高橋花子」さんに変更�

「山田花子」さんが「高橋花子」さんに自動的に変更される�

アクセス許可の設定画面�

図4●アカウント名の変更を実施したところユーザーの表示名，姓・名，ログオン名を変更してもSIDは変わらない。名前を変更したタイミングで，アクセス許可リストやグループ・ポリシーなど，すべての設定に新しい名前が自動的に反映される。

Windows NTのころから，ユーザ

ーに対する様々なセキュリティ権限を

グループと呼ばれるオブジェクトでま

とめて管理していることをご存知の方

は多いだろう。例えば，グループを用

いてファイルに対するアクセス許可を

設定すると非常に効率的である。

ただし，Active Directoryでは組

織単位（OU）と呼ばれるオブジェクト

が追加された。グループもOUも「同

一の権限を与えるオブジェクトを一括

で管理するための器」で，それぞれの

役割が混同されがちである。必ずそれ

らの違いを理解しておきたい。

グループはOS上の様々な機能のセ

キュリティ設定に用いられる。例え

ば，ファイル/フォルダに対するアク

セス許可やプリンタの印刷権限，OS

上の操作権限などである。

一方，OUはActive Directoryのオ

ブジェクトをまとめて管理するために

使われる。例えば，管理権限を一部の

部署に委任したり，グループ・ポリシ

ーの適用範囲として利用したりする。

グループは削除してもメンバーであ

るユーザーまでは消えないが，OUを

削除すると中身のユーザーなどが消え

るという点には特に注意しよう。OU

は中身を移してから削除する。

ADのグループは使い勝手が向上

OUとの違いを理解したら，グルー

プの効果的な利用方法を覚えよう。

Active Directoryでは種類の多さか

ら利用法で迷ったり，結果が分かりに

くい複雑な使い方をしたりしがちだ。

ぜひ基本ルールを覚えてほしい。

Active Directoryのグループとし

て覚えておきたいのは，「ドメイン・ロ

ーカル・グループ」「グローバル・グル

ープ」「ユニバーサル・グループ」の3種

類である（表1）。違いは，各グループ

に所属できるユーザー/グループの種

類とグループの利用可能範囲にある。

特性に応じて使い分けたい。

注意点として，ユニバーサル・グル

ープをファイルのアクセス許可設定に

利用するには，ドメインの機能レベル＊

を「Windows 2000ネイティブ」または

「Windows Server 2003」に設定しなけ

ればならないことである（表2）。要件

を満たしている環境であれば，すぐに

でも機能レベルをアップさせることを

お勧めする。

3種類のグループを使う場合，一般

的にはアクセス許可を次のようにして

付与することが推奨される。

①ユーザー・アカウントをグローバ

ル・グループやユニバーサル・グル

ープに登録する。

②そのグループをドメイン・ローカ

ル・グループに登録する。

③ドメイン・ローカル・グループをフ

ァイルやプリンタなどのリソースの

アクセス許可に使用する。

これによりアクセス権変更時の工数

が削減される。例えば，「売り上げデ

ータ」というフォルダにアクセス権を

付ける場合を考えよう。図1のように

グループが構成されていれば，営業3

課と営業4課のユーザーをフォルダへ

アクセスさせるとき，「閲覧者」ドメイ

ン・ローカル・グループに営業3課と営

68 日経Windowsプロ 2004年8月（no.89）

3グループとOUを区別せよ

表1●Active Directoryで利用できるグループグループの種類（ドメインの機能レベルがWindows 2000ネイティブ・モード以上の場合）

参加できるユーザー／グループ 利用可能範囲

ドメイン・ローカル・グループフォレスト内のユーザー，グローバル・グループ，ユニバーサル・グループ同一ドメイン内のドメイン・ローカル・グループ

同一ドメイン内

グローバル・グループ 同一ドメイン内のユーザー，グローバル・グループ フォレスト＊全体

ユニバーサル・グループ フォレスト内のユーザー，グローバル・グループ，ユニバーサル・グループ フォレスト全体

表2●ドメインの機能レベルの種類混在可能なドメイン・コントローラのバージョン 拡張される機能

Windows 2000混在Windows NT 4.0Windows 2000Windows 2003

（既定）

Windows 2000ネイティブ Windows 2000Windows 2003

（Windows 2000 混在に加えて）セキュリティ・ユニバーサル・グループの作成セキュリティ・グループのネスト

Windows Server 2003 Windows 2003 （Windows 2000 ネイティブに加えて）ドメイン・コントローラ名の変更

業4課のグループを追加するだけで作

業が終了する。一方，営業課ごとにア

クセス権を割り当てていると，営業3

課と営業4課の各グループにアクセス

許可を設定しなければならない。設定

するグループの数が多くなるほど，工

数に差が表れる。

グループのネストは3階層まで

Active Directoryのドメイン機能

レベルを「Windows 2000ネイティブ・

モード」または「Windows Server

2003」にするとユニバーサル・グルー

プをファイルのアクセス権に利用でき

るほかに，セキュリティ・グループ＊の

ネストが柔軟に設定可能になる。ネス

トは，グループのメンバーに，別のグ

ループを登録することだ。ネストはメ

ンバー変更作業の簡略化に役立つ。

図2では，会社の部署ごとにフォル

ダが作成されており，各フォルダはそ

の部署のグループに所属するユーザー

であれば利用可能である。この場合，

グループのネスト構造を組織構造に近

い形にすると，ユーザーを1つのグル

ープに所属させるだけで複数のフォル

ダへのアクセスが許可できる。

しかし，残念ながらActive Direc-

toryには，グループのネスト構造を視

覚的に見せるツールがなく，ネスト構

造を管理者が直感的に把握しにくい。

筆者の経験であるが，グループのネス

トは3階層が限界，5階層になるとコ

ンピュータ上では管理できず，紙に記

した資料が別途必要になる。

特集 2Active Directory運用の鉄則

＊フォレスト名前空間の違うドメイン・ツリーを1つのディレクトリとして扱うためのActiveDirectoryの構成。1つ以上のActiveDirectoryドメインからなり，スキーマ（定義）やグローバル・カタログ（検索機能）を共有する。

＊ドメインの機能レベルWindows Server 2003の ActiveDirectoryドメインでは複数のバージョンのWindowsのドメイン・コントローラが混在できる。混在の程度に応じてドメインの機能レベルを設定する。ドメインのほかフォレストの機能レベルも定義されている。

＊セキュリティ・グループ複数のユーザーやグループを登録して，ファイルやフォルダなどへのアクセスを制御するなどセキュリティ設定に用いるグループ。これに対して，電子メールの配布先一覧などに利用するグループを「配布グループ」という。

日経Windowsプロ 2004年8月（no.89）69

ユーザー� グローバル・グループ�または�

ユニバーサル・グループ�

所属�

営業1課�

ドメイン・ローカル・�グループ�

アクセス許可�設定に利用する�所属�

閲覧者�

ユーザー� グローバル・グループ�または�

ユニバーサル・グループ�

所属�

営業2課�

ユーザー� グローバル・グループ�または�

ユニバーサル・グループ�

所属�

営業3課�

ユーザー� グローバル・グループ�または�

ユニバーサル・グループ�

所属�

営業4課�

サーバー�

フォルダ�

売り上げ�データ�

追加�

グループ�

営業部�

ユーザー1 グループ�

営業1係� グループ�

営業1課�

グループ�

営業2課�

グループ�

営業部�

ユーザー2 グループ�

営業2係�

営業部�

グループ�

営業1課�

営業1課�

グループ�

営業1係�

営業1係�

グループ�

営業2係�

営業2係�

図1●グループを活用した効率的なアクセス権設定方法「売り上げデータ」というフォルダにアクセス権を設定する例。営業3課と営業4課もフォルダへのアクセス権設定が必要になったとき，「閲覧者」ドメイン・ローカル・グループに営業3課と営業4課のグループを追加するだけで終了する。

図2●グループのネストを利用したアクセス権設定部署ごとにフォルダが作成されており，それぞれのフォルダはその部署に所属するユーザーであれば利用可能にしたい。この場合，グループのネスト構造を組織構造に近い形にすることによって，ユーザーを1つのグループに所属させると複数のフォルダへのアクセス許可が設定されるようにできる。

グループ・ポリシーは，ドメイン内

のコンピュータやユーザーに対して，

管理者が指定した設定を一括して適用

する機能である。クライアントのデス

クトップ環境の統一や，セキュリティ

関連の設定など，多数の設定項目が用

意されており，項目の選定には頭を悩

まされる。

管理工数の削減や，デスクトップ環

境の制御などは管理者にとって気にな

る項目ではあるが，企業にとって最も

効果的な利用方法は，セキュリティ関

連の設定だ。多くの項目を幅広く設定

すると手間がかかりすぎるが，特定の

項目に絞れば，運用面でも実用上十分

なメリットが得られる。

最優先でドメイン全体のログオン・セキュリティを強化

グループ・ポリシーのトラブルを避

ける前提として，まずサイト＊，ドメイ

ン，OUのそれぞれのレベルごとに設

定がある点を理解しておきたい（図1）。

レベルが違っても同じグループ・ポリ

シーの設定項目がある場合が多く混乱

しがちだが，それぞれは元来別なので

ある。そのため，サイトとドメインの

各レベルで同じ設定項目がある場合，

片方だけを設定すると，設定したレベ

ルのものが有効になる。一方，両方の

レベルで同じ項目を設定すると，決め

られた優先順位に従って，1つだけが

適用される仕組みだ。

では，最も優先的に検討すべきセキ

ュリティ設定はどのレベルのどの項目

だろう。それはドメイン・レベルで設

定する「アカウントポリシー」だ。「ア

カウントポリシー」は，ドメインにお

けるユーザー・アカウントのパスワー

ドの長さや有効期限，アカウント・ロ

ックアウト＊の有無など，ドメイン・ユ

ーザーのログオン・セキュリティを維

持するための重要な項目である。これ

らはドメイン・レベルだけで有効な項

目で，他では設定できない。

Active Directoryを導入すると，

「Default Domain Policy」と呼ばれる

既定のドメイン・レベルのポリシーが

設定される（図2）。Windows Server

2003のActive Directoryドメインか

らは，セキュリティ強化のため既定値

が厳しくなった。また，NTドメイン

からのアップグレード環境の場合，既

存ドメインのアカウントの原則＊設定

がそのまま引き継がれる。いずれの場

合も，企業のセキュリティ・ポリシー

に基づき，設定を見直そう。

このほか，コンピュータやユーザー

に適用したい項目としてはそれぞれ以

下のものがある。

●コンピュータに適用する項目

コンピュータ・オブジェクトを対象

としたセキュリティを強化するための

設定として，管理者権限のあるユーザ

ーやグループの保護はぜひ設定してお

きたい（表1）。具体的には「制限され

70 日経Windowsプロ 2004年8月（no.89）

4グループ・ポリシーは最小限に

図2●ドメイン・レベルのグループ・ポリシーの設定最も優先的に検討すべきセキュリティ設定は，ドメイン・レベルで設定する「アカウントポリシー」だ。

サイト・レベル�

ドメイン・レベル�

OU（上位）レベル�

OU（下位）レベル�

ユーザーやコンピュータ�

適用順序�

優先順位�

低�

高�

図1●グループ・ポリシーの適用順序同一のポリシーが複数のレベルに存在するときは，OU（下位），OU（上位），ドメイン・レベル，サイト・レベルの順に優先される。このほか例外処理がいくつか可能で複雑になりがちだ。

たグループ」を用いてDomain Admins

やAdministratorsグループのメンバ

ーとしてユーザーが勝手に追加されな

いようにする。「Administratorアカ

ウント名の変更」によって，よく知ら

れているデフォルトの名前を変えて，

攻撃者に狙われないように対策するこ

とも検討しよう。また，ファイル・サ

ーバーでは，ログオン・イベントやオ

ブジェクト・アクセスの監査＊設定を実

施し，システムに対する操作を追跡で

きる状況にするとよい。

●ユーザーに適用する設定

ユーザーを対象としたセキュリティ

を強化する設定の1つとして，簡易的

にデジタル・データの持ち出しを防ぐ

ものがある。例えば，フロッピ・ドラ

イブや，CD-ROMドライブをエクス

プローラ上で無効にしたり，CDの焼

き付け機能を無効にしたりする設定が

利用可能だ（表2）。もちろん，完璧で

はないが，対策の第一歩としては有効

な手段ではないだろうか。

OUの設計が必要な場合も

ドメイン・コントローラのコンピュ

ータ・オブジェクトは，自動的に

「Domain Controllers」OUに配置さ

れ，「Default Domain Controllers

Policy」と呼ばれる既定のポリシーに

より他のコンピュータよりもセキュア

な構成になるよう考慮されている。そ

のままそのOUを利用して運用するこ

とをお勧めする。しかし，その他のコ

ンピュータやユーザーに対して，目的

やセキュリティの強化レベルに応じて

適用するポリシーを変更したい場合

は，グループ・ポリシーの設定項目と

併せてOUを設計する。

グループ・ポリシーと対応するOU

を利用してセキュリティ設定を有効に

しておくと非常に便利だ。該当する

OUへコンピュータやユーザーオブジ

ェクトを移動するだけで，設定が自動

的に適用され，常に一定したセキュリ

ティを保てるようになる。

特集 2Active Directory運用の鉄則

＊サイトActive Directoryデータベース間の複製やドメインへのログオン処理などで発生する通信を制御する単位。高速に通信できる範囲のコンピュータを1つのサイトにまとめるのが基本。

＊アカウント・ロックアウト指定された回数ログオンに失敗すると，そのアカウントを一定期間無効にする機能。パスワードを手当たり次第試みる不正アクセスを未然に防ぐ。

＊アカウントの原則NTドメインでパスワードの最低の長さなどを決める設定。

＊監査システムのセキュリティにかかわるイベントをリアルタイムで監視し，ログに記録する機能。ログオン/ログオフなどについてアカウント別に成功や失敗の情報を取得できる。

日経Windowsプロ 2004年8月（no.89）71

表1●コンピュータ・オブジェクトに適用すべき主なセキュリティ関連の設定グループ・ポリシー編集ツール上の場所 内容

コンピュータの構成¥Windowsの設定¥セキュリティの設定¥ローカルポリシー¥監査ポリシー

ログオンやログオフの成功や失敗などセキュリティ関連の情報をログとして残す【例】●アカウントログオンイベントの監査

コンピュータの構成¥Windowsの設定¥セキュリティの設定¥ローカルポリシー¥セキュリティオプション

管理者やGuestアカウントなどの無効化/有効化や名前の変更などの設定【例】●アカウント：Administrator アカウント名の状態●アカウント：Administrator アカウント名の変更●アカウント：Guest アカウントの状態●アカウント：Guest アカウント名の変更●アカウント：ローカル・アカウントの空のパスワードの使用をコンソール・ログオンのみに制限する

コンピュータの構成¥Windowsの設定¥セキュリティの設定¥制限されたグループ Administratorsなどの重要なグループのメンバーを制限する

コンピュータの構成¥Windowsの設定¥セキュリティの設定¥ソフトウェアの制限ポリシー コンピュータに導入するソフトウエアを制限する（Windows Server 2003のみ）

コンピュータの構成¥管理用テンプレート¥Windowsコンポーネント¥Windows Update

Windows Updateの自動更新に関する設定（Windows Server 2003のみ）【例】●自動更新を構成する

表2●ユーザー・オブジェクトに適用すべき主なセキュリティ関連の設定グループ・ポリシー編集ツール上の場所 内容

ユーザーの構成¥管理用テンプレート¥Windowsコンポーネント¥エクスプローラ

Windowsエクスプローラ関係の設定【例】●指定したドライブを［マイコンピュータ］内で非表示にする●［マイコンピュータ］からドライブにアクセスできないようにする

●CD焼付け機能を削除する

ユーザーの構成¥Windowsの設定¥InternetExplorerのメンテナンス¥セキュリティ

Internet Explorerのセキュリティ関連の設定【例】●セキュリティゾーンおよびコンテンツの規則

ユーザーの構成¥管理用テンプレート¥Windowsコンポーネント¥Internet Explorer¥管理者が許可したコントロール

Internet Explorerのセキュリティ関連の追加機能の設定【例】●Media Player

Active Directoryドメインでドメ

イン・コントローラ（DC）が複数ある

環境においては，複数のDCがデータ

を相互に複製している（マルチマスタ

ー複製）。DCのバックアップは不要と

感じるかもしれないが必ず行ってほし

い。バックアップからしか復元できな

い障害があるためだ。また，リストア

手順は，単なるファイルの復元と異な

るので注意する。

バックアップ手順は通常とほぼ同じ

だ。Windows Server 2003ではDC上

のスタート・メニューで［アクセサリ］－

［システムツール］の［バックアップ］を

起動して，「System State」（Windows

2000では「システム状態」）を選択して

実行する。

リストア手順は通常と全く異なる。

まずOS起動の初期段階の画面でF8キ

ーを押して，［Windows拡張オプショ

ンメニュー］から［ディレクトリサービ

ス復元モード］を選択する。この起動

モードのログオン画面では，ドメイン

のAdministratorではなく，「ディレ

クトリ・サービス復元モード」専用の

Administratorのパスワードを入力す

る。それから「バックアップ」を起動し

て［System State］を選択してリスト

アする。リストアを終えたら，再起動

して通常モードで起動する。

誤操作からの回復には特殊な手順

誤ってユーザーを削除した場合や，

手動で直せないほど多数のユーザーの

属性情報を，間違った内容に書き換え

た場合，「Authoritative Restore（権

限のある復元）」を使ったリストアを行

う（図1）。Authoritative Restoreで

は，「System State」のリストア後に

再起動してはいけない。コマンド・プ

ロンプトを開いて，「ntdsutil.exe」コ

マンドを実行し，「authoritat ive

restore」と入力する。そして「restore

subtree“ou=ouname,dc=domain

name,dc=local”」のように，リストア

する必要のあるサブツリーを指定する

（図2）。

「sysvol」フォルダに格納されるグル

ープ・ポリシーやログオン・スクリプ

ト＊などを間違って編集したなどでリ

ストアする場合も注意する。リストア

時は必ず［レプリケートされたデータ

セットを復元するとき，復元されたデ

ータのレプリカをプライマリデータと

してマークする］オプションをオンに

しよう。これにより，復元したデータ

が他のDCに上書き複製される。

72 日経Windowsプロ 2004年8月（no.89）

52種類の復元方法を使い分けよ

Non-authoritative Restore（権限のない復元，デフォルト）�

DC1

②複製による�　上書き�

用途：通常の障害からの復旧�

用途：誤操作からの復旧�

②複製による�　上書き�

①復元�

DC2

Authoritative Restore（権限のある復元）�

DC1

①復元�

DC2図1●2種類のリストア方法の違い権限のない復元ではリストア後に，他のDCのデータで上書きされる。権限のある復元では，リストア後にそのデータで他のDCの情報を書き換える。

図2●Authoritative Restoreはntdsuilコマンドで実行［System State］のリストア後に再起動を要求されても，再起動してはいけない。リストアが終了したら，コマンド・プロンプトを開いて，「ntdsutil.exe」コマンドを実行し，「authoritative restore」と入力する。

＊ログオン・スクリプトユーザーがマシンにログオンしたときに自動的に実行するプログラムやバッチ・ファイル。サーバー側でも設定できる。

NTドメイン環境では，ユーザーの

追加やパスワード変更など，ディレク

トリ情報を更新する作業はすべてプラ

イマリ・ドメイン・コントローラ（PDC）

という役割のサーバー1台が担い，残

りのドメイン・コントローラ（DC）はバ

ックアップ・ドメイン・コントローラ

（BDC）という役割になっていた。

BDCは，ディレクトリ情報の複製を

受け取り認証要求だけ処理しており，

情報の更新はできない。これはあちこ

ちのDCで情報を更新すると整合性が

とれなくなるためである。NTドメイ

ンでは1台だけで情報を更新すること

で整合性の問題に対処していた。

これに対し，Active Directoryド

メイン環境では，すべてのDCで更新

処理ができるマルチマスターという方

式の複製を行っている。一見するとす

べてのDCの機能が同一のようである。

しかし，更新処理によって競合が発生

する特定の操作に限っては，「FSMO

（フレキシブル・シングル・マスター操

作）」と呼ばれる役割のDCにおいて処

理され，シングル・マスターで複製を

行う仕組みになっている。

この仕組みがあるため，DCが障害

で停止したとき，FSMO役割のマシ

ンであるかどうかでその後の復旧作業

が変わってくる。日ごろからFSMO

役割のマシンを把握しておかないと障

害時の復旧時間が長くなってしまう。

FSMOの役割は5つある

FSMOには5つの役割が存在し，そ

れぞれ表1に記載されている処理を単

独で担当する。これらの処理を実行す

る場合，その役割を持つDCにアクセ

スできなくてはならない。それぞれの

処理が失敗する場合，どのDCが

FSMOの役割を持っているのかを確

認し，そのDCが適切に動作している

のかを調べる必要がある。

比較的理解しやすいのは，PDCエ

ミュレータだろう。これは他のDCで

行われたパスワードの変更が優先的に

複製されるなどNTドメインにおける

PDCに近い役割を果たす。単純なマ

ルチマスター複製ではドメイン内の

DCの数が多いと，あるDCでパスワ

ードを変更しても，すべてのDCに伝

わり切るのに時間がかかる。PDCエ

ミュレータが介在することで，変更さ

れたパスワードの伝達が効率的になっ

ている。

RIDマスターはアカウント作成時に

生成されるSIDのもととなるRIDの提

供元になるDCである。マルチマスタ

ー環境では，複数のDCで同時にアカ

ウントが作成できる。しかし，各DC

が同じRIDでアカウントを作るとSID

が衝突してしまう。そこで，RIDマス

ターが一定の量のRID（RIDプール）を

あらかじめ各DCに重ならないように

割り振り，各DCにそのRIDプールか

らSIDを作らせている。

FSMOの役割を持つDCを確認する

には，DCにインストールされている

特集 2Active Directory運用の鉄則

日経Windowsプロ 2004年8月（no.89）73

6FSMO役割のマシンを常に把握せよ

表1●FSMOの役割と機能

FSMOの役割 機能

スキーマ・マスター スキーマに対するすべての更新と変更を制御

ドメイン名前付けマスター フォレスト内でのドメインの追加や削除を制御

RIDマスター ドメイン内の各ドメイン・コントローラからのRIDプール要求を処理

PDCエミュレータ

インフラストラクチャ・マスター

RID：相対識別子　　PDC：プライマリ・ドメイン・コントローラ　　BDC：バックアップ・ドメイン・コントローラDC：ドメイン・コントローラ

数

フォレスト全体で1台

各ドメインで1台

アカウント・ロックアウトの処理ダウンレベル・クライアントからのパスワード変更NT4 BDCに対するディレクトリ複製ドメイン内の全DCに対する時刻同期他のDCで行われたパスワード変更が優先的に複製される

グループのメンバーシップの変更管理

表2●FSMOの役割の確認／移動する際に使用するスナップイン

FSMOの役割 確認／移動する際に使用するスナップイン

スキーマ・マスター MMCスナップイン［Active Directoryスキーマ］

ドメイン名前付けマスター 管理ツール［Active Directoryドメインと信頼関係］

RIDマスター

管理ツール［Active Directoryユーザーとコンピュータ］PDCエミュレータ

インフラストラクチャ・マスター

MMC：マイクロソフト管理コンソール

MMCスナップイン＊を使用する（表2）。

「Active Directoryユーザーとコンピュ

ータ」「Active Directoryドメインと

信頼関係」は標準の管理ツールとして

DCのスタート・メニューに登録され

るのですぐ利用できる。

例えば，RIDマスター，PDCエミ

ュレータ，インフラストラクチャ・マ

スターを確認する際には「Active

Directoryユーザーとコンピュータ」

を起動して，現れた画面の中の右側に

あるドメイン名のアイコン（「nikkeibp.

local」など）を右クリックしてほしい。

［操作マスタ］というメニューがあるの

で，選択すると図1aの画面が出る。

ドメイン名前付けマスターは

「Active Directoryドメインと信頼関

係」で調べる。起動したら，今度はド

メイン名のアイコンではなく，［Active

Directoryドメインと信頼関係］のア

イコンを右クリックしよう。［操作マ

スタ］というメニューが出てくるので，

選択すると図1bの画面が表示される。

「Active Directoryスキーマ」は事

前に「regsvr32 schmmgmt.dll」コマ

ンドを実行して，DLL＊を登録する必

要がある。次にMMCを起動してスナ

ップインを追加する。［ファイル名を

指定して実行］で「mmc」を入力する

と空のコンソールが現れるので，［フ

ァイル］－［スナップインの追加と削除］

を選択して出る画面で［追加］ボタンを

押そう。するとスナップインの一覧が

出るので［Active Directoryスキーマ］

を選んで追加する（図2）。

重大な障害では別DCに役割を移す

FSMO役割のDCに障害が発生する

と，該当する役割の処理が行えなくな

る。例えば，PDCエミュレータが停

止すると，Windows NT 4.0クライア

ントのようなダウンレベル・クライア

ントでパスワード変更ができない。

一般的に，短期間に解決する障害で

あれば，復旧を待てばよいとされてい

る。しかし，長期的に復旧の見込みが

ない場合や，クライアントに大きな影

響を与える可能性のある障害が発生し

た場合は，FSMOの役割の移動を検

討する必要がある。

移動には，「転送」と「強制移動」の2

＊MMCスナップインマイクロソフト管理コンソール（MMC）に組み込むプログラム。MMCはマイクロソフトの製品が共通に採用している管理コンソールのインターフェース。各種管理ツールをスナップインという形式で読み込むことで，管理内容をカスタマイズできる。

＊DLLDynamic Link Libraryの略。必要なときにだけロードされるため，リソースを効率的に利用できる。実行時にレジストリへの登録が必要なものがある。

74 日経Windowsプロ 2004年8月（no.89）

（c）�

（b）�

（a）�

スキーマ・マスターの確認�

ドメイン名前付けマスターの確認�

RIDマスター，PDCエミュレータ，�インフラストラクチャ・マスターの確認�

図1●FSMO役割の確認画面

① schmmgmt.dllを登録� ② マイクロソフト管理管理コンソールでスナップインを追加追加�② マイクロソフト管理コンソールでスナップインを追加�

図2●Active Directoryスキーマの管理を可能にする操作①スタート・メニューの［ファイル名を指定して実行］で「regsvr32 schmmgmt.dll 」を実行する。②MMCを起動し，［ファイル］メニューの［スナップインの追加と削除］から［Active Directoryスキーマ］を追加する。

種類の方法がある。「転送」は，移動元

のDCが正常稼働している状態での役

割移動である。一方，「強制移動」は，

移動元のDCが障害などによりオフラ

インの状態の際，強制的に役割を移動

する方法だ。

ただし，「強制移動」には，注意が必

要だ。スキーマ・マスター，ドメイン

名前付けマスター，RIDマスターの各

役割を強制移動した場合，移動元の

DCを，再度ネットワーク上に接続し

たり，バックアップ・データからリス

トアしたりしてはならないというルー

ルがある。「強制移動」は，FSMOの

DCが起動しない場合や，バックアッ

プからも復旧できない場合など，障害

回復の見込みがないときの最終手段だ

と覚えておこう。

役割の移動は，GUIの管理ツールま

たはNTDSUTILコマンド・ライン・

ユーティリティで行える。ここでは

GUIの管理ツールでRIDマスターの移

動を行う場合の操作を図3に示した。

手順は以下のようになる。

①移動先のDCに管理ツール「Active

Directoryユーザーとコンピュー

タ」を接続する

②操作マスターの確認画面を表示す

る。上段が移行元のDCで，下段が

移動先となるDCを表示している。

ここで画面上の［変更］ボタンをク

リックする。

この操作により，まず「転送」処理

が試みられる。さらに移動元のコンピ

ュータと通信ができない場合は，「強

制移動」が行われる。

FSMOの役割を配置する独特のルールに注意

FSMOの役割を移動する際，役割

の配置には機能上の制約があるため，

注意してほしい。特定のFSMO役割

は，特定のDCに配置する必要がある。

また特定のFSMO役割は他の役割を

持つDC上では共存できないのである。

以下のルールがある。

●ドメイン名前付けマスターは，グロー

バル・カタログ＊（GC）・サーバーに配

置する（Windows 2003の Active

Directory環境は例外である）。

●インフラストラクチャ・マスターは，非

GCサーバーに配置する（シングル・ド

メイン環境の場合，例外的に許可）。

ここで出てきたGCサーバーはドメ

インをまたぐ検索に用いるグローバ

ル・カタログというデータベースを持

つDCである。ドメイン内に複数設置

できるため，FSMO役割とはいえな

いが，デフォルトでは1台しかない。

また，上記のような制限のため，どの

DCがGCサーバーになっているかを把

握しておくべきである。確認に利用す

るツールは「Active Directoryサイト

とサービス」だ。起動したら，［Sites］

というフォルダを開いて下の階層を表

示していく。DC名のアイコンの下に

［NTDS Settings］というアイコンが

あるので，それを右クリックして［プ

ロパティ］を選択する。現れた画面の

［全般］タブに［グローバルカタログ］の

設定項目がある。

特集 2Active Directory運用の鉄則

＊グローバル・カタログActive Directoryドメインで管理するコンピュータ名やサーバーの役割などの情報をドメインをまたいでも検索できるようにするためのデータベース。フォレストと呼ばれる複数ドメインの集合ごとに，最低1つのグローバル・カタログが作成され

る。デフォルトではフォレストで最初に構築したドメインの最初のドメイン・コントローラに作られる。

日経Windowsプロ 2004年8月（no.89）75

③ ［変更］ボタンを押す�

② 操作マスターの確認画面を表示する�

① 移動先のドメイン・コントローラに接続�

図3●FSMO役割の移動GUIで行う場合の操作。移動先のドメイン・コントローラ（DC）に接続した後，操作マスターの確認画面を表示する。上段が移行元のDCを，下段が移動先となるドメイン・コントローラを表示している。［変更］ボタンをクリックすると，役割の移動処理が行われる。